Για να χρησιμοποιήσετε τις διαχειριζόμενες ταυτότητες στις εφαρμογές Azure Logic, απαιτούνται συγκεκριμένα δικαιώματα, τόσο για τη διαχειριζόμενη ταυτότητα όσο και για την πρόσβαση σε πόρους Azure Azure. Ακολουθούν μερικά βασικά σημεία σχετικά με τα δικαιώματα:
1. Αυτό είναι απαραίτητο για τη διαχείριση της πρόσβασης σε πόρους που προστατεύονται από το Microsoft Entra ID [2].
2. Αναθέσεις ρόλων για πόρους -στόχους: Πριν από μια διαχειριζόμενη ταυτότητα μπορεί να έχει πρόσβαση σε έναν πόρο Azure, πρέπει να εκχωρηθεί οι κατάλληλοι ρόλοι. Για παράδειγμα, εάν η εφαρμογή λογικής σας πρέπει να αλληλεπιδράσει με το Azure Storage, ενδέχεται να αντιστοιχίσετε τον ρόλο του "συνεισφέροντος δεδομένων" αποθήκευσης BLOB "στη διαχειριζόμενη ταυτότητα. Ομοίως, για το λεωφορείο Azure Service, μπορεί να είναι απαραίτητο ρόλοι όπως ο "αποστολέας δεδομένων Azure Service Bus" ή "Azure Service Bus Data Receiver" [3].
3. Πρόσβαση ομάδας συνδρομής και πόρων: Οι διαχειριζόμενες ταυτότητες χρειάζονται πρόσβαση όχι μόνο στον συγκεκριμένο πόρο αλλά και στην ομάδα πόρων και στη συνδρομή όπου βρίσκεται ο πόρος. Αυτό εξασφαλίζει ότι η εφαρμογή λογικής μπορεί να καταγράφει και να έχει πρόσβαση σε πόρους σε αυτά τα πεδία [2].
4. Ελέγξτε τα δικαιώματα: Για να επαληθεύσετε ότι η διαχειριζόμενη ταυτότητα έχει τα σωστά δικαιώματα, μπορείτε να ελέγξετε το αντικείμενο της εφαρμογής της επιχείρησης στο Microsoft Entra ID ή να χρησιμοποιήσετε εντολές PowerShell όπως το `get-mgserviceprincipalApproleassignment 'σε query που έχουν ανατεθεί ρόλους [5].
Συνοπτικά, η χρήση διαχειριζόμενων ταυτοτήτων στις εφαρμογές λογικής απαιτεί προσεκτική διαχείριση των δικαιωμάτων για να εξασφαλιστεί η ασφαλής και αποτελεσματική πρόσβαση σε αιρέους πόρους.
Αναφορές:
[1] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-ganaged-cidentities-in-your-azure-logic-apps/
[2] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identity
[3] https://www.middleway.eu/using-managed-cidentities-in-a-logic-app/
[4] https://www.youtube.com/watch?v=B69PB9CKLRA
[5] https://www.reddit.com/r/azure/comments/1aruc8t/where_can_i_see_if_my_logic_app_with_managed/
[6] https://docs.azure.cn/en-us/logic-apps/create-single-tenant-workflows-azure-portal
[7] https://www.youtube.com/watch?v=bzhcqyishie
[8] https://medienstudio.net/development-en/deploying-azure-logic-apps-managed-identity-with-bicep/
[9] https://gist.github.com/svenaelterman/fe2d66ad4ceb8c1a220766e4898b88baba
[10] https://www.linkedin.com/pulse/managed-identities-logic-apps-azure-ad-automate-your-stuff-periwal