Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Распространенной проблемой для разработчиков является управление секретами, учетными данными, сертификатами и ключами, используемыми для защиты обмена данными между службами. Управляемые удостоверения устраняют необходимость управления этими учетными данными разработчиками.
Хотя разработчики могут безопасно хранить секреты в Azure Key Vault, службам требуется способ доступа к Azure Key Vault. Управляемые удостоверения предоставляют автоматическое управляемое удостоверение в идентификаторе Microsoft Entra для приложений, используемых при подключении к ресурсам, поддерживающим проверку подлинности Microsoft Entra. Приложения могут использовать управляемые удостоверения для получения маркеров Microsoft Entra без необходимости управлять учетными данными.
Ниже приведены некоторые преимущества использования управляемых удостоверений:
- Вам не нужно управлять учетными данными. Учетные данные даже не доступны для вас.
- Управляемые удостоверения можно использовать для проверки подлинности в любом ресурсе, поддерживающем проверку подлинности Microsoft Entra, включая собственные приложения.
- Управляемые удостоверения можно использовать без дополнительных затрат.
Типы управляемых удостоверений, доступные в Azure
Существует два типа управляемых удостоверений:
Назначено системой: некоторые типы ресурсов Azure, такие как База данных Azure для PostgreSQL, позволяют включить управляемое удостоверение непосредственно на ресурсе. Они называются управляемыми удостоверениями, назначенными системой. При включении управляемого удостоверения, назначаемого системой, выполните следующие действия.
Субъект-служба специального типа создается в идентификаторе Microsoft Entra для удостоверения. Субъект-служба привязан к жизненному циклу этого ресурса Azure. При удалении ресурса Azure Azure автоматически удаляет субъект-службу.
С помощью этого удостоверения можно запросить маркеры из идентификатора Microsoft Entra.
Вы можете авторизовать субъект-службу, связанный с управляемым удостоверением, для доступа к одной или нескольким службам.
Имя, назначенное субъекту-службе, связанному с управляемым удостоверением, всегда совпадает с именем ресурса Azure, для которого он создан.
Назначенный пользователем: некоторые типы ресурсов Azure также поддерживают назначение управляемых удостоверений, созданных пользователем в качестве независимых ресурсов. Жизненный цикл этих удостоверений не зависит от жизненного цикла ресурсов, которым они назначены. Их можно назначить нескольким ресурсам. При включении управляемого удостоверения, назначаемого пользователем, выполните следующие действия.
Субъект-служба специального типа создается в идентификаторе Microsoft Entra для удостоверения. Субъект-служба управляется отдельно от ресурсов, которые его используют.
Несколько ресурсов могут использовать назначенные пользователем удостоверения.
Вы авторизуете управляемое удостоверение для доступа к одной или нескольким службам.
Использование управляемых удостоверений в Базе данных Azure для PostgreSQL
Управляемое удостоверение, назначаемое системой для Базы данных Azure для PostgreSQL используется для следующих целей:
-
azure_storage расширение при настройке доступа к учетной записи хранения с помощью
managed-identityтипа проверки подлинности. Дополнительные сведения см. в том, как настроить расширение azure_storage для использования авторизации с идентификатором Microsoft Entra. - Зеркальные базы данных Microsoft Fabric из Базы данных Azure для PostgreSQL (предварительная версия) используют учетные данные управляемого удостоверения, назначенного системой, для подписания запросов, которые ваш экземпляр гибкого сервера отправляет в службу Azure DataLake в Microsoft Fabric для зеркалирования назначенных баз данных.
Назначенные пользователем управляемые удостоверения, настроенные для гибкого экземпляра сервера Базы данных Azure для PostgreSQL, можно использовать для: