Azure Container Apps'te yönetilen kimlikler

Microsoft Entra Id'den yönetilen kimlik, kapsayıcı uygulamanızın diğer Microsoft Entra korumalı kaynaklara erişmesini sağlar. Microsoft Entra Id'deki yönetilen kimlikler hakkında daha fazla bilgi için bkz . Azure kaynakları için yönetilen kimlikler.

Kapsayıcı uygulamanıza iki tür kimlik verilebilir:

• Sistem tarafından atanan bir kimlik kapsayıcı uygulamanıza bağlıdır ve kapsayıcı uygulamanız silindiğinde silinir. Bir uygulama sistem tarafından atanan yalnızca bir kimliğe sahip olabilir.
• Kullanıcı tarafından atanan kimlik, kapsayıcı uygulamanıza ve diğer kaynaklara atanabilen tek başına bir Azure kaynağıdır. Kapsayıcı uygulamasının kullanıcı tarafından atanan birden çok kimliği olabilir. Kimlik, siz silene kadar var olur.

Yönetilen kimlik neden kullanılır?

Microsoft Entra kimlik doğrulamasını destekleyen herhangi bir hizmette kimlik doğrulaması yapmak için çalışan bir kapsayıcı uygulamasında yönetilen kimlik kullanabilirsiniz.

Yönetilen kimliklerle:

• Uygulamanız yönetilen kimlikle kaynaklara bağlanır. Kapsayıcı uygulamanızda kimlik bilgilerini yönetmeniz gerekmez.
• Yönetilen kimliğe belirli izinler vermek için rol tabanlı erişim denetimini kullanabilirsiniz.
• Sistem tarafından atanan kimlikler otomatik olarak oluşturulur ve yönetilir. Kapsayıcı uygulamanız silindiğinde silinirler.
• Kullanıcı tarafından atanan kimlikleri ekleyip silebilir ve bunları birden çok kaynağa atayabilirsiniz. Bunlar kapsayıcı uygulamanızın yaşam döngüsünden bağımsızdır.
• Kapsayıcı Uygulamanızın kapsayıcılarını çekmek için kullanıcı adı ve parola olmadan özel bir Azure Container Registry ile kimlik doğrulaması yapmak için yönetilen kimliği kullanabilirsiniz.
• Dapr bileşenleri aracılığıyla Dapr özellikli uygulamalar için bağlantılar oluşturmak için yönetilen kimliği kullanabilirsiniz

Yaygın kullanım örnekleri

Sistem tarafından atanan kimlikler aşağıdaki iş yükleri için en iyisidir:

• tek bir kaynak içinde yer alan
• bağımsız kimliklere ihtiyaç duyar

Kullanıcı tarafından atanan kimlikler aşağıdaki iş yükleri için idealdir:

• birden çok kaynakta çalıştırabilir ve tek bir kimliği paylaşabilir
• güvenli bir kaynak için ön yetkilendirme gerekiyor

Sınırlamalar

Ölçek kurallarında yönetilen kimliklerin kullanılması desteklenmez. Ölçeklendirme kuralına bağlantı dizesi veya anahtarı secretRef eklemeniz gerekir.

Init kapsayıcıları yönetilen kimliklere erişemez.

Yönetilen kimlikleri yapılandırma

Yönetilen kimliklerinizi şu şekilde yapılandırabilirsiniz:

• Azure portal
• Azure CLI
• Azure Resource Manager (ARM) şablonunuz

Çalışan bir kapsayıcı uygulamasına yönetilen kimlik eklendiğinde, silindiğinde veya değiştirildiğinde uygulama otomatik olarak yeniden başlatılmaz ve yeni bir düzeltme oluşturulmaz.

Dekont

11 Nisan 2022'ye kadar dağıtılan bir kapsayıcı uygulamasına yönetilen kimlik eklerken yeni bir düzeltme oluşturmanız gerekir.

Sistem tarafından atanan kimlik ekleme

Azure portalı

1. Kapsayıcı uygulamanızın sayfasının sol gezinti bölmesinde aşağı kaydırarak Ayarlar grubuna gelin.

2. Kimlik'i seçin.

3. Sistem tarafından atanan sekmesinde Durum'aAçık olarak geçin. Kaydet'i seçin.

Azure CLI

az containerapp identity assign Sistem tarafından atanan bir kimlik oluşturmak için komutunu çalıştırın:

az containerapp identity assign --name myApp --resource-group myResourceGroup --system-assigned

ARM şablonu

Kapsayıcı uygulamanızın ve kaynaklarınızın dağıtımını otomatikleştirmek için ARM şablonu kullanılabilir. Sistem tarafından atanan bir kimlik eklemek için ARM şablonunuza bir identity bölüm ekleyin.

