Azure API Management'ta yönetilen kimlikleri kullanma

UYGULANANLAR: Tüm API Management katmanları

Bu makalede, Azure API Management örneği için yönetilen kimlik oluşturma ve diğer kaynaklara erişmek için bu kimliği kullanma adımları gösterilmektedir. Microsoft Entra ID tarafından oluşturulan yönetilen kimlik, API Management örneğinizin Azure Key Vault gibi diğer Microsoft Entra korumalı kaynaklarına kolayca ve güvenli bir şekilde erişmesini sağlar. Azure bu kimliği yönettiğinden gizli dizi sağlamak veya döndürmek zorunda kalmazsınız. Yönetilen kimlikler hakkında daha fazla bilgi için bkz . Azure kaynakları için yönetilen kimlikler nelerdir?.

Bir API Management örneğine iki tür kimlik izni verebilirsiniz:

  • Sistem tarafından atanan bir kimlik, hizmetinize bağlıdır ve hizmet silinirse o da silinir. Hizmet, sistem tarafından atanan yalnızca bir kimliğe sahip olabilir.
  • Kullanıcı tarafından atanan kimlik ise hizmetinize atanabilen, tek başına bir Azure kaynağıdır. Hizmet, kullanıcı tarafından atanan birden çok kimlik içerebilir.

Not

Yönetilen kimlikler, Azure aboneliğinizin barındırıldığı Microsoft Entra kiracısına özgüdür. Abonelik farklı bir dizine taşınırsa bu abonelikler güncelleştirilmez. Abonelik taşınırsa kimlikleri yeniden oluşturmanız ve yapılandırmanız gerekir.

Not

Şu anda bu özellik çalışma alanlarında kullanılamaz.

Sistem tarafından atanan yönetilen kimlik oluşturma

Azure portal

Azure portalında yönetilen kimlik ayarlamak için önce bir API Management örneği oluşturacak ve ardından özelliği etkinleştireceksiniz.

  1. Normalde yaptığınız gibi portalda bir API Management örneği oluşturun. Portalda bu dosyaya göz atın.

  2. Soldaki menüde, Güvenlik'in altında Yönetilen kimlikler'i seçin.

  3. Sistem tarafından atanan sekmesinde Durum'a Açık olarak geçin. Kaydet'i seçin.

    Sistem tarafından atanan yönetilen kimliği etkinleştirme seçimleri

Azure PowerShell

Not

Azure ile etkileşim kurmak için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz . Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

Aşağıdaki adımlar, Api Management örneği oluşturma ve Azure PowerShell kullanarak bir kimlik atama adımlarını gösterir.

  1. Gerekirse, Azure PowerShell kılavuzundaki yönergeleri kullanarak Azure PowerShell'i yükleyin. Ardından azure ile bağlantı oluşturmak için komutunu çalıştırın Connect-AzAccount .

  2. Örneği sistem tarafından atanan yönetilen kimlikle oluşturmak için aşağıdaki kodu kullanın. Azure PowerShell'i bir API Management örneğiyle kullanma hakkında daha fazla örnek için bkz . API Management PowerShell örnekleri.

    # Create a resource group.
    New-AzResourceGroup -Name $resourceGroupName -Location $location
    
    # Create an API Management Consumption Sku service.
    New-AzApiManagement -ResourceGroupName $resourceGroupName -Name consumptionskuservice -Location $location -Sku Consumption -Organization contoso -AdminEmail contoso@contoso.com -SystemAssignedIdentity
    

Ayrıca, kimliği oluşturmak için var olan bir örneği güncelleştirebilirsiniz:

# Get an API Management instance
$apimService = Get-AzApiManagement -ResourceGroupName $resourceGroupName -Name $apiManagementName

# Update an API Management instance
Set-AzApiManagement -InputObject $apimService -SystemAssignedIdentity

Azure Resource Manager şablonu

Kaynak tanımına aşağıdaki özelliği ekleyerek sistem tarafından atanan bir kimliğe sahip bir API Management örneği oluşturabilirsiniz:

"identity" : {
    "type" : "SystemAssigned"
}

Bu özellik, Azure'a API Management örneğiniz için kimlik oluşturmasını ve yönetmesini söyler.

