Отключение проверки подлинности по ключу доступа для экземпляра Конфигурации приложений Azure
Каждый запрос к ресурсу Конфигурации приложений Azure должен пройти проверку подлинности. По умолчанию запросы можно пройти проверку подлинности с помощью учетных данных Microsoft Entra или с помощью ключа доступа. Из этих двух типов схем проверки подлинности идентификатор Microsoft Entra обеспечивает более высокую безопасность и удобство использования ключей доступа и рекомендуется корпорацией Майкрософт. Чтобы клиенты использовали идентификатор Microsoft Entra для проверки подлинности запросов, можно отключить использование ключей доступа для ресурса Конфигурация приложений Azure.
При отключении проверки подлинности по ключу доступа для ресурса Конфигурации приложений Azure все существующие ключи доступа для этого ресурса будут удалены. Все последующие запросы к ресурсу, использующие ранее существующие ключи доступа, будут отклонены. Будут успешно выполнены только запросы, прошедшие проверку подлинности с помощью идентификатора Microsoft Entra. Дополнительные сведения об использовании идентификатора Microsoft Entra см. в статье "Авторизация доступа к Конфигурация приложений Azure с помощью идентификатора Microsoft Entra".
Отключение проверки подлинности по ключу доступа
Отключение проверки подлинности по ключу доступа приведет к удалению всех ключей доступа. Если все запущенные приложения используют ключи доступа для проверки подлинности, они начнут завершать сбой после отключения проверки подлинности ключа доступа. При повторном включении проверки подлинности по ключу доступа создается новый набор ключей доступа, и все приложения, пытающиеся использовать старые ключи доступа, будут завершаться неудачно.
Предупреждение
Если какие-либо клиенты в настоящее время обращаются к данным в ресурсе Конфигурация приложений Azure с ключами доступа, корпорация Майкрософт рекомендует перенести эти клиенты в идентификатор Microsoft Entra ID перед отключением проверки подлинности ключа доступа.
Чтобы запретить проверку подлинности по ключу доступа для ресурса Конфигурации приложений Azure на портале Azure, выполните следующие действия.
Перейдите к ресурсу Конфигурации приложений Azure на портале Azure.
Найдите параметр параметров access в разделе Параметры.
Установите переключатель Включить ключи доступа в положение Выключено.
Как убедиться, что проверка подлинности по ключу доступа отключена
Чтобы убедиться, что проверка подлинности по ключу доступа больше не разрешается, можно выполнить запрос на получение списка ключей доступа для ресурса Конфигурации приложений Azure. Если проверка подлинности ключа доступа отключена, ключи доступа отсутствуют, а операция списка возвращает пустой список.
Чтобы проверить, отключена ли проверка подлинности по ключу доступа для ресурса Конфигурации приложений Azure на портале Azure, выполните следующие действия.
Перейдите к ресурсу Конфигурации приложений Azure на портале Azure.
Найдите параметр параметров access в разделе Параметры.
Убедитесь, что ключи доступа не отображаются,а переключатель Включить ключи доступа находится в положении Выключено.
Разрешения для включения или отключения проверки подлинности по ключу доступа
Чтобы изменить состояние проверки подлинности по ключу доступа для ресурса Конфигурации приложений Azure, пользователь должен иметь разрешения на создание ресурсов Конфигурации приложений Azure и управление ими. Роли управления доступом на основе ролей Azure (Azure RBAC), предоставляющие эти разрешения, включают действие Microsoft.AppConfiguration/configurationStores/write или Microsoft.AppConfiguration/configurationStores/*. Встроенные роли с этим действием:
Эти роли не предоставляют доступ к данным в ресурсе Конфигурация приложений Azure с помощью идентификатора Microsoft Entra. Но они включают разрешение на действие Microsoft.AppConfiguration/configurationStores/listKeys/action, которое предоставляет доступ к ключам доступа ресурса. Пользователь с этим разрешением может использовать ключи доступа для доступа ко всем данным в ресурсе.
Назначение роли должно быть на уровне ресурса Конфигурации приложений Azure или выше, чтобы пользователь имел право на разрешение или запрещение проверки подлинности по ключу доступа для ресурса. Дополнительные сведения об области роли см. в разделе Общие сведения об области для Azure RBAC.
Будьте осторожны, чтобы ограничить назначение этих ролей только тем пользователям, которым требуется возможность создать ресурс Конфигурация приложений или обновить его свойства. Используйте принцип наименьших привилегий, чтобы предоставлять пользователям минимальный набор разрешений, необходимый для выполнения их задач. Дополнительные сведения об управлении доступом с помощью Azure RBAC см. в разделе Рекомендации по использованию Azure RBAC.
Примечание.
Роли администратора классической подписки "администратор службы" и "соадминистратор" включают в себя эквивалент роли владельца Azure Resource Manager. Роль владельца включает в себя все действия, поэтому пользователь, которому назначена одна из этих административных ролей, также может создавать ресурсы Конфигурации приложений Azure и управлять ими. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки.
Примечание.
Если проверка подлинности ключа доступа отключена, а режим проверки подлинности ARM в хранилище Конфигурация приложений является локальным, возможность чтения и записи значений ключей в шаблонеARM также будет отключена. Это связано с тем, что доступ к ресурсу Microsoft.AppConfiguration/configurationStores/keyValues, используемому в шаблонах ARM, требуется проверка подлинности ключа доступа с помощью локального режима проверки подлинности ARM. Рекомендуется использовать режим сквозной проверки подлинности ARM. Дополнительные сведения см. в разделе "Общие сведения о развертывании".