Использование управляемых удостоверений для Конфигурации приложений Azure

  • Статья

В этой статье показано, как создать управляемое удостоверение для Конфигурация приложений Azure. Управляемое удостоверение из идентификатора Microsoft Entra позволяет Конфигурация приложений Azure легко получить доступ к другим защищенным ресурсам Microsoft Entra. Для управления этими удостоверениями используется платформа Azure, Это не требует подготовки или смены секретов. Дополнительные сведения об управляемых удостоверениях в идентификаторе Microsoft Entra см. в разделе "Управляемые удостоверения" для ресурсов Azure.

Приложению можно предоставить два типа удостоверений:

  • Назначаемое системой удостоверение связано с хранилищем конфигурации. Она удаляется вместе с хранилищем конфигурации. У хранилища конфигурации может быть только одно назначаемое системой удостоверение.
  • Назначаемое пользователем удостоверение — это изолированный ресурс Azure, который можно назначить хранилищу конфигурации. У хранилища конфигурации может быть несколько назначаемых пользователем удостоверений.

Добавление назначаемого системой удостоверения

Чтобы создать хранилище Конфигурации приложений с назначаемым системой удостоверением, необходимо задать в хранилище дополнительное свойство.

Использование Azure CLI

Чтобы настроить управляемое удостоверение с помощью Azure CLI, используйте команду [az appconfig identity assign] для существующего хранилища конфигурации. Примеры из этого раздела можно выполнять тремя способами:

  • использовать Azure Cloud Shell с портала Azure;
  • использовать внедренный компонент Azure Cloud Shell с помощью кнопки "Попробовать", расположенной в правом верхнем углу каждого блока кода ниже.
  • установить последнюю версию Azure CLI (2.1 или выше), если вы предпочитаете использовать локальную консоль CLI.

Ниже описано, как создать хранилище Конфигурация приложений и назначить его удостоверение с помощью интерфейса командной строки:

  1. Если вы используете Azure CLI в локальной консоли, сначала войдите в Azure с помощью [az login]. Используйте ученую запись, связанную с вашей подпиской Azure:

    az login

  2. Создайте хранилище Конфигурации приложений с помощью CLI. Дополнительные примеры использования CLI с хранилищем Конфигурации приложений см. в этой статье.

    az group create --name myResourceGroup --location eastus
az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free

  3. Выполните команду [az appconfig identity assign], чтобы создать удостоверение, назначаемое системой для этого хранилища конфигурации:

    az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup

Добавление назначаемого пользователем удостоверения

Для создания хранилища Конфигурации приложений с назначаемым пользователем удостоверением необходимо создать удостоверение, а затем добавить его идентификатор ресурса в хранилище.

Примечание.

Управляемые удостоверения, назначаемые пользователем, можно добавить до 10 в хранилище Конфигурация приложений.

Использование Azure CLI

Чтобы настроить управляемое удостоверение с помощью Azure CLI, используйте команду [az appconfig identity assign] для существующего хранилища конфигурации. Примеры из этого раздела можно выполнять тремя способами:

  • использовать Azure Cloud Shell с портала Azure;
  • использовать внедренный компонент Azure Cloud Shell с помощью кнопки "Попробовать", расположенной в правом верхнем углу каждого блока кода ниже.
  • установить последнюю версию Azure CLI (2.0.31 или выше), если вы предпочитаете использовать локальную консоль CLI.

Ниже описано, как создать удостоверение, назначаемое пользователем, и хранилище Конфигурация приложений, а затем назначить удостоверение хранилищу с помощью ИНТЕРФЕЙСА командной строки:

  1. Если вы используете Azure CLI в локальной консоли, сначала войдите в Azure с помощью [az login]. Используйте ученую запись, связанную с вашей подпиской Azure:

    az login

  2. Создайте хранилище Конфигурации приложений с помощью CLI. Дополнительные примеры использования CLI с хранилищем Конфигурации приложений см. в этой статье.

    az group create --name myResourceGroup --location eastus
az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free

  3. Создайте назначаемое пользователем удостоверение myUserAssignedIdentity с помощью CLI.

    az identity create --resource-group myResourceGroup --name myUserAssignedIdentity

    В выходных данных этой команды обратите внимание на значение свойства id.

  4. Выполните команду [az appconfig identity assign], чтобы назначить новое удостоверение, назначаемое пользователем, этому хранилищу конфигурации. Используйте значение свойства id, записанное на предыдущем шаге.

    az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup --identities /subscriptions/[subscription id]/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUserAssignedIdentity

Удаление удостоверения

Чтобы удалить назначаемое системой удостоверение, отключите эту функцию с помощью команды az appconfig identity remove в Azure CLI. Назначаемые пользователем удостоверения можно удалить по отдельности. Удаление назначаемого системой удостоверения таким образом также удаляет его из идентификатора Microsoft Entra. Удостоверения, назначаемые системой, также автоматически удаляются из идентификатора Microsoft Entra при удалении ресурса приложения.

Следующие шаги

Создание приложения ASP.NET Core с помощью службы "Конфигурация приложений Azure"