Konfigurace spravované identity pro funkce Azure zahrnuje použití buď přiřazené spravované identity nebo uživatelem přiřazenou spravovanou identitou. Zde je návod, jak můžete nastavit oba typy:
Povolení systému přiřazená spravovanou identitou
1. Přejděte na portál Azure: Přejděte na aplikaci Azure Function v portálu Azure.
2. Vyberte možnost Identita: V levé nabídce vyberte Nastavení a poté klikněte na identitu.
3. Povolte identitu přiřazeného systému: Na kartě přiřazená systém přepněte stav zapnuto a klikněte na Uložit. Tím se vytváří spravovanou identitu se stejným názvem jako vaše funkce funkce.
4. Přiřazení oprávnění: Přejděte do zdroje (např. Azure Storage nebo SQL Database) Chcete, aby vaše funkce přistupovala. Přiřaďte příslušné role řízené identitě tím, že se dostanete do řízení přístupu (IAM), poté přiřazením rolí a přidáním spravované identity do požadovaných rolí [1] [3] [7].
Povolení uživatele přiřazenou spravovanou identitou
1. Vytvořte uživatele přiřazenou identitu: Nejprve vytvořte v Azure zdroj spravovaného identity přiřazeného uživatelem. Tuto identitu lze použít ve více zdrojích.
2. Přiřazení k funkční aplikaci: V portálu Azure přejděte k nastavení identity aplikace vaší funkce. Přepněte na kartu přiřazenou uživatelem a klikněte na Přidat. Vyhledejte a vyberte identitu přiřazenou uživateli, kterou jste vytvořili [1] [6].
3. Nakonfigurujte nastavení aplikací: U některých služeb, jako je klíčová trezor, možná budete muset nastavit další vlastnosti (např. „KeyVaultreferenceIdentity`) prostřednictvím volání REST API, protože tato nastavení nejsou k dispozici v uživatelském rozhraní [1].
4. Přiřazení oprávnění: Podobně jako identity přiřazené systémem přiřaďte nezbytnou roli identitě přiřazené uživatelem pro cílové zdroje [6].
Používání spravované identity v kódu
Při používání spravované identity mohou vaše funkce Azure využít knihovny jako „azure.identity“ k ověření pomocí Azure Services bez přímého manipulace s tajemstvím. Například můžete použít `DefaultAZureCredentience` pro připojení k Azure Storage nebo SQL Database [5] [9].
Výhody spravované identity
- Zabezpečení: Vyhýbá se potřebě ukládat tajemství do kódových nebo konfiguračních souborů.
- Flexibilita: Umožňuje snadné správu oprávnění přístupu prostřednictvím Azure RBAC.
-Škálovatelnost: Podporuje jak identity přiřazené systémem, tak uživatelem pro různé scénáře [4] [6].
Citace:
[1] https://www.red-gate.com/Simple-Talk/Cloud/azure/azure-function-and-user-Assigned-anaged-identities/
[2] https://codebankblog.wordpress.com/2020/06/27/azure-function-with-anaged-identity-and-azure-sql-db/
[3] https://kumarashwinhubert.com/secure-your-azure-functions-use-managed-identity-for-azurewebjobsstorage
[4] https://docs.azure.cn/en-us/azure-functions/functions-identity-Connections-tutorial
[5] https://www.linkedin.com/pulse/how-use-amaged-identities-app-service-azure-ali-khan-
[6] https://learn.microsoft.com/en-us/azure/app-service/overview-amaged-identity
[7] https://docs.azure.cn/en-us/azure-fundtions/functions-identity-access-azure-sql-with-managed-identity
[8] https://learn.microsoft.com/en-us/azure/azure-functions/Derable/Dovable-functions-configure-anaged-identity
[9] https://www.transparity.com/app-innovation/azure-fungtions-with-anaged-identity-corage-access/