Настройка управляемой идентификации для центра разработки

В этом руководстве объясняется, как добавить и настроить управляемое удостоверение для центра разработки в средах развертывания Azure, чтобы обеспечить безопасное развертывание для команд разработчиков.

Среды развертывания Azure используют управляемые удостоверения, чтобы предоставить командам разработчиков возможности самостоятельного развертывания без предоставления им доступа к подпискам, в которых создаются ресурсы Azure. Управляемое удостоверение добавляет возможности с повышенными привилегиями и безопасную проверку подлинности в любую службу, которая поддерживает проверку подлинности Microsoft Entra.

Управляемое удостоверение, подключенное к центру разработки, должно иметь назначенные роли: роль участника и роль администратора доступа пользователей в подписках на развертывание для каждого типа среды. При запросе развертывания среды служба предоставляет соответствующие разрешения удостоверениям развертывания, настроенным для типа среды, для развертывания от имени пользователя. Управляемое удостоверение, присоединенное к центру разработки, также используется для работы с каталогом и доступа к определениям среды в каталоге.

Prerequisites

Добавление управляемого удостоверения

В средах развертывания Azure можно выбрать два типа управляемых удостоверений:

  • Системно назначаемый идентификатор: этот идентификатор связан либо с центром разработки, либо с типом среды проекта. Удостоверение, назначаемое системой, удаляется при удалении подключенного ресурса. Центр разработки или тип проектной среды может иметь только один системно назначаемый идентификатор.
  • Назначаемое пользователем удостоверение: назначаемое пользователем удостоверение — это автономный ресурс Azure, который можно назначить центру разработки или типу среды проекта. Для сред развертывания Azure центр разработки или тип среды проекта может иметь только одно удостоверение, назначаемое пользователем.

В качестве рекомендации по обеспечению безопасности, если вы решили использовать удостоверения, назначенные пользователем, используйте разные удостоверения для проекта и центра разработки. Идентификаторы проектов должны иметь более ограниченный доступ к ресурсам, чем центры разработки.

Note

В средах развертывания Azure при добавлении удостоверения, назначаемого системой, и удостоверения, назначаемого пользователем, используется только назначаемое пользователем удостоверение.

Добавить управляемое удостоверение, присваиваемое системой

  1. Войдите на портал Azure и перейдите в среды развертывания Azure.

  2. В меню слева выберите центры разработки.

  3. На странице центров разработки выберите центр разработки.

  4. В меню слева в разделе «Параметры» выберите «Удостоверение».

  5. На вкладке Назначено системой установите Состояние как Вкл..

  6. Нажмите Сохранить.

    Скриншот, на котором показано управляемое удостоверение, назначенное системой.

  7. В диалоговом окне "Включить назначенное системой управляемое удостоверение" выберите "Да".

Добавление управляемого удостоверения, назначаемого пользователем

  1. Войдите на портал Azure и перейдите в среды развертывания Azure.

  2. В меню слева выберите центры разработки.

  3. На странице центров разработки выберите центр разработки.

  4. В меню слева в разделе Параметры выберите Идентификация.

  5. На вкладке "Назначенный пользователем" выберите Добавить чтобы присоединить существующий идентификатор.

    Снимок экрана, показывающий управляемое удостоверение, назначенное пользователем.

  6. При добавлении управляемого удостоверения пользователя введите или выберите следующие сведения:

    1. В подписке выберите подписку, в которой существует удостоверение.
    2. Выберите существующее удостоверение из списка управляемых пользователем назначенных удостоверений.
    3. Нажмите кнопку "Добавить".

Назначение роли подписки

Удостоверение, прикреплённое к центру разработки, должно быть назначено к ролям "Участник" и "Администратор доступа пользователей" для всех подписок, связанных с развертыванием, и к роли "Читатель" для всех подписок, в которых находится соответствующий проект. Когда пользователь создает или развертывает среду, служба предоставляет соответствующий доступ к идентификатору развертывания, подключенному к типу среды проекта. Идентификатор развертывания использует доступ для выполнения развертываний от имени пользователя. Вы можете использовать управляемое удостоверение, чтобы разработчики могли создавать среды без предоставления им доступа к подписке.

Добавление назначения ролей в управляемое удостоверение, назначаемое системой

  1. В портале Azure перейдите в Центр разработки в средах развертывания.

  2. В меню слева в разделе «Параметры» выберите «Удостоверение».

  3. В разделе Назначенные системой>разрешения выберите назначения ролей Azure.

    Снимок экрана: назначение ролей Azure для удостоверения, назначаемого системой.