Örneğin, eksiksiz bir Azure Resource Manager şablonu aşağıdaki gibi görünebilir:

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "0.9.0.0",
    "resources": [{
        "apiVersion": "2021-08-01",
        "name": "contoso",
        "type": "Microsoft.ApiManagement/service",
        "location": "[resourceGroup().location]",
        "tags": {},
        "sku": {
            "name": "Developer",
            "capacity": "1"
        },
        "properties": {
            "publisherEmail": "admin@contoso.com",
            "publisherName": "Contoso"
        },
        "identity": {
            "type": "systemAssigned"
        }
    }]
}

Örnek oluşturulduğunda aşağıdaki ek özelliklere sahiptir:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "<TENANTID>",
    "principalId": "<PRINCIPALID>"
}

özelliği, tenantId kimliğin hangi Microsoft Entra kiracısına ait olduğunu tanımlar. principalId özelliği, örneğin yeni kimliği için benzersiz bir tanımlayıcıdır. Microsoft Entra Id içinde hizmet sorumlusu, API Management örneğiniz için girdiğiniz adla aynı ada sahiptir.

Not

API Management örneği, hem sistem tarafından hem de kullanıcı tarafından atanan kimlikleri aynı anda içerebilir. Bu durumda özelliği type olacaktır SystemAssigned,UserAssigned.

Yönetilen kimlik kullanarak Key Vault erişimini yapılandırma

API Management'ın azure anahtar kasasından gizli dizilere ve sertifikalara erişmesi için aşağıdaki yapılandırmalar gereklidir.

Anahtar kasasına erişimi yapılandırma

  1. Portalda anahtar kasanıza gidin.

  2. Sol menüde Erişim yapılandırması'nı seçin ve yapılandırılan İzin modelini not edin.

  3. İzin modeline bağlı olarak, API Management yönetilen kimliği için bir anahtar kasası erişim ilkesi veya Azure RBAC erişimi yapılandırın.

    Anahtar kasası erişim ilkesi eklemek için:

    1. Sol menüde Erişim ilkeleri'ni seçin.
    2. Erişim ilkeleri sayfasında + Oluştur'u seçin.
    3. İzinler sekmesindeki Gizli dizi izinleri'nin altında Al ve Listele'yi ve ardından İleri'yi seçin.
    4. Sorumlu sekmesinde Sorumluyu seçin, yönetilen kimliğinizin kaynak adını arayın ve İleri'yi seçin. Sistem tarafından atanan bir kimlik kullanıyorsanız, sorumlu API Management örneğinizin adıdır.
    5. İleri'yi yeniden seçin. Gözden Geçir + oluştur sekmesinde Oluştur'u seçin.

    Azure RBAC erişimini yapılandırmak için:

    1. Sol menüde Erişim denetimi (IAM) öğesini seçin.
    2. Erişim denetimi (IAM) sayfasında Rol ataması ekle'yi seçin.
    3. Rol sekmesinde Key Vault Sertifika Kullanıcısı'nı seçin.
    4. Üyeler sekmesinde Yönetilen kimlik>+ Üye seç'i seçin.
    5. Yönetilen kimliği seçin sayfasında, API Management örneğiniz ile ilişkilendirilmiş sistem tarafından atanan yönetilen kimliği veya kullanıcı tarafından atanan yönetilen kimliği seçin ve ardından Seç'i seçin.
    6. Gözden geçir + ata'yı seçin.

Key Vault güvenlik duvarı gereksinimleri

Anahtar kasanızda Key Vault güvenlik duvarı etkinleştirildiyse ek gereksinimler şunlardır:

  • Anahtar kasasına erişmek için API Management örneğinin sistem tarafından atanan yönetilen kimliğini kullanmanız gerekir.

  • Key Vault güvenlik duvarında Güvenilen Microsoft Hizmetleri'nin bu güvenlik duvarını atlamasına izin ver seçeneğini etkinleştirin.

  • Azure API Management'a eklemek üzere bir sertifika veya gizli dizi seçerken yerel istemci IP adresinizin anahtar kasasına geçici olarak erişmesine izin verildiğinden emin olun. Daha fazla bilgi için bkz . Azure Key Vault ağ ayarlarını yapılandırma.

    Yapılandırmayı tamamladıktan sonra, anahtar kasası güvenlik duvarında istemci adresinizi engelleyebilirsiniz.

Sanal ağ gereksinimleri

API Management örneği bir sanal ağda dağıtıldıysa, aşağıdaki ağ ayarlarını da yapılandırın:

Ayrıntılar için bkz . Sanal ağda Azure API Management'ı ayarlarken ağ yapılandırması.

