Konfigurácia spravovanej identity pre funkcie Azure zahŕňa použitie buď systémovej identity pridelenej systému alebo používateľa pridelenej identity. Takto môžete nastaviť oba typy:
Prispôsobenie systému pridelené spravovanú identitu
1. Prejdite na portál Azure: Prejdite do aplikácie Azure Function na portáli Azure.
2. Vyberte možnosť Identity: V ľavom ponuke vyberte položku Nastavenia a potom kliknite na identitu.
3. Povoľte systém priradený k systému: Na karte Priradené systémom prepnite stav do ON a kliknite na Uložiť. Tým sa vytvára spravovaná identita s rovnakým menom ako vaša funkcia.
4. Priraďte povolenia: Prejdite k zdroju (napr. Azure Storage alebo SQL Database), ktorú chcete mať prístup k vašej funkcii. Priraďte príslušné úlohy riadenej identity prejdením kontrola prístupu (IAM), potom priradeniami rolí a pridaním riadenej identity k požadovaným úlohám [1] [3] [7].
Povolenie používateľa prideleného spravovanej identity
1. Vytvorte identitu priradenej používateľa: Najskôr vytvorte v Azure zdroj spravovaného identity pridelený používateľom. Túto identitu sa dá použiť na viacerých zdrojoch.
2. Priraďte aplikáciu Funktion App: V portáli Azure prejdite na nastavenia identity svojej funkcie. Prepnite na kartu Priradenú používateľom a kliknite na tlačidlo Pridať. Vyhľadajte a vyberte identitu pridelenú používateľom [1] [6].
3. Konfigurujte nastavenia aplikácie: Pre určité služby, ako je kľúčový trezor, možno budete musieť nastaviť ďalšie vlastnosti (napr. „KeyVaultreferentionIdentity`) prostredníctvom hovorov REST API, pretože tieto nastavenia nie sú k dispozícii v používateľskom rozhraní [1].
4. Priraďte povolenia: Podobne ako pri identitách pridelených systémom, priraďte potrebné úlohy identity pridelenej používateľom pre cieľové zdroje [6].
Použitie spravovanej identity v kóde
Pri používaní spravovaných identity môžu vaše funkcie Azure využívať knižnice ako „Azure.Identity“ na autentifikáciu s Azure Services bez priameho spracovania tajomstiev. Napríklad môžete použiť „DefaultAZuRecredential` na pripojenie k Azure Storage alebo SQL Database [5] [9].
Výhody riadenej identity
- Zabezpečenie: Vyhýba sa potrebe ukladať tajomstvá v kóde alebo konfiguračných súboroch.
- Flexibilita: Umožňuje ľahké riadenie povolení prístupu prostredníctvom Azure RBAC.
-Škálovateľnosť: Podporuje identity pridelené do systému aj pre používateľa pre rôzne scenáre [4] [6].
Citácie:
[1] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/
[2] https://codebankblog.wordpress.com/2020/06/27/azure-function-with-managed-identity-and--azure-sql-db/
[3] https://kumarashwinhubert.com/secure-your-azure-functions-use-manged-identity-for-azurewebjobsstory
[4] https://docs.azure.cn/en-us/azure-functions/functions-identity založené na-connections-tutorial
[5] https://www.linkedin.com/
[6] https://learn.microsoft.com/en-us/azure/app-service/overview-managed-identity
[7] https://docs.azure.cn/en-us/azure-functions/functions-identity-access-azure-sql-with-managed-identity
[8] https://learn.microsoft.com/en-us/azure/azure-functions/durable/durable-functions-configure-managued-Identity
[9] https://www.transparity.com/app-innovation/azure-functions-with-managed-identity-storage-access/