Aby korzystać z zarządzanych tożsamości w aplikacjach logicznych Azure, wymagane są konkretne uprawnienia, zarówno dla samej tożsamości zarządzanej, jak i dostępu do docelowych zasobów platformy Azure. Oto kilka kluczowych punktów dotyczących uprawnień:
1. Uprawnienia administratora Microsoft Entra: Aby przypisać role do tożsamości zarządzanych, potrzebujesz uprawnień administratora Microsoft Entra. Jest to niezbędne do zarządzania dostępem do zasobów chronionych przez Microsoft Entra ID [2].
2. Przypisania ról dla zasobów docelowych: Zanim zarządzana tożsamość będzie dostępna do zasobu Azure, należy jej przypisać odpowiednie role. Na przykład, jeśli Twoja aplikacja logiczna musi wchodzić w interakcje z Azure Storage, możesz przypisać rolę „Storage Blob Data Współtwórca” do tożsamości zarządzanej. Podobnie, w przypadku Azure Service Bus może być konieczne role takie jak „Azure Service Bus” lub „Azure Service Bus Autobus” [3].
3. Dostęp do subskrypcji i grupy zasobów: tożsamości zarządzane potrzebują dostępu nie tylko do konkretnego zasobu, ale także do grupy zasobów i subskrypcji, w której znajduje się zasób. Zapewnia to, że aplikacja logiczna może wymienić i uzyskiwać dostęp do zasobów w ramach tych zakresów [2].
4. Sprawdzanie uprawnień: Aby sprawdzić, czy tożsamość zarządzana ma prawidłowe uprawnienia, możesz sprawdzić obiekt aplikacji Enterprise w Microsoft Entra ID lub użyć poleceń PowerShell, takich jak „get-MgServicePrincipalAproleassignment” do przypisanych ról [5].
Podsumowując, korzystanie z zarządzanych tożsamości w aplikacjach logicznych wymaga starannego zarządzania uprawnieniami w celu zapewnienia bezpiecznego i skutecznego dostępu do zasobów Azure.
Cytaty:
[1] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-mananaged-identities-n-your-azure-logic-apps/
[2] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identity
[3] https://www.middleway.eu/using-managed-identities-in-a-logic-app/
[4] https://www.youtube.com/watch?v=b69pb9cklra
[5] https://www.reddit.com/r/azure/comments/1aruc8t/where_can_i_see_if_my_logic_app_with_manageged/
[6] https://docs.azure.cn/en-us/logic-apps/create-single-tenant-workflows-azure-portal
[7] https://www.youtube.com/watch?v=bzhcqyishie
[8] https://medienstudio.net/development-en/deploying-azure-logic-apps-managed-identity-with-bicep/
[9] https://gist.github.com/svenaelterman/fe2d66ad4ceb8c1a220766e4898b88Ba
[10] https://www.linkedin.com/pulse/Mananaged-identities-logic-apps-azure-ad-automate-your-tuff-periwal