Sistem tarafından atanan kimlik kullanılarak desteklenen senaryolar

Azure Key Vault'dan API Management örneği için özel TLS/SSL sertifikası alma

Azure Key Vault’ta depolanan özel TLS/SSL sertifikalarını almak için bir API Management örneğinin sistem tarafından atanan kimliğini kullanabilirsiniz. Ardından bu sertifikaları API Management örneğindeki özel etki alanlarına atayabilirsiniz. Şu noktaları göz önünde bulundurun:

  • Gizli dizinin içerik türü application/x-pkcs12 olmalıdır. Özel etki alanı sertifika gereksinimleri hakkında daha fazla bilgi edinin.
  • Gizli diziyi içeren Key Vault sertifika gizli dizisi uç noktasını kullanın.

Önemli

Sertifikanın nesne sürümünü sağlamazsanız API Management, key vault'ta güncelleştirildikten sonra dört saat içinde sertifikanın daha yeni sürümünü otomatik olarak alır.

Aşağıdaki örnekte, Key Vault'tan özel bir etki alanı sertifikası almak için API Management hizmet örneğinin sistem tarafından atanan yönetilen kimliğini kullanan bir Azure Resource Manager şablonu gösterilmektedir.

Önkoşullar

  • Sistem tarafından atanan yönetilen kimlikle yapılandırılmış bir API Management hizmet örneği. Örneği oluşturmak için bir Azure Hızlı Başlangıç Şablonu kullanabilirsiniz.
  • API Management'ta özel etki alanı sertifikası olarak kullanılacak bir sertifikayı barındıran, aynı kaynak grubundaki bir Azure Key Vault örneği.

Aşağıdaki şablon aşağıdaki adımları içerir.

  1. Azure Key Vault örneğinin erişim ilkelerini güncelleştirin ve API Management örneğinin ondan gizli diziler almasına izin verin.
  2. Key Vault örneğindeki sertifika aracılığıyla özel bir etki alanı adı ayarlayarak API Management örneğini güncelleştirin.

Şablonu çalıştırdığınızda ortamınıza uygun parametre değerlerini sağlayın.

{
	"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
	"contentVersion": "1.0.0.0",
	"parameters": {
        "apiManagementServiceName": {
            "type": "string",
            "minLength": 8,
            "metadata":{
                "description": "The name of the API Management service"
            }
        },
		"publisherEmail": {
			"type": "string",
			"minLength": 1,
			"metadata": {
				"description": "The email address of the owner of the service"
			}
		},
		"publisherName": {
			"type": "string",
			"minLength": 1,
			"metadata": {
				"description": "The name of the owner of the service"
			}
		},
		"sku": {
			"type": "string",
			"allowedValues": ["Developer",
			"Standard",
			"Premium"],
			"defaultValue": "Developer",
			"metadata": {
				"description": "The pricing tier of this API Management service"
			}
		},
		"skuCount": {
			"type": "int",
			"defaultValue": 1,
			"metadata": {
				"description": "The instance size of this API Management service."
			}
		},
        "keyVaultName": {
            "type": "string",
            "metadata": {
                "description": "Name of the key vault"
            }
        },
		"proxyCustomHostname1": {
			"type": "string",
			"metadata": {
				"description": "Gateway custom hostname 1. Example: api.contoso.com"
			}
		},
		"keyVaultIdToCertificate": {
			"type": "string",
			"metadata": {
				"description": "Reference to the key vault certificate. Example: https://contoso.vault.azure.net/secrets/contosogatewaycertificate"
			}
		}
	},
	 "variables": {
        "apimServiceIdentityResourceId": "[concat(resourceId('Microsoft.ApiManagement/service', parameters('apiManagementServiceName')),'/providers/Microsoft.ManagedIdentity/Identities/default')]"
		    },
	"resources": [ 
   {
        "apiVersion": "2021-08-01",
        "name": "[parameters('apiManagementServiceName')]",
        "type": "Microsoft.ApiManagement/service",
        "location": "[resourceGroup().location]",
        "tags": {
        },
        "sku": {
            "name": "[parameters('sku')]",
            "capacity": "[parameters('skuCount')]"
        },
        "properties": {
            "publisherEmail": "[parameters('publisherEmail')]",
            "publisherName": "[parameters('publisherName')]"
        },
        "identity": {
            "type": "systemAssigned"
        }
    },
    {
        "type": "Microsoft.KeyVault/vaults/accessPolicies",
        "name": "[concat(parameters('keyVaultName'), '/add')]",
        "apiVersion": "2018-02-14",
        "properties": {
            "accessPolicies": [{
                "tenantId": "[reference(variables('apimServiceIdentityResourceId'), '2018-11-30').tenantId]",
                "objectId": "[reference(variables('apimServiceIdentityResourceId'), '2018-11-30').principalId]",
                "permissions": {
                     "secrets": ["get", "list"]
                }
            }]
        }
    },
	{
        "apiVersion": "2021-04-01",
		"type": "Microsoft.Resources/deployments",
        "name": "apimWithKeyVault",
		 "dependsOn": [
        "[resourceId('Microsoft.ApiManagement/service', parameters('apiManagementServiceName'))]"
        ],
        "properties": {
            "mode": "incremental",
            "template": {
                "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
				"contentVersion": "1.0.0.0",
				"parameters": {},			
				"resources": [{
					"apiVersion": "2021-08-01",
					"name": "[parameters('apiManagementServiceName')]",
					"type": "Microsoft.ApiManagement/service",
					"location": "[resourceGroup().location]",
					"tags": {
					},
					"sku": {
						"name": "[parameters('sku')]",
						"capacity": "[parameters('skuCount')]"
					},
					"properties": {
						"publisherEmail": "[parameters('publisherEmail')]",
						"publisherName": "[parameters('publisherName')]",
						"hostnameConfigurations": [{
							"type": "Proxy",
							"hostName": "[parameters('proxyCustomHostname1')]",
							"keyVaultId": "[parameters('keyVaultIdToCertificate')]"
						}]
					},
					"identity": {
						"type": "systemAssigned"
					}
				}]
		}
		}
	}
]
}

