Для использования управляемых идентификаторов в приложениях Azure Logic требуются конкретные разрешения, как для самой управляемой идентификации, так и для доступа к ресурсам Target Azure. Вот несколько ключевых моментов, касающихся разрешений:
1. Разрешения администратора Microsoft Entra: Чтобы назначить роли управляемым личностям, вам нужны разрешения Microsoft Entra Administrator. Это важно для управления доступом к ресурсам, защищенным Microsoft Entra ID [2].
2. Назначения ролей для целевых ресурсов: Перед тем, как управляемая идентификация сможет получить доступ к ресурсу Azure, ему необходимо назначить соответствующие роли. Например, если ваше логическое приложение необходимо взаимодействовать с хранилищем Azure, вы можете назначить роль «Вклад данных о борьбе с хранилищами» управляемой личности. Аналогичным образом, для Azure Service Bus может потребоваться такие роли, как «Searer Data Searner Azure Search Bus или« Получатель данных Azure Service Bus Wus »[3].
3. Доступ к группе подписки и ресурсов. Это гарантирует, что приложение Logic может перечислять и получить доступ к ресурсам в этих областях [2].
4. Проверка разрешений: Чтобы убедиться, что управляемый личность имеет правильные разрешения, вы можете проверить объект Enterprise Application в Microsoft Entra ID или использовать команды PowerShell, такие как `Get-MgServicePrincipalApploLeaseSignment` для запроса назначенных ролей [5].
Таким образом, использование управляемых идентификаций в логических приложениях требует тщательного управления разрешениями для обеспечения безопасного и эффективного доступа к ресурсам Azure.
Цитаты:
[1] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-danaged-ideinity-in-your-azure-logic-apps/
[2] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identity
[3] https://www.middleway.eu/using-managed-idedities-in-a-logic-app/
[4] https://www.youtube.com/watch?v=b69pb9cklra
[5] https://www.reddit.com/r/azure/comments/1aruc8t/where_can_i_see_if_my_logic_app_with_managed/
[6] https://docs.azure.cn/en-us/logic-apps/create-single-tenant-workflows-azure-portal
[7] https://www.youtube.com/watch?v=bzHcqyishie
[8] https://medienstudio.net/development-en/deploying-azure-logic-apps- Managed-idedity-with-bicep/
[9] https://gist.github.com/svenaelterman/fe2d66ad4ceb8c1a220766e4898b88ba
[10] https://www.linkedin.com/pulse/managed-identities-logic-apps-azure-ad-automate-your-stuff-periwal