你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为开发人员中心配置托管标识

  • 项目

本指南介绍如何为 Azure 部署环境开发人员中心添加和配置托管标识,以便为开发团队启用安全部署。

Azure 部署环境使用托管标识为开发团队提供自助服务部署功能,而无需授予他们访问在其中创建 Azure 资源的订阅的权限。 托管标识将提升的权限功能和安全身份验证添加到支持 Microsoft Entra 身份验证的任何服务。

为附加到开发人员中心的托管标识分配参与者角色和每个用户类型的部署订阅中的用户访问管理员istrator 角色。 请求环境部署时,该服务会向根据环境类型设置的部署标识授予适当的权限,以代表用户执行部署。 附加到开发人员中心的托管标识还用于添加到 目录中的目录 和访问 环境定义

添加托管标识

在 Azure 部署环境中,可以选择两种类型的托管标识:

  • 系统分配的标识:系统分配的标识绑定到开发人员中心或项目环境类型。 删除附加资源时,也会删除系统分配的标识。 开发人员中心或项目环境类型只能有一个系统分配的标识。
  • 用户分配的标识:用户分配的标识是一个独立的 Azure 资源,你可以将其分配给开发中心或项目环境类型。 对于 Azure 部署环境,开发人员中心或项目环境类型只能有一个用户分配的标识。

作为安全最佳做法,如果选择使用用户分配的标识,请为项目和开发人员中心使用不同的标识。 与开发人员中心相比,项目标识对资源的访问权限应该更加有限。

注意

在 Azure 部署环境中,如果同时添加系统分配的标识和用户分配的标识,则仅使用用户分配的标识。

添加系统分配的托管标识

  1. Azure 门户中转至“Azure 部署环境”。

  2. 开发人员中心上,选择你的开发人员中心。

  3. 在设置下的左侧菜单中,选择“标识”。

  4. 在“系统分配”下,将“状态”设置为“开”。

  5. 选择“保存”。

    Screenshot that shows the system-assigned managed identity.

  6. 在“启用系统分配的托管标识”对话框中,选择“是”。

添加用户分配的托管标识

  1. Azure 门户中转至“Azure 部署环境”。

  2. 开发人员中心上,选择你的开发人员中心。

  3. 在设置下的左侧菜单中,选择“标识”。

  4. 在“用户分配”下,选择“添加”以附加现有标识。

    Screenshot that shows the user-assigned managed identity.

  5. 在“添加用户分配的托管标识”上,输入或选择以下信息:

    1. 在“订阅”上,选择标识所在的订阅。
    2. 在用户分配的托管标识,选择现有标识。
    3. 选择添加

分配订阅角色分配

应为所有部署订阅分配附加到开发人员中心的标识,并为包含相关项目的所有订阅分配参与者和用户访问管理员istrator 角色。 当用户创建或部署环境时,服务将授予对附加到项目环境类型的部署标识的适当访问权限。 部署标识使用访问权限代表用户执行部署。 可以使用托管标识使开发人员能够创建环境,而无需授予开发人员对订阅的访问权限。

向系统分配的托管标识添加角色分配

  1. 在Azure 门户中,导航到 Azure 部署环境中的开发人员中心。

  2. 在设置下的左侧菜单中,选择“标识”。

  3. 在“系统分配”>“权限”下,选择“Azure 角色分配”。

    Screenshot that shows the Azure role assignment for system-assigned identity.

  4. 若要向参与者授予订阅的访问权限,请选择“添加角色分配(预览版)”,输入或选择以下信息,然后选择“保存”:

    名称
    范围 订阅
    订阅 选择要在其中使用托管标识的订阅。
    角色 参与者

  5. 若要向用户访问管理员授予订阅的访问权限,请选择“添加角色分配(预览版)”,输入或选择以下信息,然后选择“保存”:

    名称
    范围 订阅
    订阅 选择要在其中使用托管标识的订阅。
    角色 用户访问管理员

向用户分配的托管标识添加角色分配

  1. 在Azure 门户中,导航到开发人员中心。

  2. 在设置下的左侧菜单中,选择“标识”。

  3. 在“用户分配”下,选择标识。

  4. 在左侧菜单中,选择 Azure 角色分配

  5. 若要向参与者授予订阅的访问权限,请选择“添加角色分配(预览版)”,输入或选择以下信息,然后选择“保存”:

    名称
    范围 订阅
    订阅 选择要在其中使用托管标识的订阅。
    角色 参与者

  6. 若要向用户访问管理员授予订阅的访问权限,请选择“添加角色分配(预览版)”,输入或选择以下信息,然后选择“保存”:

    名称
    范围 订阅
    订阅 选择要在其中使用托管标识的订阅。
    角色 用户访问管理员

将托管标识访问权限授予密钥保管库机密

可以将密钥保管库设置为使用 密钥保管库访问策略Azure 基于角色的访问控制

注意

在将存储库添加为目录之前,必须首先向托管标识授予相应的访问权限,使其能够访问包含存储库个人访问令牌的密钥保管库机密。

密钥保管库访问策略

如果密钥保管库配置为使用密钥库访问策略,请执行以下操作:

  1. 在 Azure 门户中,转到包含具有个人访问令牌的机密的密钥保管库。

  2. 在左侧菜单中,选择“ 访问策略”,然后选择“ 创建”。

  3. 在“创建访问策略”上,输入或选择以下信息:

    1. 在“权限”选项卡上的“机密权限”下,选中“获取”复选框,然后选择“下一步”。
    2. 在“主体”选项卡上,选择附加到开发人员中心的标识。
    3. 选择“查看 + 创建”,然后选择“创建”。

Azure 基于角色的访问控制

如果密钥保管库配置为使用“Azure 基于角色的访问控制”:

  1. 在 Azure 门户中,转到包含具有个人访问令牌的机密的密钥保管库。

  2. 在左侧菜单中,选择“访问控制 (IAM)”。

  3. 选择标识,然后在左侧菜单中选择“Azure 角色分配”。

  4. 选择“添加角色分配”,然后输入或选择以下信息:

    1. 对于 范围,请选择密钥保管库。
    2. 对于 “订阅”,请选择包含密钥保管库的订阅。
    3. 对于 “资源”,请选择密钥保管库。
    4. 对于“角色”,请选择“密钥库机密用户”。
    5. 选择“保存”。

相关内容