Azure Key Vault'tan adlandırılmış değerleri depolama ve yönetme

API Management ilkelerinde kullanılmak üzere gizli dizileri depolamak ve yönetmek üzere Azure Key Vault'a erişmek için sistem tarafından atanan yönetilen kimliği kullanabilirsiniz. Daha fazla bilgi için bkz . Azure API Management ilkelerinde adlandırılmış değerleri kullanma.

API Management kimliği kullanarak arka uçta kimlik doğrulaması

Kimlik doğrulaması-yönetilen-kimlik ilkesi aracılığıyla arka uç hizmetinde kimlik doğrulaması yapmak için sistem tarafından atanan kimliği kullanabilirsiniz.

Sistem tarafından atanan yönetilen kimliği kullanarak IP güvenlik duvarının arkasındaki Azure kaynaklarına bağlanma

API Management, aşağıdaki kaynaklar için güvenilen bir Microsoft hizmetidir. Bu, hizmetin güvenlik duvarının arkasındaki şu kaynaklara bağlanmasına olanak tanır. Bu kaynak örneği için sistem tarafından atanan yönetilen kimliğe uygun Azure rolünü açıkça atadıktan sonra, örneğin erişim kapsamı yönetilen kimliğe atanan Azure rolüne karşılık gelir.

Azure Hizmeti Bağlantı
Azure Key Vault Güvenilen erişim-azure-key-vault
Azure Depolama Güvenilen erişimden azure depolamaya
Azure Service Bus Güvenilen erişim-azure-service-bus
Azure Event Hubs Güvenilen erişim-azure-event-hub

Olayları bir olay hub'ına kaydetme

Api Management örneğinden olayları günlüğe kaydetmek üzere bir olay hub'ına erişmek için sistem tarafından atanan yönetilen kimliği yapılandırabilir ve kullanabilirsiniz. Daha fazla bilgi için bkz . Azure API Management'ta Olayları Azure Event Hubs'a kaydetme.

Kullanıcı tarafından atanan yönetilen kimlik oluşturma

Not

Api Management örneğini en fazla 10 kullanıcı tarafından atanan yönetilen kimlikle ilişkilendirebilirsiniz.

Azure portal

Portalda yönetilen kimlik ayarlamak için önce bir API Management örneği oluşturacak ve kullanıcı tarafından atanan bir kimlik oluşturacaksınız. Ardından özelliği etkinleştirin.

