Η διαμόρφωση της διαχειριζόμενης ταυτότητας για τις λειτουργίες Azure περιλαμβάνει τη χρήση είτε της διαχειριζόμενης ταυτότητας που έχει εκχωρηθεί από το σύστημα είτε της διαχειριζόμενης ταυτότητας που έχει εκχωρηθεί από το χρήστη. Δείτε πώς μπορείτε να ρυθμίσετε και τους δύο τύπους:
Ενεργοποίηση του συστήματος που έχει εκχωρηθεί διαχειριζόμενη ταυτότητα
1. Πλοηγηθείτε στην Azure Portal: Μεταβείτε στην εφαρμογή Azure Function στην πύλη Azure.
2. Επιλέξτε επιλογή ταυτότητας: Στο αριστερό μενού, επιλέξτε Ρυθμίσεις και, στη συνέχεια, κάντε κλικ στην ταυτότητα.
3. Ενεργοποίηση του συστήματος που έχει εκχωρηθεί ταυτότητα: Στην καρτέλα που έχει εκχωρηθεί το σύστημα, εναλλαγή της κατάστασης και κάντε κλικ στην επιλογή Αποθήκευση. Αυτό δημιουργεί μια διαχειριζόμενη ταυτότητα με το ίδιο όνομα με την εφαρμογή λειτουργίας σας.
4. Αντιστοίχιση δικαιωμάτων: Μεταβείτε στον πόρο (π.χ., Azure Storage ή SQL Database) Θέλετε να αποκτήσει η λειτουργία σας. Αναθέστε τους κατάλληλους ρόλους στη διαχειριζόμενη ταυτότητα με την πρόσβαση στον έλεγχο (IAM), στη συνέχεια των αναθέσεων ρόλων και την προσθήκη της διαχειριζόμενης ταυτότητας στους απαιτούμενους ρόλους [1] [3] [7].
Ενεργοποίηση της διαχειριζόμενης ταυτότητας που έχει εκχωρηθεί από το χρήστη
1. Δημιουργήστε μια ταυτότητα που έχει εκχωρηθεί από το χρήστη: Πρώτον, δημιουργήστε έναν πόρο διαχειριζόμενης ταυτότητας που έχει διαχειριστεί από το χρήστη στο Azure. Αυτή η ταυτότητα μπορεί να χρησιμοποιηθεί σε πολλούς πόρους.
2. Εκχώρηση σε λειτουργία λειτουργίας: Στην πύλη Azure, μεταβείτε στις ρυθμίσεις ταυτότητας της εφαρμογής σας. Μεταβείτε στην καρτέλα που έχει εκχωρηθεί από το χρήστη και κάντε κλικ στην επιλογή Προσθήκη. Αναζητήστε και επιλέξτε την ταυτότητα που προσφέρθηκε από το χρήστη που δημιουργήσατε [1] [6].
3. Ρυθμίσεις εφαρμογών: Για ορισμένες υπηρεσίες όπως το Key Vault, ίσως χρειαστεί να ορίσετε πρόσθετες ιδιότητες (π.χ. `keyvaultreferenceidentity ') μέσω κλήσεων API REST, καθώς αυτές οι ρυθμίσεις δεν είναι διαθέσιμες στο UI [1].
4. Αντιστοίχιση δικαιωμάτων: Παρόμοια με τις ταυτότητες που έχουν μεταβληθεί από το σύστημα, αναθέστε τους απαραίτητους ρόλους στην ταυτότητα που έχει μεταβληθεί από το χρήστη για τους πόρους-στόχους [6].
Χρήση διαχειριζόμενης ταυτότητας στον κωδικό
Όταν χρησιμοποιείτε τις διαχειριζόμενες ταυτότητες, οι λειτουργίες σας Azure μπορούν να αξιοποιήσουν τις βιβλιοθήκες όπως το `azure.Identity 'για να πιστοποιήσετε με τις υπηρεσίες Azure χωρίς να χειρίζεστε τα μυστικά απευθείας. Για παράδειγμα, μπορείτε να χρησιμοποιήσετε το `defaultazurecredential` για να συνδεθείτε με την Azure Storage ή τη βάση δεδομένων SQL [5] [9].
Οφέλη από τις διαχειριζόμενες ταυτότητες
- Ασφάλεια: Αποφεύγει την ανάγκη αποθήκευσης μυστικών σε αρχεία κώδικα ή ρυθμίσεων.
- Ευελιξία: Επιτρέπει την εύκολη διαχείριση των δικαιωμάτων πρόσβασης μέσω Azure RBAC.
-Επιμελητικότητα: Υποστηρίζει τόσο τις ταυτότητες που έχουν επιτευχθεί όσο και οι ταυτότητες που έχουν μεταβληθεί από το σύστημα για διαφορετικά σενάρια [4] [6].
Αναφορές:
[1] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-formed-identities/
[2] https://codebankblog.wordpress.com/2020/06/27/azure-function-with-managed-identity-and-azure-sql-db/
[3] https://kumarashwinhubert.com/secure-your-azure-bunctions-use-managed-identity-for-azurewebjobsstorage
[4] https://docs.azure.cn/en-us/azure-functions/functions-identity-connections-tutorial
[5] https://www.linkedin.com/pulse/how-use-foraged-identities-app-service-azure-ali-khan-
[6] https://learn.microsoft.com/en-us/azure/app-service/overview-managed-identity
[7] https://docs.azure.cn/en-us/azure-functions/functions-identity-access-azure-sql-with-managed-identity
[8] https://learn.microsoft.com/en-us/azure/azure-functions/dable/dable-functions-configure-ganaged-identity
[9] https://www.transparity.com/app-innovation/azure-functions-with-graged-identity-storage-access/