Định cấu hình danh tính được quản lý cho các chức năng Azure liên quan đến việc sử dụng một trong hai danh tính được quản lý được quản lý hoặc người dùng được chỉ định. Đây là cách bạn có thể thiết lập cả hai loại:
Hệ thống kích hoạt danh tính được chỉ định
1. Điều hướng đến Cổng thông tin Azure: Truy cập ứng dụng chức năng Azure của bạn trong cổng thông tin Azure.
2. Chọn Tùy chọn Nhận dạng: Trong menu bên trái, chọn Cài đặt và sau đó nhấp vào Nhận dạng.
3. Bật danh tính được chỉ định của hệ thống: Trên tab được gán hệ thống, chuyển trạng thái sang BẬT và nhấp vào Lưu. Điều này tạo ra một danh tính được quản lý có cùng tên với ứng dụng chức năng của bạn.
4. Gán quyền: Điều hướng đến tài nguyên (ví dụ: lưu trữ Azure hoặc cơ sở dữ liệu SQL) Bạn muốn chức năng của mình truy cập. Gán các vai trò thích hợp cho danh tính được quản lý bằng cách đi vào kiểm soát truy cập (IAM), sau đó gán vai trò và thêm danh tính được quản lý vào các vai trò cần thiết [1] [3] [7].
Kích hoạt danh tính được quản lý được chỉ định của người dùng
1. Tạo danh tính được chỉ định của người dùng: Đầu tiên, hãy tạo tài nguyên nhận dạng được quản lý do người dùng chỉ định trong Azure. Danh tính này có thể được sử dụng trên nhiều tài nguyên.
2. Gán cho ứng dụng chức năng: Trong cổng thông tin Azure, điều hướng đến cài đặt nhận dạng của ứng dụng chức năng của bạn. Chuyển sang tab được chỉ định của người dùng và nhấp vào Thêm. Tìm kiếm và chọn danh tính do người dùng gán mà bạn đã tạo [1] [6].
3. Định cấu hình Cài đặt ứng dụng: Đối với một số dịch vụ nhất định như khóa khóa, bạn có thể cần đặt các thuộc tính bổ sung (ví dụ: `keyVaultreferenceIdentity`) thông qua các cuộc gọi API REST, vì các cài đặt này không có sẵn trong UI [1].
4. Gán các quyền: Tương tự như danh tính được chỉ định bởi hệ thống, gán các vai trò cần thiết cho danh tính được gán cho người dùng cho các tài nguyên đích [6].
Sử dụng danh tính được quản lý trong mã
Khi sử dụng danh tính được quản lý, các chức năng Azure của bạn có thể tận dụng các thư viện như `Azure.identity` để xác thực với các dịch vụ Azure mà không cần xử lý các bí mật trực tiếp. Ví dụ: bạn có thể sử dụng `defaultAzureCredential` để kết nối với cơ sở dữ liệu Azure hoặc SQL [5] [9].
Lợi ích của danh tính được quản lý
- Bảo mật: Tránh sự cần thiết phải lưu trữ bí mật trong các tệp mã hoặc cấu hình.
- Tính linh hoạt: Cho phép dễ dàng quản lý quyền truy cập thông qua Azure RBAC.
-Khả năng mở rộng: Hỗ trợ cả hai danh tính được chỉ định bởi hệ thống và được chỉ định cho các kịch bản khác nhau [4] [6].
Trích dẫn:
.
.
[3] https://kumarashwinhubert.com/secure-your-azure-functions-use-managed-identity-for-azurewebjobsstorage
[4] https://docs.azure.cn/en-us/azure-functions/functions-identity-based-connections-tutorial
[5] https:
[6] https://learn.microsoft.com/en-us/azure/app-service/overview-managed-identity
[7] https://docs.azure.cn/en-us/azure-functions/functions-identity-access-azure-sql-with-managed-identity
[8] https://learn.microsoft.com/en-us/azure/azure-functions/durable/durable-functions-configure-managed-identity
.