  1. Normalde yaptığınız gibi portalda bir API Management örneği oluşturun. Portalda bu dosyaya göz atın.

  2. Soldaki menüde, Güvenlik'in altında Yönetilen kimlikler'i seçin.

  3. Kullanıcı tarafından atanan sekmesinde Ekle'yi seçin.

  4. Daha önce oluşturduğunuz kimliği arayın ve seçin. Ekle'yi seçin.

    Kullanıcı tarafından atanan yönetilen kimliği etkinleştirme seçimleri

Azure PowerShell

Not

Azure ile etkileşim kurmak için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz . Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

Aşağıdaki adımlar, Api Management örneği oluşturma ve Azure PowerShell kullanarak bir kimlik atama adımlarını gösterir.

  1. Gerekirse, Azure PowerShell kılavuzundaki yönergeleri kullanarak Azure PowerShell'i yükleyin. Ardından azure ile bağlantı oluşturmak için komutunu çalıştırın Connect-AzAccount .

  2. Örneği oluşturmak için aşağıdaki kodu kullanın. Azure PowerShell'i bir API Management örneğiyle kullanma hakkında daha fazla örnek için bkz . API Management PowerShell örnekleri.

    # Create a resource group.
    New-AzResourceGroup -Name $resourceGroupName -Location $location
    
    # Create a user-assigned identity. This requires installation of the "Az.ManagedServiceIdentity" module.
    $userAssignedIdentity = New-AzUserAssignedIdentity -Name $userAssignedIdentityName -ResourceGroupName $resourceGroupName
    
    # Create an API Management Consumption Sku service.
    $userIdentities = @($userAssignedIdentity.Id)
    
    New-AzApiManagement -ResourceGroupName $resourceGroupName -Location $location -Name $apiManagementName -Organization contoso -AdminEmail admin@contoso.com -Sku Consumption -UserAssignedIdentity $userIdentities
    

Var olan bir hizmeti, hizmete kimlik atamak için de güncelleştirebilirsiniz:

# Get an API Management instance
$apimService = Get-AzApiManagement -ResourceGroupName $resourceGroupName -Name $apiManagementName

# Create a user-assigned identity. This requires installation of the "Az.ManagedServiceIdentity" module.
$userAssignedIdentity = New-AzUserAssignedIdentity -Name $userAssignedIdentityName -ResourceGroupName $resourceGroupName

# Update an API Management instance
$userIdentities = @($userAssignedIdentity.Id)
Set-AzApiManagement -InputObject $apimService -UserAssignedIdentity $userIdentities

Azure Resource Manager şablonu

Kaynak tanımına aşağıdaki özelliği ekleyerek kimliği olan bir API Management örneği oluşturabilirsiniz:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<RESOURCEID>": {}
    }
}

Kullanıcı tarafından atanan türün eklenmesi, Azure'a örneğiniz için belirtilen kullanıcı tarafından atanan kimliği kullanmasını bildirir.

Örneğin, eksiksiz bir Azure Resource Manager şablonu aşağıdaki gibi görünebilir:

{
    "$schema": "https://schema.management.azure.com/schemas/2014-04-01-preview/deploymentTemplate.json#",
    "contentVersion": "0.9.0.0",
    "resources": [{
        "apiVersion": "2021-08-01",
        "name": "contoso",
        "type": "Microsoft.ApiManagement/service",
        "location": "[resourceGroup().location]",
        "tags": {},
        "sku": {
            "name": "Developer",
            "capacity": "1"
        },
        "properties": {
            "publisherEmail": "admin@contoso.com",
            "publisherName": "Contoso"
        },
        "identity": {
            "type": "UserAssigned",
             "userAssignedIdentities": {
                "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
             }
        },
         "dependsOn": [
          "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
        ]
    }]
}

Hizmet oluşturulduğunda aşağıdaki ek özelliklere sahiptir:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
        }
    }
}

principalId özelliği, Microsoft Entra yönetimi için kullanılan kimliğin benzersiz tanımlayıcısıdır. clientId özelliği, uygulamanın çalışma zamanı çağrıları sırasında hangi kimliğin kullanılacağını belirtmek için kullanılan yeni kimliği için benzersiz bir tanımlayıcıdır.

Not

API Management örneği, hem sistem tarafından hem de kullanıcı tarafından atanan kimlikleri aynı anda içerebilir. Bu durumda özelliği type olacaktır SystemAssigned,UserAssigned.