"identity": {
    "type": "SystemAssigned"
}

Sistem tarafından atanan türü eklemek, Azure'a uygulamanız için kimlik oluşturmasını ve yönetmesini söyler. Eksiksiz bir ARM şablonu örneği için bkz . ARM API Belirtimi.

YAML

ve az containerapp job createdahil olmak üzere az containerapp create bazı Azure CLI komutları giriş için YAML dosyalarını destekler. Sistem tarafından atanan bir kimlik eklemek için YAML dosyanıza bir identity bölüm ekleyin.

identity:
  type: SystemAssigned

Sistem tarafından atanan türü eklemek, Azure'a uygulamanız için kimlik oluşturmasını ve yönetmesini söyler. Tam bir YAML şablonu örneği için bkz . ARM API Belirtimi.

Kullanıcı tarafından atanan kimlik ekleme

Bir kapsayıcı uygulamasını kullanıcı tarafından atanan bir kimlikle yapılandırmak için önce kimliği oluşturmanız ve ardından kapsayıcı uygulamanızın yapılandırmasına kaynak tanımlayıcısını eklemeniz gerekir. Azure portalı veya Azure CLI aracılığıyla kullanıcı tarafından atanan kimlikler oluşturabilirsiniz. Kullanıcı tarafından atanan kimlikleri oluşturma ve yönetme hakkında bilgi için bkz . Kullanıcı tarafından atanan yönetilen kimlikleri yönetme.

Azure portalı

İlk olarak, kullanıcı tarafından atanan bir kimlik kaynağı oluşturmanız gerekir.

1. Kullanıcı tarafından atanan yönetilen kimlikleri yönetme bölümünde bulunan adımlara göre kullanıcı tarafından atanan bir yönetilen kimlik kaynağı oluşturun.

2. Kapsayıcı uygulamanızın sayfasının sol gezinti bölmesinde aşağı kaydırarak Ayarlar grubuna gelin.

3. Kimlik'i seçin.

4. Kullanıcı tarafından atanan sekmesinde Ekle'yi seçin.

5. Daha önce oluşturduğunuz kimliği arayın ve seçin. Ekle'yi seçin.

Azure CLI

1. Kullanıcı tarafından atanan bir kimlik oluşturun.

   az identity create --resource-group <GROUP_NAME> --name <IDENTITY_NAME> --output json
   

   Yeni kimliğin id özelliğini not edin.

2. az containerapp identity assign Kimliği uygulamaya atamak için komutunu çalıştırın. identities parametresi boşlukla ayrılmış bir listedir.

   az containerapp identity assign --resource-group <GROUP_NAME> --name <APP_NAME> \
       --user-assigned <IDENTITY_RESOURCE_ID>
   

   değerini kimliğin id özelliğiyle değiştirin<IDENTITY_RESOURCE_ID>. Birden fazla kullanıcı tarafından atanan kimlik atamak için parametresine --user-assigned boşlukla ayrılmış kimlik listesi sağlayın.

ARM şablonu

Kullanıcı tarafından atanan bir veya daha fazla kimlik eklemek için ARM şablonunuza bir identity bölüm ekleyin. ve <IDENTITY2_RESOURCE_ID> öğesini eklemek istediğiniz kimliklerin kaynak tanımlayıcılarıyla değiştirin<IDENTITY1_RESOURCE_ID>.

Nesneye userAssignedIdentities anahtar olarak kimliğin kaynak tanımlayıcısı ile bir öğe ekleyerek kullanıcı tarafından atanan her kimliği belirtin. Değer olarak boş bir nesne kullanın.

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<IDENTITY1_RESOURCE_ID>": {},
        "<IDENTITY2_RESOURCE_ID>": {}
    }
}

Eksiksiz bir ARM şablonu örneği için bkz . ARM API Belirtimi.

Dekont

Bir uygulama hem sistem tarafından atanan hem de kullanıcı tarafından atanan kimliklere aynı anda sahip olabilir. Bu durumda type özelliği olacaktır SystemAssigned,UserAssigned.

YAML

Kullanıcı tarafından atanan bir veya daha fazla kimlik eklemek için YAML yapılandırma dosyanıza bir identity bölüm ekleyin. ve <IDENTITY2_RESOURCE_ID> öğesini eklemek istediğiniz kimliklerin kaynak tanımlayıcılarıyla değiştirin<IDENTITY1_RESOURCE_ID>.

