如何為 Azure 應用程式組態使用受控識別

  • 發行項

本主題說明如何為 Azure 應用程式組態建立受控識別。 Microsoft Entra ID 的受控識別可讓 Azure 應用程式組態輕鬆存取其他受 Microsoft Entra 保護的資源。 身分識別是由 Azure 平台管理。 不需要您佈建或輪替任何祕密。 如需有關 Microsoft Entra ID 中受控識別的詳細資訊,請參閱適用於 Azure 資源的受控識別

您的應用程式可以授與兩種類型的身分識別:

  • 系統指派的身分識別會繫結至您的組態存放區。 如果您的組態存放區已刪除,則會將其刪除。 組態存放區只能有一個系統指派的身分識別。
  • 使用者指派的身分識別是一項獨立 Azure 資源,可指派給您的組態存放區。 組態存放區可以有多個使用者指派的身分識別。

新增系統指派的身分識別

若要建立採用系統指派身分識別的應用程式組態存放區,您必須在存放區上設定額外的屬性。

使用 Azure CLI

若要使用 Azure CLI 設定受控識別,請對現有的組態存放區使用 az appconfig identity assign 命令。 有三個選項可供您執行本節中的範例︰

  • 從 Azure 入口網站使用 Azure Cloud Shell
  • 請透過下方每個程式碼區塊右上角的 [立即試用] 按鈕,使用內嵌的 Azure Cloud Shell。
  • 如果您偏好使用本機 CLI 主控台,請安裝最新版的 Azure CLI (2.1 或更新版本)。

下列步驟將逐步引導您建立應用程式組態存放區,並使用 CLI 為其指派身分識別:

  1. 如果您要在本機主控台中使用 Azure CLI,請先使用 az login 登入 Azure。 使用與您 Azure 訂用帳戶相關聯的帳戶:

    az login

  2. 使用 CLI 建立應用程式組態存放區。 如需如何使用 CLI 搭配 Azure 應用程式組態的更多範例,請參閱應用程式組態 CLI 範例

    az group create --name myResourceGroup --location eastus
az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free

  3. 執行 az appconfig identity assign 命令來建立此組態存放區的系統指派身分識別:

    az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup

新增使用者指派的身分識別

利用使用者指派的身分識別建立應用程式組態存放區,會需要您建立身分識別,然後將其資源識別碼新增到您的存放區中。

注意

您最多可以將 10 個使用者指派的受控識別新增至應用程式組態存放區。

使用 Azure CLI

若要使用 Azure CLI 設定受控識別,請對現有的組態存放區使用 az appconfig identity assign 命令。 有三個選項可供您執行本節中的範例︰

  • 從 Azure 入口網站使用 Azure Cloud Shell
  • 請透過下方每個程式碼區塊右上角的 [立即試用] 按鈕,使用內嵌的 Azure Cloud Shell。
  • 如果您偏好使用本機 CLI 主控台,請安裝最新版的 Azure CLI (2.0.31 或更新版本)。

下列步驟將逐步引導您建立使用者指派身分識別和應用程式組態存放區,然後使用 CLI 將身分識別指派給存放區:

  1. 如果您要在本機主控台中使用 Azure CLI,請先使用 az login 登入 Azure。 使用與您 Azure 訂用帳戶相關聯的帳戶:

    az login

  2. 使用 CLI 建立應用程式組態存放區。 如需如何使用 CLI 搭配 Azure 應用程式組態的更多範例,請參閱應用程式組態 CLI 範例

    az group create --name myResourceGroup --location eastus
az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free

  3. 使用 CLI 建立名為 myUserAssignedIdentity 的使用者指派身分識別。

    az identity create --resource-group myResourceGroup --name myUserAssignedIdentity

    在此命令的輸出中,記下 id 屬性的值。

  4. 執行 az appconfig identity assign 命令將新的使用者指派身分識別指派給此組態存放區。 使用您在上一個步驟中記錄的 id 屬性值。

    az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup --identities /subscriptions/[subscription id]/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUserAssignedIdentity

移除身分識別

使用 Azure CLI 中的 az appconfig identity remove 命令,即可停用功能來移除系統指派身分識別。 使用者指派的身分識別可以個別移除。 以這種方式移除系統指派的身分識別,也會從 Microsoft Entra ID 將其刪除。 您刪除應用程式資源時,系統指派的身分識別會自動從 Microsoft Entra ID 移除。

下一步

使用 Azure 應用程式組態建立 ASP.NET Core 應用程式