分享方式:

設定開發人員中心的受控識別

  • 文章

本指南說明如何為您的 Azure 部署環境開發人員中心新增和設定受控識別,以啟用開發小組的安全部署。

Azure 部署環境會使用受控身分識別來為開發小組提供自助部署功能,而不需要讓他們存取 Azure 資源建立所在的訂用帳戶。 受控識別會將提升的權限功能和安全驗證新增至任何支援 Microsoft Entra 驗證的服務。

附加至開發人員中心的受控識別,應該在每個環境類型的部署訂用帳戶中同時指派參與者角色和使用者存取系統管理員角色。 要求環境部署時,服務會將適當的權限授與專為環境類型設定的部署身分識別,以代表使用者進行部署。 附加至開發人員中心的受控識別也可用來新增至目錄並存取目錄中的環境定義

新增受控識別

在 Azure 部署環境中,您可以選擇兩種類型的受控識別:

  • 系統指派的身分識別:系統指派的身分識別會繫結至您的開發人員中心或專案環境類型。 刪除附加資源時,也會刪除系統指派的身分識別。 開發人員中心或專案環境類型只能有一個系統指派的身分識別。
  • 使用者指派的身分識別:使用者指派的身分識別是獨立的 Azure 資源,您可以指派給開發人員中心或專案環境類型。 針對 Azure 部署環境預覽版,開發人員中心或專案環境類型只能有一個使用者指派的身分識別。

作為安全性最佳做法,如果您選擇使用使用者指派的身分識別,請針對專案和開發人員中心使用不同的身分識別。 相較於開發人員中心,專案身分識別對資源的存取權應該更為有限。

注意

在 Azure 部署環境中,如果您同時新增系統指派的身分識別和使用者指派的身分識別,則只會使用使用者指派的身分識別。

新增系統指派的受控識別

  1. 登入 Azure 入口網站,然後移至 Azure 部署環境。

  2. 開發人員中心中,選取您的開發人員中心。

  3. 在左側功能表的 [設定] 下,選取 [身分識別]

  4. 在 [系統指派] 下,將 [狀態] 設定為 [開啟]

  5. 選取 [儲存]。

    Screenshot that shows the system-assigned managed identity.

  6. 在 [啟用系統指派的受控識別] 對話方塊中,選取 [是]

新增使用者指派的受控識別

  1. 登入 Azure 入口網站,然後移至 Azure 部署環境。

  2. 開發人員中心中,選取您的開發人員中心。

  3. 在左側功能表的 [設定] 下,選取 [身分識別]

  4. 在 [使用者指派] 下,選取 [新增] 以附加現有的身分識別。

    Screenshot that shows the user-assigned managed identity.

  5. 在 [新增使用者指派的受控識別] 上,輸入或選取下列資訊:

    1. 在 [訂用帳戶] 上,選取身分識別所在的訂用帳戶。
    2. 在 [使用者指派的受控識別] 上,選取現有的身分識別。
    3. 選取 [新增]。

指派訂用帳戶角色指派

附加至開發人員中心的身分識別應獲派所有部署訂用帳戶的參與者和使用者存取系統管理員角色,以及包含相關專案之所有訂用帳戶的讀取者角色。 當使用者建立或部署環境時,服務會對附加至專案環境類型的部署身分識別授與適當存取權。 部署身分識別會使用存取權來代表使用者執行部署。 您可以使用受控識別來讓開發人員建立環境,而不授與他們訂用帳戶的存取權。

將角色指派新增至系統指派的受控識別

  1. 在 Azure 入口網站中,瀏覽至 Azure 部署環境中的開發人員中心。

  2. 在左側功能表的 [設定] 下,選取 [身分識別]

  3. 在 [系統指派]>[權限] 下,選取 [Azure 角色指派]

    Screenshot that shows the Azure role assignment for system-assigned identity.

  4. 若要為訂用帳戶提供參與者存取權,請選取 [新增角色指派 (預覽版)],輸入或選取下列資訊,然後選取 [儲存]

    名稱
    範圍 訂用帳戶
    訂用帳戶 選取要使用受控識別的訂用帳戶。
    Role 參與者

  5. 若要為使用者存取系統管理員授與訂用帳戶的存取權,請選取 [新增角色指派 (預覽)],輸入或選取下列資訊,然後選取 [儲存]

    名稱
    範圍 訂用帳戶
    訂用帳戶 選取要使用受控識別的訂用帳戶。
    Role 使用者存取系統管理員

將角色指派新增至系統指派的受控識別

  1. 在 Azure 入口網站中,瀏覽至您的開發人員中心。

  2. 在左側功能表的 [設定] 下,選取 [身分識別]

  3. 在 [使用者指派] 底下,選取身分識別。

  4. 在左側功能表中,選取 [Azure 角色指派]

  5. 若要為訂用帳戶提供參與者存取權,請選取 [新增角色指派 (預覽版)],輸入或選取下列資訊,然後選取 [儲存]

    名稱
    範圍 訂用帳戶
    訂用帳戶 選取要使用受控識別的訂用帳戶。
    Role 參與者

  6. 若要為使用者存取系統管理員授與訂用帳戶的存取權,請選取 [新增角色指派 (預覽)],輸入或選取下列資訊,然後選取 [儲存]

    名稱
    範圍 訂用帳戶
    訂用帳戶 選取要使用受控識別的訂用帳戶。
    Role 使用者存取系統管理員

對受控識別授與金鑰保存庫祕密的存取權

您可以設定金鑰保存庫,以使用金鑰保存庫存取原則Azure 角色型存取控制

注意

您必須先對受控識別授與金鑰保存庫祕密 (內含存放庫的個人存取權杖) 的存取權,才能將存放庫新增為目錄。

金鑰保存庫存取原則

如果金鑰保存庫設定為使用金鑰保存庫存取原則:

  1. 在 Azure 入口網站中,移至包含祕密與個人存取權杖的金鑰保存庫。

  2. 在左側功能表中,選取 [存取原則],然後選取 [建立]

  3. 在 [建立存取原則] 中,輸入或選取下列資訊:

    1. 在 [權限] 索引標籤的 [祕密權限] 底下,選取 [取得] 核取方塊,然後選取 [下一步]
    2. 在 [主體] 索引標籤上,選取附加至開發人員中心的身分識別。
    3. 選取 [檢閱 + 建立],然後選取 [建立]。

Azure 角色型存取控制

如果金鑰保存庫設定為使用 Azure 角色型存取控制:

  1. 在 Azure 入口網站中,移至包含祕密與個人存取權杖的金鑰保存庫。

  2. 在左側功能表中,選取 [存取控制 (IAM)]

  3. 選取身分識別,然後在左側功能表中,選取 [Azure 角色指派]

  4. 選取 [新增角色指派],然後輸入或選取下列資訊:

    1. 針對 [範圍],選取密鑰保存庫。
    2. 針對 [訂用帳戶],選取包含金鑰保存庫的訂用帳戶。
    3. 針對 [資源],選取密鑰保存庫。
    4. 針對 [角色],選取 [金鑰保存庫祕密使用者]
    5. 選取 [儲存]。

相關內容