Nesneye userAssignedIdentities anahtar olarak kimliğin kaynak tanımlayıcısı ile bir öğe ekleyerek kullanıcı tarafından atanan her kimliği belirtin. Değer olarak boş bir nesne kullanın.

identity:
    type: UserAssigned
    userAssignedIdentities:
        <IDENTITY1_RESOURCE_ID>: {}
        <IDENTITY2_RESOURCE_ID>: {}

Tam bir YAML şablonu örneği için bkz . ARM API Belirtimi.

Dekont

Bir uygulama hem sistem tarafından atanan hem de kullanıcı tarafından atanan kimliklere aynı anda sahip olabilir. Bu durumda type özelliği olacaktır SystemAssigned,UserAssigned.

Hedef kaynağı yapılandırma

Bazı kaynaklar için, erişim vermek için uygulamanızın yönetilen kimliği için rol atamalarını yapılandırmanız gerekir. Aksi takdirde, uygulamanızdan Azure Key Vault ve Azure SQL Veritabanı gibi hizmetlere yapılan çağrılar, bu kimlik için geçerli bir belirteç kullansanız bile reddedilir. Azure rol tabanlı erişim denetimi (Azure RBAC) hakkında daha fazla bilgi edinmek için bkz . RBAC nedir?. Microsoft Entra belirteçlerini destekleyen kaynaklar hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra kimlik doğrulamasını destekleyen Azure hizmetleri.

Önemli

Yönetilen kimlikler için arka uç hizmetleri, yaklaşık 24 saat boyunca kaynak URI'sine göre bir önbellek tutar. Belirli bir hedef kaynağın erişim ilkesini güncelleştirir ve bu kaynak için hemen bir belirteç alırsanız, belirtecin süresi dolana kadar eski izinlere sahip önbelleğe alınmış bir belirteç almaya devam edebilirsiniz. Şu anda belirteç yenilemeyi zorlamanın bir yolu yoktur.

Uygulama kodunda Azure hizmetlerine Bağlan

Yönetilen kimliklerle uygulama Azure SQL Veritabanı, Azure Key Vault ve Azure Depolama gibi Microsoft Entra Id kullanan Azure kaynaklarına erişmek için belirteçler alabilir. Bu belirteçler kaynağa erişen uygulamayı temsil eder ve uygulamanın belirli bir kullanıcısını temsil eder.

Container Apps, belirteçleri almak için dahili olarak erişilebilir bir REST uç noktası sağlar. REST uç noktasına, her dilde genel bir HTTP istemcisiyle uygulanabilen standart bir HTTP GET ile uygulamanın içinden erişilebilir. .NET, JavaScript, Java ve Python için Azure Identity istemci kitaplığı bu REST uç noktası üzerinde bir soyutlama sağlar. Diğer Azure hizmetlerine Bağlan, hizmete özgü istemciye kimlik bilgisi nesnesi eklemek kadar kolaydır.

Dekont

Azure Identity istemci kitaplığı kullanılırken, kullanıcı tarafından atanan yönetilen kimlik istemci kimliği belirtilmelidir.

.NET

Dekont

Entity Framework Core ile Azure SQL veri kaynaklarına bağlanırken, yönetilen kimlik bağlantısı için özel bağlantı dizesi sağlayan Microsoft.Data.SqlClient'ı kullanmayı göz önünde bulundurun.

.NET uygulamaları için, yönetilen kimlikle çalışmanın en basit yolu .NET için Azure Identity istemci kitaplığını kullanmaktır. Bilgi için istemci kitaplığının ilgili belge başlıklarına bakın:

• Projenize Azure Identity istemci kitaplığı ekleme
• Sistem tarafından atanan kimlikle Azure hizmetine erişme
• Kullanıcı tarafından atanan kimlikle Azure hizmetine erişme

Bağlantılı örneklerde kullanılır DefaultAzureCredential. Aynı desen Azure'da (yönetilen kimliklerle) ve yerel makinenizde (yönetilen kimlikler olmadan) çalıştığından çoğu senaryo için kullanışlıdır.

