Come usare le identità gestite per la configurazione di app Azure
Questo articolo illustra come creare un'identità gestita per app Azure Configurazione. Un'identità gestita da Microsoft Entra ID consente app Azure Configurazione di accedere facilmente ad altre risorse protette di Microsoft Entra. L'identità viene gestita dalla piattaforma Azure. Non è necessario effettuare il provisioning di alcun segreto né ruotarlo. Per altre informazioni sulle identità gestite in Microsoft Entra ID, vedere Identità gestite per le risorse di Azure.
All'applicazione possono essere concessi due tipi di identità:
- Un'identità assegnata dal sistema è associata all'archivio di configurazione. Viene eliminata se viene eliminato l'archivio di configurazione. A un archivio di configurazione può essere associata una sola identità gestita assegnata dal sistema.
- Un'identità assegnata dall'utente è una risorsa di Azure autonoma che può essere assegnata all'archivio di configurazione. Un archivio di configurazione può avere più identità assegnate dall'utente.
Aggiunta di un'identità assegnata dal sistema
La creazione di un archivio Configurazione app con un'identità assegnata dal sistema richiede l'impostazione di una proprietà aggiuntiva nell'archivio.
Con l'interfaccia della riga di comando di Azure
Per configurare un'identità gestita usando l'interfaccia della riga di comando di Azure, usare il comando [az appconfig identity assign] in un archivio di configurazione esistente. Sono disponibili tre opzioni per l'esecuzione degli esempi di questa sezione:
- Usare Azure Cloud Shell dal portale di Azure.
- Usare Azure Cloud Shell incorporato tramite il pulsante "Prova", situato nell'angolo in alto a destra di ogni blocco di codice indicato di seguito.
- Installare la versione più recente dell'interfaccia della riga di comando di Azure (2.1 o versione successiva) se si preferisce usare una console dell'interfaccia della riga di comando locale.
La procedura seguente illustra come creare un archivio Configurazione app e assegnargli un'identità usando l'interfaccia della riga di comando:
Se si usa l'interfaccia della riga di comando di Azure in una console locale, accedere prima ad Azure usando [az login]. Usare un account associato alla sottoscrizione di Azure:
az login
Creare un archivio Configurazione app usando l'interfaccia della riga di comando. Per altri esempi di come usare l'interfaccia della riga di comando con app Azure Configuration, vedere Configurazione app esempi dell'interfaccia della riga di comando:
az group create --name myResourceGroup --location eastus az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free
Eseguire il comando [az appconfig identity assign] per creare l'identità assegnata dal sistema per questo archivio di configurazione:
az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup
Aggiunta di un'identità assegnata dall'utente
La creazione di un archivio di Configurazione app con un'identità assegnata dall'utente richiede la creazione dell'identità e quindi l'assegnazione dell'identificatore di risorsa corrispondente all'archivio.
Nota
È possibile aggiungere fino a 10 identità gestite assegnate dall'utente a un archivio Configurazione app.
Con l'interfaccia della riga di comando di Azure
Per configurare un'identità gestita usando l'interfaccia della riga di comando di Azure, usare il comando [az appconfig identity assign] in un archivio di configurazione esistente. Sono disponibili tre opzioni per l'esecuzione degli esempi di questa sezione:
- Usare Azure Cloud Shell dal portale di Azure.
- Usare Azure Cloud Shell incorporato tramite il pulsante "Prova", situato nell'angolo in alto a destra di ogni blocco di codice indicato di seguito.
- Installare la versione più recente dell'interfaccia della riga di comando di Azure (2.0.31 o successiva) se si preferisce usare una console dell'interfaccia della riga di comando locale.
La procedura seguente illustra come creare un'identità assegnata dall'utente e un archivio Configurazione app, quindi assegnare l'identità all'archivio usando l'interfaccia della riga di comando:
Se si usa l'interfaccia della riga di comando di Azure in una console locale, accedere prima ad Azure usando [az login]. Usare un account associato alla sottoscrizione di Azure:
az login
Creare un archivio Configurazione app usando l'interfaccia della riga di comando. Per altri esempi di come usare l'interfaccia della riga di comando con app Azure Configuration, vedere Configurazione app esempi dell'interfaccia della riga di comando:
az group create --name myResourceGroup --location eastus az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free
Creare un'identità assegnata dall'utente denominata
myUserAssignedIdentity
usando l'interfaccia della riga di comando.az identity create --resource-group myResourceGroup --name myUserAssignedIdentity
Nell'output di questo comando prendere nota del valore della
id
proprietà .Eseguire il comando [az appconfig identity assign] per assegnare la nuova identità assegnata dall'utente a questo archivio di configurazione. Usare il valore della
id
proprietà annotata nel passaggio precedente.az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup --identities /subscriptions/[subscription id]/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUserAssignedIdentity
Rimozione di un'identità
È possibile rimuovere un'identità assegnata dal sistema disabilitando la funzionalità usando il comando az appconfig identity remove nell'interfaccia della riga di comando di Azure. Le identità assegnate dall'utente possono essere rimosse separatamente. La rimozione di un'identità assegnata dal sistema in questo modo ne comporta l'eliminazione anche da Microsoft Entra ID. Anche le identità assegnate dal sistema vengono rimosse automaticamente dall'ID Microsoft Entra quando la risorsa dell'app viene eliminata.