Azure kaynakları için yönetilen kimlikler nelerdir?

Geliştiriciler için yaygın bir zorluk, hizmetler arasındaki iletişimin güvenliğini sağlamak için kullanılan gizli dizilerin, kimlik bilgilerinin, sertifikaların ve anahtarların yönetimidir. Yönetilen kimlikler, geliştiricilerin bu kimlik bilgilerini yönetme gereksinimini ortadan kaldırır.

Geliştiriciler gizli dizileri Azure Key Vault'ta güvenli bir şekilde depolasa da , hizmetlerin Azure Key Vault'a erişmesi için bir yol gerekir. Yönetilen kimlikler, Microsoft Entra kimlik doğrulamasını destekleyen kaynaklara bağlanırken uygulamaların kullanması için Microsoft Entra Id'de otomatik olarak yönetilen bir kimlik sağlar. Uygulamalar, kimlik bilgilerini yönetmek zorunda kalmadan Microsoft Entra belirteçlerini almak için yönetilen kimlikleri kullanabilir.

Aşağıdaki videoda yönetilen kimlikleri nasıl kullanabileceğiniz gösterilmektedir:

Yönetilen kimlikleri kullanmanın avantajlarından bazıları şunlardır:

  • Kimlik bilgilerini yönetmeniz gerekmez. Kimlik bilgilerine sizin için bile erişilemez.
  • Kendi uygulamalarınız da dahil olmak üzere Microsoft Entra kimlik doğrulamasını destekleyen herhangi bir kaynakta kimlik doğrulaması yapmak için yönetilen kimlikleri kullanabilirsiniz.
  • Yönetilen kimlikler ek ücret ödemeden kullanılabilir.

Not

Azure kaynakları için yönetilen kimlikler, daha önce Yönetilen Hizmet Kimliği (MSI) olarak bilinen hizmetin yeni adıdır.

Yönetilen kimlik türleri

İki tür yönetilen kimlik vardır:

  • Sistem tarafından atanan. Sanal makineler gibi bazı Azure kaynakları, yönetilen kimliği doğrudan kaynak üzerinde etkinleştirmenize olanak tanır. Sistem tarafından atanan yönetilen kimliği etkinleştirdiğinizde:

    • Kimlik için Microsoft Entra Kimliği'nde özel türde bir hizmet sorumlusu oluşturulur. Hizmet sorumlusu, bu Azure kaynağının yaşam döngüsüne bağlıdır. Azure kaynağı silindiğinde, Azure sizin için hizmet sorumlusunu otomatik olarak siler.
    • Tasarım gereği, yalnızca bu Azure kaynağı Microsoft Entra Id'den belirteç istemek için bu kimliği kullanabilir.
    • Yönetilen kimliğin bir veya daha fazla hizmete erişimi olması için yetkilendirilmiş olursunuz.
    • Sistem tarafından atanan hizmet sorumlusunun adı her zaman oluşturulduğu Azure kaynağının adıyla aynıdır. Dağıtım yuvası için sistem tarafından atanan kimliğinin adı olur <app-name>/slots/<slot-name>.
  • Kullanıcı tarafından atanan. Yönetilen kimliği tek başına Bir Azure kaynağı olarak da oluşturabilirsiniz. Kullanıcı tarafından atanan bir yönetilen kimlik oluşturabilir ve bunu bir veya daha fazla Azure Kaynağına atayabilirsiniz. Kullanıcı tarafından atanan yönetilen kimliği etkinleştirdiğinizde:

    • Kimlik için Microsoft Entra Kimliği'nde özel türde bir hizmet sorumlusu oluşturulur. Hizmet sorumlusu, onu kullanan kaynaklardan ayrı olarak yönetilir.
    • Kullanıcı tarafından atanan kimlikler birden çok kaynak tarafından kullanılabilir.
    • Yönetilen kimliğin bir veya daha fazla hizmete erişimi olması için yetkilendirilmiş olursunuz.

