Предыдущий

Следующая

Проверка подлинности хранилища с помощью управляемых удостоверений для ресурсов Azure

Завершено

Azure Key Vault использует идентификатор Microsoft Entra для проверки подлинности пользователей и приложений, которые пытаются получить доступ к хранилищу. Чтобы предоставить нашему веб-приложению доступ к хранилищу, сначала необходимо зарегистрировать приложение с помощью идентификатора Microsoft Entra. При регистрации создается удостоверение для приложения. Когда у приложения появится удостоверение, ему можно назначить разрешения хранилища.

Приложения и пользователи проходят проверку подлинности в Key Vault с помощью маркера проверки подлинности Microsoft Entra. Для получения маркера из идентификатора Microsoft Entra требуется секрет или сертификат. Любой пользователь с маркером может использовать удостоверение приложения для доступа ко всем секретам в хранилище.

Секреты приложения защищены в хранилище, но для доступа к ним по-прежнему необходимо сохранить секрет или сертификат за пределами хранилища! Эта проблема называется проблемой начальной загрузки, а Azure — решением.

Управляемые удостоверения для ресурсов Azure

Управляемые удостоверения для ресурсов Azure — это функция Azure, которую ваше приложение может использовать для доступа к Key Vault и другим службам Azure без необходимости управлять даже одним секретом вне хранилища. Использование управляемого удостоверения является простым и безопасным способом воспользоваться преимуществами Key Vault из веб-приложения.

При включении управляемого удостоверения в веб-приложении Azure активирует отдельную службу предоставления токенов REST специально для вашего приложения. Приложение запрашивает маркеры из этой службы, а не непосредственно из идентификатора Microsoft Entra. Чтобы получить доступ к этой службе, приложению нужно использовать секрет, но он внедряется в переменные среды Службой приложений при запуске. Не нужно управлять этим секретным значением или сохранять его. Ничто, кроме вашего приложения, не сможет получить доступ к этому секрету или конечной точке службы маркеров управляемого удостоверения.

Управляемые удостоверения для ресурсов Azure также регистрируют приложение в идентификаторе Microsoft Entra. Идентификатор Microsoft Entra удаляет регистрацию, если удалить веб-приложение или отключить его управляемое удостоверение.

Управляемые удостоверения доступны во всех выпусках идентификатора Microsoft Entra, включая бесплатный выпуск, включенный в подписку Azure. В Службе приложений его можно использовать бесплатно и без дополнительной настройки конфигурации. Кроме того, его можно включать и отключать в приложении в любое время.

Для включения управляемого удостоверения для веб-приложения нужно выполнить только одну простую команду Azure CLI без дополнительной настройки. Это можно сделать позже при настройке приложения Служба приложений и его развертывании в Azure. Однако перед этим примените знания об управляемых удостоверениях для написания кода для нашего приложения.

Проверьте свои знания

1.

Как использование управляемых удостоверений для ресурсов Azure изменяет способ проверки подлинности приложения в Azure Key Vault?

Приложение использует сертификат для проверки подлинности вместо секрета.

Каждый пользователь приложения должен ввести пароль.

Приложение получает маркеры из службы маркеров вместо идентификатора Microsoft Entra.

Управляемые удостоверения распознаются хранилищем ключей Azure Key Vault и проходят проверку подлинности автоматически.

2.

Какая из этих инструкций описывает основное преимущество использования управляемых удостоверений для ресурсов Azure, чтобы совершить проверку подлинности приложения в хранилище ключей?

Использование управляемых удостоверений повышает производительность приложения.

Управляемые удостоверения избавляют от необходимости управлять секретами во время настройки.

Управляемые удостоверения могут автоматически получать разрешения Azure Key Vault.

Вы должны ответить на все вопросы перед проверкой.

Продолжить