Kullanıcı tarafından atanan yönetilen kimlik kullanılarak desteklenen senaryolar

Azure Key Vault'dan API Management örneği için özel TLS/SSL sertifikası alma

Api Management örneği ile Azure Key Vault arasında güven oluşturmak için kullanıcı tarafından atanan bir kimlik kullanabilirsiniz. Bu güven daha sonra Azure Key Vault'ta depolanan özel TLS/SSL sertifikalarını almak için kullanılabilir. Ardından bu sertifikaları API Management örneğindeki özel etki alanlarına atayabilirsiniz.

Önemli

Anahtar kasanızda Key Vault güvenlik duvarı etkinleştirildiyse, API Management'tan erişim için kullanıcı tarafından atanan bir kimlik kullanamazsınız. Bunun yerine sistem tarafından atanan kimliği kullanabilirsiniz. Key Vault güvenlik duvarında, Güvenilen Microsoft Hizmetlerinin bu güvenlik duvarını atlamasına izin ver seçeneği de etkinleştirilmelidir.

Şu noktaları göz önünde bulundurun:

  • Gizli dizinin içerik türü application/x-pkcs12 olmalıdır.
  • Gizli diziyi içeren Key Vault sertifika gizli dizisi uç noktasını kullanın.

Önemli

Sertifikanın nesne sürümünü sağlamazsanız API Management, key vault'ta güncelleştirildikten sonra dört saat içinde sertifikanın daha yeni sürümünü otomatik olarak alır.

Azure Key Vault'tan adlandırılmış değerleri depolama ve yönetme

API Management ilkelerinde kullanılmak üzere gizli dizileri depolamak ve yönetmek üzere Azure Key Vault'a erişmek için kullanıcı tarafından atanan yönetilen kimliği kullanabilirsiniz. Daha fazla bilgi için bkz . Azure API Management ilkelerinde adlandırılmış değerleri kullanma.

Not

Anahtar kasanızda Key Vault güvenlik duvarı etkinleştirildiyse, API Management'tan erişim için kullanıcı tarafından atanan bir kimlik kullanamazsınız. Bunun yerine sistem tarafından atanan kimliği kullanabilirsiniz. Key Vault güvenlik duvarında, Güvenilen Microsoft Hizmetlerinin bu güvenlik duvarını atlamasına izin ver seçeneği de etkinleştirilmelidir.

Kullanıcı tarafından atanan bir kimlik kullanarak arka uçta kimlik doğrulaması

Kullanıcı tarafından atanan kimliği, authentication-managed-identity ilkesi aracılığıyla bir arka uç hizmetinde kimlik doğrulaması yapmak için kullanabilirsiniz.

Olayları bir olay hub'ına kaydetme

Api Management örneğinden olayları günlüğe kaydetmek üzere bir olay hub'ına erişmek için kullanıcı tarafından atanan yönetilen kimliği yapılandırabilir ve kullanabilirsiniz. Daha fazla bilgi için bkz . Azure API Management'ta Olayları Azure Event Hubs'a kaydetme.

Kimliği kaldırma

Portal veya Azure Resource Manager şablonu aracılığıyla özelliği oluşturulduğu şekilde devre dışı bırakarak sistem tarafından atanan bir kimliği kaldırabilirsiniz. Kullanıcı tarafından atanan kimlikler tek tek kaldırılabilir. Tüm kimlikleri kaldırmak için kimlik türünü olarak "None"ayarlayın.

Sistem tarafından atanan bir kimliği bu şekilde kaldırmak, bunu Microsoft Entra Id'den de siler. API Management örneği silindiğinde sistem tarafından atanan kimlikler de Microsoft Entra Id'den otomatik olarak kaldırılır.

Azure Resource Manager şablonunu kullanarak tüm kimlikleri kaldırmak için şu bölümü güncelleştirin:

"identity": {
    "type": "None"
}

Önemli

Api Management örneği Key Vault'tan özel bir SSL sertifikasıyla yapılandırılırsa ve yönetilen kimliği devre dışı bırakmaya çalışırsanız istek başarısız olur.

Azure Key Vault sertifikasından satır içi kodlanmış bir sertifikaya geçip yönetilen kimliği devre dışı bırakarak engellemenizi kaldırabilirsiniz. Daha fazla bilgi için bkz . Özel etki alanı adı yapılandırma.

Sonraki adımlar

Azure kaynakları için yönetilen kimlikler hakkında daha fazla bilgi edinin: