Для використання керованих ідентичностей у програмах Azure Logic потрібні конкретні дозволи, як для самої керованої ідентичності, так і для доступу до цільових ресурсів Azure. Ось кілька ключових моментів щодо дозволів:
1. Це важливо для управління доступом до ресурсів, захищених Microsoft Entra ID [2].
2. Рольові завдання для цільових ресурсів: Перш ніж керована ідентичність може отримати доступ до ресурсів Azure, йому потрібно призначити відповідні ролі. Наприклад, якщо вашій логічній програмі потрібно взаємодіяти з Azure Storage, ви можете призначити роль "учасника даних зберігання даних" керованій ідентичності. Аналогічно, для автобусної служби Azure, такі ролі, як "Відправник даних Azure Service Bus" або "Отримувач даних автобусів Azure Service" може бути необхідним [3].
3. Доступ до підписки та ресурсів: керовані ідентичності потребують доступу не лише до конкретного ресурсу, але й до групи ресурсів та підписки, де знаходиться ресурс. Це гарантує, що логічний додаток може перелічити та отримувати доступ до ресурсів у цих областях [2].
4. Перевірка дозволів: Щоб переконатися, що керована ідентичність має правильні дозволи, ви можете перевірити об'єкт програми Enterprise в ID Microsoft Entra або використовувати команди PowerShell, як-от `get-mgserviceprincipal-Approleassignment`, щоб запитувати ролі [5].
Підсумовуючи це, використання керованих ідентичностей у логічних додатках вимагає ретельного управління дозволами для забезпечення безпечного та ефективного доступу до ресурсів Azure.
Цитати:
[1] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-managed-identities-in-your-azure-logic-apps/
[2] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identity
[3] https://www.middleway.eu/using-managed-identities-in-a-logic-app/
[4] https://www.youtube.com/watch?v=b69pb9cklra
[5] https://www.reddit.com/r/azure/comments/1aruc8t/wher_can_i_see_if_my_logic_app_with_managed/
[6] https://docs.azure.cn/en-us/logic-apps/create-single-tenant-workflows-azure-portal
[7] https://www.youtube.com/watch?v=bzhcqyishie
[8] https://medienstudio.net/development-en/delloing-azure-logic-apps-managed-identity-with-bicep/
[9] https://gist.github.com/svenaelterman/fe2d66ad4ceb8c1a220766e4898b88ba
[10] https://www.linkedin.com/pulse/managed-identities-logic-apps-azure-ad-automate-your-stuff-periwal