Aşağıdaki tabloda iki yönetilen kimlik türü arasındaki farklar gösterilmektedir:

Mülk Sistem tarafından atanan yönetilen kimlik Kullanıcı tarafından atanan yönetilen kimlik
Yaratım Bir Azure kaynağının parçası olarak oluşturulur (örneğin, Azure Sanal Makineler veya Azure Uygulaması Hizmeti). Tek başına Azure kaynağı olarak oluşturulur.
Yaşam çevrimi Yönetilen kimliğin oluşturulduğu Azure kaynağıyla paylaşılan yaşam döngüsü.
Üst kaynak silindiğinde yönetilen kimlik de silinir.
Bağımsız yaşam döngüsü.
Açıkça silinmelidir.
Azure kaynakları arasında paylaşma Paylaşılamaz.
Yalnızca tek bir Azure kaynağıyla ilişkilendirilebilir.
Paylaşılabilir.
Aynı kullanıcı tarafından atanan yönetilen kimlik birden fazla Azure kaynağıyla ilişkilendirilebilir.
Yaygın kullanım örnekleri Tek bir Azure kaynağında yer alan iş yükleri.
Bağımsız kimliklere ihtiyaç duyan iş yükleri.
Örneğin, tek bir sanal makinede çalışan bir uygulama.
Birden çok kaynakta çalışan ve tek bir kimliği paylaşabilen iş yükleri.
Bir sağlama akışının parçası olarak güvenli bir kaynakta ön yetkilendirmeye ihtiyaç duyan iş yükleri.
Kaynakların sık sık geri dönüştürüldüğü ancak izinlerin tutarlı kalması gereken iş yükleri.
Örneğin, birden çok sanal makinenin aynı kaynağa erişmesi gereken bir iş yükü.

Azure kaynakları için yönetilen kimlikleri nasıl kullanabilirim?

Aşağıdaki adımları izleyerek yönetilen kimlikleri kullanabilirsiniz:

  1. Azure'da yönetilen kimlik oluşturma. Sistem tarafından atanan yönetilen kimlik veya kullanıcı tarafından atanan yönetilen kimlik arasında seçim yapabilirsiniz.
    1. Kullanıcı tarafından atanan yönetilen kimlik kullanırken, yönetilen kimliği Sanal Makine, Azure Mantıksal Uygulaması veya Azure Web Uygulaması gibi "kaynak" Azure Kaynağına atarsınız.
  2. Yönetilen kimliği "hedef" hizmete erişim yetkisi verin.
  3. Bir kaynağa erişmek için yönetilen kimliği kullanın. Bu adımda Azure SDK'sını Azure.Identity kitaplığıyla kullanabilirsiniz. Bazı "kaynak" kaynaklar, bağlantılar için Yönetilen kimliklerin nasıl kullanılacağını bilen bağlayıcılar sunar. Bu durumda, kimliği bu "kaynak" kaynağın bir özelliği olarak kullanırsınız.

Özelliği hangi Azure hizmetleri destekler?

Azure kaynakları için yönetilen kimlikler, Microsoft Entra kimlik doğrulamasını destekleyen hizmetlerde kimlik doğrulaması yapmak için kullanılabilir. Desteklenen Azure hizmetlerinin listesi için bkz . Azure kaynakları için yönetilen kimlikleri destekleyen hizmetler.

Yönetilen kimliklerde hangi işlemleri gerçekleştirebilirim?

Sistem tarafından atanan yönetilen kimlikleri destekleyen kaynaklar şunları yapmanızı sağlar:

  • Yönetilen kimlikleri kaynak düzeyinde etkinleştirin veya devre dışı bırakın.
  • İzinleri vermek için rol tabanlı erişim denetimini (RBAC) kullanın.
  • Azure Etkinlik günlüklerinde oluşturma, okuma, güncelleştirme ve silme (CRUD) işlemlerini görüntüleyin.
  • Microsoft Entra Id oturum açma günlüklerinde oturum açma etkinliğini görüntüleyin.

Bunun yerine kullanıcı tarafından atanan yönetilen kimliği seçerseniz:

  • Kimlikleri oluşturabilir, okuyabilir, güncelleştirebilir ve silebilirsiniz .
  • İzinleri vermek için RBAC rol atamalarını kullanabilirsiniz.
  • Kullanıcı tarafından atanan yönetilen kimlikler birden fazla kaynakta kullanılabilir.
  • CRUD işlemleri Azure Etkinlik günlüklerinde gözden geçirilebilir.
  • Microsoft Entra Id oturum açma günlüklerinde oturum açma etkinliğini görüntüleyin.

Yönetilen kimlikler üzerindeki işlemler bir Azure Resource Manager şablonu, Azure portalı, Azure CLI, PowerShell ve REST API'leri kullanılarak gerçekleştirilebilir.

Sonraki adımlar