Azure İzleyici SCOM Yönetilen Örneği ile Azure için Yönetilen kimlikleri kullanma
Bulut uygulamaları oluştururken karşılaşılan yaygın zorluklardan biri, çeşitli hizmetlerin kimliğini doğrulamak için kodunuzdaki kimlik bilgilerini yerel olarak bir geliştirici iş istasyonuna veya kaynak denetimine kaydetmeden güvenli bir şekilde yönetmedir.
Azure için yönetilen kimlikler, Azure Active Directory'deki tüm kaynaklarınıza otomatik olarak yönetilen kimlikler sağlayarak bu sorunu çözer. Anahtar kasası da dahil olmak üzere Azure Active Directory kimlik doğrulamasını destekleyen herhangi bir hizmetin kimliğini kodunuzdaki kimlik bilgilerini sıralamadan doğrulamak için bir hizmetin kimliğini kullanabilirsiniz.
Not
- Azure için yönetilen kimlikler , daha önce Yönetilen Hizmet Kimliği (MSI) olarak bilinen hizmetin yeni adıdır.
- Azure kaynakları için yönetilen kimlikler, Azure abonelikleri için Azure Active Directory ile ücretsizdir. Ek ücret yoktur.
Kavramlar
Azure için yönetilen kimlikler çeşitli temel kavramları temel alır:
İstemci Kimliği - Azure Active Directory tarafından oluşturulan ve ilk sağlama sırasında bir uygulamaya ve hizmet sorumlusuna bağlı olan benzersiz tanımlayıcı. Daha fazla bilgi için bkz. Uygulama (istemci) kimliği.
Asıl Kimlik - Bir Azure kaynağına rol tabanlı erişim vermek için kullanılan yönetilen kimliğiniz için hizmet sorumlusu nesnesinin nesne kimliği.
Hizmet Sorumlusu - Belirli bir kiracıdaki Azure Active Directory uygulamasının projeksiyonunu temsil eden bir Azure Active Directory nesnesi. Daha fazla bilgi için bkz . Hizmet sorumlusu.
Yönetilen kimlik türleri
İki tür yönetilen kimlik vardır:
Sistem tarafından atanan yönetilen kimlik: Doğrudan bir Azure hizmet örneğinde etkinleştirilir. Sistem tarafından atanan kimliğin yaşam döngüsü, etkinleştirildiği Azure hizmet örneğine özgüdür.
Kullanıcı tarafından atanan yönetilen kimlik: Tek başına bir Azure kaynağı olarak oluşturulur. Kimlik bir veya daha fazla Azure hizmet örneğine atanabilir ve bu örneklerin yaşam döngülerinden ayrı olarak yönetilir.
Yönetilen kimlik türleri hakkında daha fazla bilgi için bkz. Azure kaynakları için yönetilen kimlikler nasıl çalışır?.
SCOM Yönetilen Örneği için desteklenen senaryolar
SCOM Yönetilen Örneği, Azure'da dağıtılan SCOM Yönetilen Örnekleri için hem Sistem Tarafından Atanan Yönetilen Kimliği hem de Kullanıcı Tarafından Atanan Yönetilen Kimliği destekler. SCOM Yönetilen Örneği, yönetim sunucularını barındırmak için Sanal Makine Ölçek Kümeleri (VMSS) kümesi gibi diğer bağımlılık kaynaklarını oluşturur. SCOM Yönetilen Örneği, atanan Kimliğin havuz kaynaklarıyla kimlik doğrulaması için temel altyapıya temsilci olarak atanması için HOBO v2 ile Yönetilen kimlikleri ekler. Bu Kimlikler, farklı senaryolarda diğer Azure hizmetlerinin kimliğini doğrulamak için kullanılır.
Sistem Tarafından Atanan Yönetilen Kimlik
- SCOM Yönetilen Örneği, Geneva Kümesi hizmetlerine farklı sistem durumu veya performans ölçümleri göndererek çalışma zamanındaki örnek davranışını izler. SCOM Yönetilen Örneği kaynağına temsilci olarak atanan sistem Atanan Kimliği, Azure Geneva Kümesi hizmetleriyle kimlik doğrulaması yapmak için kullanılır.
Kullanıcı Tarafından Atanan Yönetilen Kimlik
SCOM Yönetilen Örneği için, Yönetilen Kimlik geleneksel dört System Center Operations Manager hizmet hesabının yerini alır ve SQL Yönetilen Örneği veritabanına erişmek için kullanılır. SCOM Yönetilen Örneği, müşteri iş yükü izleme verilerini SQL yönetilen örnek veritabanlarına okur/yazar. SCOM Yönetilen Örneği kaynağına atanan Kullanıcı Tarafından Atanan Kimlik, System Center Operations Manager sunucularından SQL Yönetilen örneğine kimlik doğrulaması için kullanılır.
SCOM Yönetilen Örneği ekleme işlemi, Müşteri Anahtarı kasasında depolanan etki alanı kullanıcı kimlik bilgilerini alır. Müşteri Anahtarı kasasındaki gizli dizilere, SCOM Yönetilen Örneği'ne atanan yönetilen kimlik kullanılarak erişilir.
SCOM Yönetilen Örneği ekleme sırasında, Müşteri Anahtarı kasasına ve SQL Yönetilen Örneği erişimi olan Kullanıcı Tarafından Yönetilen Kimliği sağlamanız gerekir.
Yönetilen Hizmet Kimliği (MSI) oluşturma
Yönetilen Hizmet kimliği oluşturun ve Azure kaynağında doğru erişim düzeyini sağlayın.
Anahtar kasası oluşturma ve Kimlik Bilgilerini Anahtar kasasına gizli dizi olarak ekleme
Oluşturduğunuz etki alanı hesabını Active Directory'de güvenlik için bir Anahtar kasası hesabında depolayın. Azure Key Vault anahtarlar, gizli diziler ve sertifikalar için güvenli bir depo sağlayan bir bulut hizmetidir. Daha fazla bilgi için bkz. Azure Key Vault.
- Anahtar kasası oluşturma.
- Etki alanı hesabı için bir Gizli Dizi oluşturun.
- Bu anahtar kasasında Yönetilen Hizmet Kimliği'ne (MSI) bir Okuyucu rolü atayın. Daha fazla bilgi için bkz . Anahtar kasası erişim ilkesi atama.
SQL Yönetilen Örneği Active Directory Yönetici değerini ayarlama
SQL Yönetilen Örneği Active Directory Yönetici değerini ayarlayın.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin