Управление управляемыми удостоверениями, назначаемыми пользователем, с помощью портала Azure

Управляемые удостоверения для ресурсов Azure устраняют потребность в управлении учетными данными в коде. Их можно использовать для получения маркера Microsoft Entra для приложений. Приложения могут использовать маркер при доступе к ресурсам, поддерживающим проверку подлинности Microsoft Entra. Azure управляет этим удостоверением, поэтому вам это делать не нужно.

Существует два типа управляемых удостоверений: назначаемые системой и назначаемые пользователем. Жизненный цикл управляемых удостоверений, назначаемых системой, связан с ресурсом, который их создал. Это удостоверение ограничено только одним ресурсом, и вы можете предоставить разрешения управляемому удостоверению с помощью управления доступом на основе ролей Azure (RBAC). Назначаемые пользователем управляемые удостоверения могут использоваться для нескольких ресурсов.

Из этой статьи вы узнаете, как создавать и удалять роли, получать их список и назначать их для назначаемого пользователем управляемого удостоверения с помощью портала Azure.

Предпосылки

• Если вы не работали с управляемыми удостоверениями для ресурсов Azure, изучите общие сведения. Обязательно просмотрите разницу между назначаемой системой и назначаемой пользователем управляемой идентификацией.
• Если у вас нет учетной записи Azure, сначала зарегистрируйтесь для получения бесплатной пробной учетной записи.

Создание управляемой идентичности, назначаемой пользователем

Чтобы создать назначаемое пользователем управляемое удостоверение, учетной записи должна быть назначена роль участника управляемого удостоверения.

1. Войдите на портал Azure.

2. В поле поиска введите Управляемые удостоверения. В разделе Службы выберите Управляемые удостоверения.

3. Нажмите кнопку Добавить и введите значения в следующие поля в области Создание назначаемого пользователем управляемого удостоверения:

   • Подписка: выберите подписку, чтобы создать управляемое удостоверение, назначаемое пользователем.
   • Группа ресурсов: выберите существующую группу ресурсов, чтобы создать в ней назначаемое пользователем управляемое удостоверение, или нажмите Создать, чтобы создать новую группу.
   • Регион: выберите регион для развертывания управляемого удостоверения, назначаемого пользователем, например Западная часть США.
   • Имя: введите имя управляемого удостоверения, назначаемого пользователем, например UAI1.

   Это важно

   При создании управляемых удостоверений, назначаемых пользователем, имя должно начинаться с буквы или числа, а также может включать сочетание буквенно-цифровых символов, дефисов (-) и символов подчеркивания (_). Для корректной работы назначения для виртуальной машины или масштабируемого набора виртуальных машин имя должно содержать не более 24 символов. Дополнительные сведения см. в разделе Часто задаваемые вопросы и известные проблемы.

   

4. Нажмите Просмотр и создание, чтобы просмотреть изменения.

5. Нажмите кнопку "Создать".

Получение списка управляемых удостоверений, назначаемых пользователем

Чтобы получить список управляемых удостоверений, назначаемых пользователем, или прочитать их, у учетной записи должна быть роль оператора управляемого удостоверения или участника управляемого удостоверения.

1. Войдите на портал Azure.

2. В поле поиска введите Управляемые удостоверения. В разделе Службы выберите Управляемые удостоверения.

3. Возвращается список управляемых удостоверений, назначаемых пользователем, для вашей подписки. Чтобы просмотреть сведения о назначаемом пользователем управляемом удостоверении, выберите его имя.

4. Теперь вы можете просмотреть сведения об управляемом удостоверении, как показано на изображении.

   

Удаление управляемого удостоверения, назначаемого пользователем

Чтобы удалить назначаемое пользователем управляемое удостоверение, учетной записи должна быть назначена роль участника управляемого удостоверения. Удаление пользовательского назначенного удостоверения не удаляет его из ресурса, к которому оно было назначено.

1. Войдите на портал Azure.

2. Выберите назначаемое пользователем управляемое удостоверение и нажмите кнопку Удалить.

3. В окне подтверждения нажмите кнопку Да.

   

Управление доступом к управляемым удостоверениям, назначаемым пользователем

В некоторых средах администраторы ограничивают круг тех, кто может управлять управляемыми удостоверениями, назначаемыми пользователем. Администраторы могут реализовать это ограничение с помощью встроенных ролей RBAC. Эти роли можно использовать, чтобы предоставить пользователю или группе в организации права на управляемое удостоверение, назначаемое пользователем.

1. Войдите на портал Azure.

2. В поле поиска введите Управляемые удостоверения. В разделе Службы выберите Управляемые удостоверения.

3. Возвращается список управляемых удостоверений, назначаемых пользователем, для вашей подписки. Выберите управляемое удостоверение, назначаемое пользователем, которым необходимо управлять.

4. Выберите Управление доступом (IAM).

5. Выберите Добавить назначение ролей.

   

6. В области Добавление назначения ролей выберите роль, которую нужно назначить, и щелкните Далее.

7. Выберите, кому должна быть назначена эта роль.

Связанный контент

Назначение управляемому удостоверению доступа к ресурсу с помощью портала Azure