Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Un'identità gestita in Azure offre un modo sicuro e semplice per applicazioni, servizi e strumenti di automazione per accedere alle risorse di Azure senza archiviare le credenziali nel codice o nella configurazione. A differenza delle entità servizio, che richiedono la gestione manuale delle credenziali, Azure gestisce automaticamente le identità gestite e non espone segreti sensibili. L'uso di un'identità gestita è la procedura consigliata per la scrittura di script di automazione sicuri perché semplifica l'autenticazione e riduce al minimo il rischio di perdite di credenziali. Le identità gestite consentono anche di automatizzare le attività di gestione in modo sicuro senza basarsi sulle identità utente. Le autorizzazioni per le identità gestite vengono gestite tramite Microsoft Entra, assicurandosi di avere solo l'accesso necessario alle risorse, migliorando sia la sicurezza che la gestibilità.
Importante
A partire da settembre 2025, Azure PowerShell richiederà l'autenticazione a più fattori (MFA) durante l'accesso con un'identità utente dell'ID Microsoft Entra. Questa modifica migliora la sicurezza, ma potrebbe influire sui flussi di lavoro di automazione che si basano sull'autenticazione con nome utente e password. Per altre informazioni, vedere L'impatto dell'autenticazione a più fattori in Azure PowerShell negli scenari di automazione.
Prerequisiti
Accedere con un'identità gestita
Le identità gestite sono un tipo speciale di entità di servizio che forniscono ai servizi di Azure un'identità gestita automaticamente. L'uso di questo tipo di identità non richiede l'archiviazione delle credenziali nella configurazione o nel codice per l'autenticazione in qualsiasi servizio di Azure che supporta le identità gestite.
Esistono due tipi di identità gestite:
- Identità gestita assegnata dal sistema
- Identità gestita assegnata dall'utente
Le identità gestite offrono un modo sicuro per comunicare con altri servizi di Azure senza che gli sviluppatori debbano gestire le credenziali. Contribuiscono anche ad attenuare il rischio di perdite di credenziali.
Ecco come funzionano le identità gestite in scenari reali:
- Azure gestisce automaticamente la creazione e l'eliminazione delle credenziali usate dall'identità gestita.
- Un servizio di Azure abilitato con un'identità gestita può accedere in modo sicuro ad altri servizi, ad esempio Azure Key Vault, database SQL di Azure, Archiviazione BLOB di Azure e così via, usando i token Microsoft Entra.
- Tale identità viene gestita direttamente in Azure senza dover effettuare un provisioning aggiuntivo.
Le identità gestite semplificano il modello di sicurezza evitando la necessità di archiviare e gestire le credenziali e svolgono un ruolo fondamentale nelle operazioni cloud sicure riducendo il rischio associato alla gestione dei segreti.
Identità gestita assegnata dal sistema
Azure crea automaticamente un'identità gestita assegnata dal sistema per un'istanza del servizio di Azure, ad esempio una macchina virtuale di Azure, un servizio app o Funzioni di Azure. Quando l'istanza del servizio viene eliminata, Azure pulisce automaticamente le credenziali e l'identità associata al servizio.
Nell'esempio seguente, la connessione viene effettuata tramite un'identità gestita assegnata dal sistema dell'ambiente host. Se eseguito in una macchina virtuale con un'identità gestita assegnata, consente al codice di accedere usando l'identità assegnata.
Connect-AzAccount -Identity
Identità gestita assegnata dall'utente
Un'identità gestita assegnata dall'utente è un'identità creata e gestita in Microsoft Entra. Può essere assegnato a una o più istanze del servizio di Azure. Il ciclo di vita di un'identità gestita assegnata dall'utente viene gestito separatamente dalle istanze del servizio a cui è assegnata.
Quando si usa un'identità gestita assegnata dall'utente, è necessario specificare i parametri AccountId e Identity, come illustrato nell'esempio seguente.
Connect-AzAccount -Identity -AccountId <user-assigned-identity-clientId-or-resourceId>
I comandi seguenti eseguono la connessione tramite l'identità gestita di myUserAssignedIdentity. Questo aggiunge l'identità assegnata dall'utente alla macchina virtuale e quindi si connette tramite il ClientId dell'identità assegnata dall'utente.
$identity = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name myUserAssignedIdentity
Get-AzVM -ResourceGroupName contoso -Name testvm | Update-AzVM -IdentityType UserAssigned -IdentityId $identity.Id
Connect-AzAccount -Identity -AccountId $identity.ClientId # Run on the virtual machine
Account SubscriptionName TenantId Environment
------- ---------------- -------- -----------
00000000-0000-0000-0000-000000000000 My Subscription 00000000-0000-0000-0000-000000000000 AzureCloud
Per altre informazioni, vedere Configurare le identità gestite per le risorse di Azure in una macchina virtuale di Azure.