JavaScript

Node.js uygulamaları için, yönetilen kimlikle çalışmanın en basit yolu JavaScript için Azure Identity istemci kitaplığını kullanmaktır. Bilgi için istemci kitaplığının ilgili belge başlıklarına bakın:

• Projenize Azure Identity istemci kitaplığı ekleme
• Sistem tarafından atanan kimlikle Azure hizmetine erişme
• Kullanıcı tarafından atanan kimlikle Azure hizmetine erişme

Bağlantılı örneklerde kullanılır DefaultAzureCredential. Aynı desen Azure'da (yönetilen kimliklerle) ve yerel makinenizde (yönetilen kimlikler olmadan) çalıştığından çoğu senaryo için kullanışlıdır.

JavaScript için Azure Identity istemci kitaplığına ilişkin daha fazla kod örneği için bkz . Azure Kimlik örnekleri.

Python

Python uygulamaları için, yönetilen kimlikle çalışmanın en basit yolu Python için Azure Identity istemci kitaplığını kullanmaktır. Bilgi için istemci kitaplığının ilgili belge başlıklarına bakın:

• Projenize Azure Identity istemci kitaplığı ekleme
• Sistem tarafından atanan kimlikle Azure hizmetine erişme
• Kullanıcı tarafından atanan kimlikle Azure hizmetine erişme

Bağlantılı örneklerde kullanılır DefaultAzureCredential. Aynı desen Azure'da (yönetilen kimliklerle) ve yerel makinenizde (yönetilen kimlikler olmadan) çalıştığından çoğu senaryo için kullanışlıdır.

Java

Java uygulamaları ve işlevleri için, yönetilen kimlikle çalışmanın en basit yolu Java için Azure Identity istemci kitaplığını kullanmaktır. Bilgi için istemci kitaplığının ilgili belge başlıklarına bakın:

• Projenize Azure Identity istemci kitaplığı ekleme
• Sistem tarafından atanan kimlikle Azure hizmetine erişme
• Kullanıcı tarafından atanan kimlikle Azure hizmetine erişme

Bağlantılı örneklerde kullanılır DefaultAzureCredential. Aynı desen Azure'da (yönetilen kimliklerle) ve yerel makinenizde (yönetilen kimlikler olmadan) çalıştığından çoğu senaryo için kullanışlıdır.

Java için Azure Identity istemci kitaplığına ilişkin daha fazla kod örneği için bkz . Azure Kimlik Örnekleri.

PowerShell

Azure hizmetinin kaynak URI'sini belirterek yerel uç noktadan belirteç almak için aşağıdaki betiği kullanın. Belirteci almak için yer tutucuyu kaynak URI'siyle değiştirin.

$resourceURI = "https://<AAD-resource-URI>"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token

HTTP GET

Ham HTTP GET isteği aşağıdaki örneğe benzer.

Ortam değişkeninden belirteç uç noktası URL'sini IDENTITY_ENDPOINT alın. x-identity-header ortam değişkeninde depolanan GUID'yi IDENTITY_HEADER içerir.

GET http://localhost:42356/msi/token?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
x-identity-header: 853b9a84-5bfa-4b22-a3f3-0b9a43d9ad8a

Yanıt şu örneğe benzer olabilir:

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJ0eXAi…",
    "expires_on": "1586984735",
    "resource": "https://vault.azure.net",
    "token_type": "Bearer",
    "client_id": "5E29463D-71DA-4FE0-8E69-999B57DB23B0"
}

Bu yanıt, Microsoft Entra hizmet-hizmet erişim belirteci isteğinin yanıtıyla aynıdır. Key Vault'a erişmek için değerini kasayla bir istemci bağlantısına ekleyeceksiniz access_token .

REST uç nokta başvurusu

Yönetilen kimliğe sahip bir kapsayıcı uygulaması, iki ortam değişkeni tanımlayarak kimlik uç noktasını kullanıma sunar:

• IDENTITY_ENDPOINT - kapsayıcı uygulamanızın belirteç isteğinde bulunabileceği yerel URL.
• IDENTITY_HEADER - sunucu tarafı istek sahteciliği (SSRF) saldırılarını azaltmaya yardımcı olmak için kullanılan üst bilgi. Değer platform tarafından döndürülür.