  4. Чтобы предоставить участнику доступ к подписке, выберите "Добавить назначение ролей (предварительная версия)", введите или выберите следующие сведения, а затем нажмите кнопку "Сохранить".

    Name Value
    Scope Subscription
    Subscription Выберите подписку, в которой будет использоваться управляемое удостоверение.
    Role Contributor

  5. Чтобы предоставить администратору доступа пользователей к подписке, выберите "Добавить назначение ролей (предварительная версия)", введите или выберите следующие сведения, а затем нажмите кнопку "Сохранить".

    Name Value
    Scope Subscription
    Subscription Выберите подписку, в которой будет использоваться управляемое удостоверение.
    Role Администратор доступа пользователей

Добавление назначения ролей в управляемое удостоверение, назначаемое пользователем

  1. Перейдите в центр разработки через портал Azure.

  2. В меню слева в разделе «Параметры» выберите «Удостоверение».

  3. В разделе Назначено пользователем выберите имя идентификатора.

  4. В меню слева выберите назначения ролей Azure.

  5. Чтобы предоставить участнику доступ к подписке, выберите "Добавить назначение ролей (предварительная версия)", введите или выберите следующие сведения, а затем нажмите кнопку "Сохранить".

    Name Value
    Scope Subscription
    Subscription Выберите подписку, в которой будет использоваться управляемое удостоверение.
    Role Contributor

  6. Чтобы предоставить администратору доступа пользователей к подписке, выберите "Добавить назначение ролей (предварительная версия)", введите или выберите следующие сведения, а затем нажмите кнопку "Сохранить".

    Name Value
    Scope Subscription
    Subscription Выберите подписку, в которой будет использоваться управляемое удостоверение.
    Role Администратор доступа пользователей

Предоставьте управляемому удостоверению доступ к секрету в хранилище ключей

Вы можете настроить хранилище ключей для использования политики доступа к хранилищу ключей или управления доступом на основе ролей Azure.

Note

Прежде чем добавить репозиторий в качестве каталога, необходимо предоставить управляемой идентификации доступ к секрету хранилища ключей, содержащему персональный токен доступа репозитория.

Политика доступа к хранилищу ключей

Warning

Для повышения безопасности используйте модель управления доступом на основе ролей (RBAC) вместо политик доступа при управлении Azure Key Vault. RBAC ограничивает управление разрешениями только ролям "Владелец" и "Администратор доступа пользователей", обеспечивая четкое разделение между задачами безопасности и администрирования. Дополнительные сведения см. в разделе "Что такое Azure RBAC" и в руководстве по RBAC Key Vault.

С помощью модели разрешений политики доступа пользователи, обладающие ролью Contributor, Key Vault Contributor или любой ролью, включающей разрешения Microsoft.KeyVault/vaults/write, могут предоставить себе доступ к уровню данных, настроив политику доступа Key Vault. Это может привести к несанкционированным доступу и управлению хранилищами ключей, ключами, секретами и сертификатами. Чтобы уменьшить этот риск, ограничьте доступ роли участника к хранилищам ключей при использовании модели политики доступа.

Если хранилище ключей настроено для использования политики доступа к хранилищу ключей:

  1. Перейдите в портал Azure и откройте хранилище ключей, содержащее секрет с персональным токеном доступа.

  2. В меню слева выберите политики доступа и нажмите кнопку "Создать".

  3. В поле "Создание политики доступа" введите или выберите следующие сведения:

    1. На вкладке "Разрешения" в разделе "Разрешения секрета" установите флажок "Получить" и нажмите кнопку "Далее".
    2. На вкладке "Основной" выберите удостоверение, подключенное к центру разработки.
    3. Выберите Проверить и создать, а затем выберите Создать.

Управление доступом на основе ролей Azure

Если хранилище ключей настроено для использования управления доступом на основе ролей Azure:

  1. Перейдите в портал Azure и откройте хранилище ключей, содержащее секрет с персональным токеном доступа.

  2. В меню слева выберите Управление доступом (IAM).

  3. Выберите учетную запись и в меню слева выберите назначения ролей Azure.

  4. Выберите " Добавить назначение ролей", а затем введите или выберите следующие сведения:

    1. Для Scope выберите хранилище ключей.
    2. Для подписки выберите подписку, содержащую хранилище ключей.
    3. Для ресурса выберите хранилище ключей.
    4. Для роли выберите "Пользователь секретов Key Vault".
    5. Нажмите Сохранить.

Связанный контент

  • Last updated on