Accedere con un principal del servizio
Per accedere con un Service Principal, usare il parametro ServicePrincipal del cmdlet Connect-AzAccount. Sarà inoltre necessario disporre delle seguenti informazioni per il principale del servizio:
- AppId
- Credenziali di accesso o accesso al certificato utilizzato per creare il servizio principale
- ID del locatario
La modalità di accesso con un principale del servizio varia a seconda che sia stata configurata per l'autenticazione basata su certificato o su password.
Autenticazione basata su certificati
Per informazioni su come creare un principale del servizio per Azure PowerShell, vedere Creare un principale del servizio di Azure con Azure PowerShell.
L'autenticazione basata su certificati richiede ad Azure PowerShell di recuperare informazioni da un archivio certificati locale basandosi su un'impronta digitale del certificato.
Connect-AzAccount -ApplicationId $appId -Tenant $tenantId -CertificateThumbprint <thumbprint>
Quando si usa un'entità servizio anziché un'applicazione registrata, specificare il parametro ServicePrincipal e fornire l'AppId dell'entità servizio come valore per il parametro ApplicationId.
Connect-AzAccount -ServicePrincipal -ApplicationId $servicePrincipalId -Tenant $tenantId -CertificateThumbprint <thumbprint>
In Windows PowerShell 5.1 è possibile gestire e controllare l'archivio certificati con il modulo PKI. Per PowerShell 7.x e versioni successive, il processo è diverso. Gli script seguenti illustrano come importare un certificato esistente nell'archivio certificati accessibile da PowerShell.
Importare un certificato in PowerShell 7.x e versioni successive
# Import a PFX
$storeName = [System.Security.Cryptography.X509Certificates.StoreName]::My
$storeLocation = [System.Security.Cryptography.X509Certificates.StoreLocation]::CurrentUser
$store = [System.Security.Cryptography.X509Certificates.X509Store]::new($storeName, $storeLocation)
$certPath = <path to certificate>
$credentials = Get-Credential -Message "Provide PFX private key password"
$flag = [System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable
$certificate = [System.Security.Cryptography.X509Certificates.X509Certificate2]::new($certPath, $credentials.Password, $flag)
$store.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite)
$store.Add($Certificate)
$store.Close()
Importare un certificato in Windows PowerShell 5.1
# Import a PFX
$credentials = Get-Credential -Message 'Provide PFX private key password'
Import-PfxCertificate -FilePath <path to certificate> -Password $credentials.Password -CertStoreLocation cert:\CurrentUser\My
Autenticazione basata su password
Creare un principale del servizio da utilizzare con gli esempi presenti in questa sezione. Per altre informazioni sulla creazione di entità servizio, vedere Creare un'entità servizio di Azure con Azure PowerShell.
$sp = New-AzADServicePrincipal -DisplayName ServicePrincipalName
Attenzione
Il segreto del principale del servizio specificato viene archiviato nel file AzureRmContext.json del profilo utente ($env:USERPROFILE\.Azure). Assicurarsi che questa directory disponga di misure di protezione appropriate.
Per ottenere le credenziali del principale del servizio come oggetto, usare il cmdlet Get-Credential. Questo cmdlet richiede un nome utente e una password. Usare il AppId del servizio principale per il nome utente e convertirne il secret in testo normale per la password.
# Retrieve the plain text password for use with Get-Credential in the next command.
$sp.PasswordCredentials.SecretText
$pscredential = Get-Credential -UserName $sp.AppId
Connect-AzAccount -ServicePrincipal -Credential $pscredential -Tenant $tenantId
Per gli scenari di automazione, è necessario creare le credenziali a partire da un service principal AppId e SecretText:
$SecureStringPwd = $sp.PasswordCredentials.SecretText | ConvertTo-SecureString -AsPlainText -Force
$pscredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $sp.AppId, $SecureStringPwd
Connect-AzAccount -ServicePrincipal -Credential $pscredential -Tenant $tenantId
Usare le procedure appropriate per l'archiviazione delle password durante l'automazione delle connessioni del principale del servizio.
Vedere anche
- Creare un principale del servizio di Azure con Azure PowerShell
- Che cosa sono le identità gestite per le risorse di Azure?
- Assegnare l'accesso di un'identità gestita a una risorsa tramite PowerShell
- Visualizzare il principale del servizio di un'identità gestita usando PowerShell
- Connect-AzAccount
- New-AzADServicePrincipal
- Get-Credential
Collabora con noi su GitHub
L'origine di questo contenuto è disponibile in GitHub, in cui è anche possibile creare ed esaminare i problemi e le richieste pull. Per ulteriori informazioni, vedere la guida per i collaboratori.