Bir kaynağın belirtecini almak için, aşağıdaki parametreler de dahil olmak üzere uç noktaya bir HTTP GET isteği gönderin:

Parametre adı	In	Açıklama
kaynak	Sorgu	Belirtecin alınması gereken kaynağın Microsoft Entra kaynak URI'si. Kaynak, Microsoft Entra kimlik doğrulamasını veya başka bir kaynak URI'sini destekleyen Azure hizmetlerinden biri olabilir.
api-sürümü	Sorgu	Kullanılacak belirteç API'sinin sürümü. "2019-08-01" veya üzerini kullanın.
X-IDENTITY-HEADER	Üst bilgi	Ortam değişkeninin IDENTITY_HEADER değeri. Bu üst bilgi, sunucu tarafı istek sahteciliği (SSRF) saldırılarını azaltır.
client_id	Sorgu	(İsteğe bağlı) Kullanılacak kullanıcı tarafından atanan kimliğin istemci kimliği. , mi_res_idveya object_idiçeren principal_idbir istekte kullanılamaz. Tüm kimlik parametreleri (client_id, principal_id, object_idve mi_res_id) atlanırsa, sistem tarafından atanan kimlik kullanılır.
Principal_id	Sorgu	(İsteğe bağlı) Kullanılacak kullanıcı tarafından atanan kimliğin asıl kimliği. object_id bunun yerine kullanılabilecek bir diğer addır. client_id, mi_res_id veya object_id içeren bir istekte kullanılamaz. Tüm kimlik parametreleri (client_id, principal_id, object_idve mi_res_id) atlanırsa, sistem tarafından atanan kimlik kullanılır.
mi_res_id	Sorgu	(İsteğe bağlı) Kullanılacak kullanıcı tarafından atanan kimliğin Azure kaynak kimliği. , client_idveya object_idiçeren principal_idbir istekte kullanılamaz. Tüm kimlik parametreleri (client_id, principal_id, object_idve mi_res_id) atlanırsa, sistem tarafından atanan kimlik kullanılır.

Önemli

Kullanıcı tarafından atanan kimlikler için belirteçleri almayı denerseniz, isteğe bağlı özelliklerden birini eklemeniz gerekir. Aksi takdirde belirteç hizmeti, sistem tarafından atanan bir kimlik için var olabilecek veya varolmayan bir belirteç almayı dener.

Yönetilen kimlikleri görüntüleme

Aşağıdaki Azure CLI komutunu kullanarak sistem tarafından atanan ve kullanıcı tarafından atanan yönetilen kimlikleri gösterebilirsiniz. Çıktı, kapsayıcı uygulamanıza atanan tüm yönetilen kimliklerin yönetilen kimlik türünü, kiracı kimliklerini ve asıl kimliklerini gösterir.

az containerapp identity show --name <APP_NAME> --resource-group <GROUP_NAME>

Yönetilen kimliği kaldırma

Sistem tarafından atanan bir kimliği kaldırdığınızda, bu kimlik Microsoft Entra Id'den silinir. Kapsayıcı uygulama kaynağını sildiğinizde sistem tarafından atanan kimlikler de Microsoft Entra Id'den otomatik olarak kaldırılır. Kapsayıcı uygulamanızdan kullanıcı tarafından atanan yönetilen kimliklerin kaldırılması, bunları Microsoft Entra Id'den kaldırmaz.

Azure portalı

1. Uygulamanızın sayfasının sol gezinti bölmesinde aşağı kaydırarak Ayarlar grubuna gelin.

2. Kimlik'i seçin. Ardından kimlik türüne göre adımları izleyin:

   • Sistem tarafından atanan kimlik: Sistem tarafından atanan sekmesinde Durum seçeneğini Kapalı olarak değiştirin. Kaydet'i seçin.
   • Kullanıcı tarafından atanan kimlik: Kullanıcı tarafından atanan sekmesini seçin, kimliğin onay kutusunu seçin ve Kaldır'ı seçin. Onaylamak için Evet'i seçin.

Azure CLI

Sistem tarafından atanan kimliği kaldırmak için:

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> --system-assigned

Kullanıcı tarafından atanan bir veya daha fazla kimliği kaldırmak için:

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> \
    --user-assigned <IDENTITY1_RESOURCE_ID> <IDENTITY2_RESOURCE_ID>

Kullanıcı tarafından atanan tüm kimlikleri kaldırmak için:

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> \
    --user-assigned <IDENTITY1_RESOURCE_ID> <IDENTITY2_RESOURCE_ID>

ARM şablonu

Tüm kimlikleri kaldırmak için ARM şablonunda kapsayıcı uygulamasının kimliğini olarak None ayarlayıntype:

"identity": {
    "type": "None"
}

YAML

Tüm kimlikleri kaldırmak için YAML yapılandırma dosyasında kapsayıcı uygulamasının kimliğini None olarak ayarlayıntype:

identity:
    type: None

Sonraki adımlar

Uygulamayı izleme