配置 Azure 数据资源管理器群集的托管标识

Microsoft Entra ID 的托管标识让你的群集可以访问其他受 Microsoft Entra 保护的资源,如 Azure Key Vault。 标识由 Azure 平台托管,无需预配或轮换任何机密。

本文介绍如何在群集上添加和删除托管标识。 有关托管标识的详细信息,请参阅托管标识概述

注意

如果在订阅或租户之间迁移了 Azure 数据资源管理器群集,Azure 数据资源管理器的托管标识将不会按预期工作。 应用需要获取新标识,此操作可以通过删除系统分配的标识,然后添加系统分配的标识来完成。 还需要更新下游资源的访问策略才能使用新标识。

有关基于以前的 SDK 版本的代码示例,请参阅存档的文章

托管标识类型

可授予 Azure 数据资源管理器群集两种类型的标识:

  • 系统分配的标识:绑定到你的群集,在资源被删除时删除。 一个群集只能有一个系统分配的标识。

  • 用户分配的标识:可以分配给群集的独立 Azure 资源。 一个群集可具有多个用户分配的标识。

添加系统分配的标识

分配一个系统分配的标识,该标识绑定到群集,在群集被删除时删除。 一个群集只能有一个系统分配的标识。 使用系统分配的标识创建群集需要在该群集上设置一个额外的属性。 使用 Azure 门户、C# 或资源管理器模板添加系统分配的标识,详情如下所示。

使用 Azure 门户添加系统分配的标识

登录到 Azure 门户

新建 Azure 数据资源管理器群集

  1. 创建 Azure 数据资源管理器群集

  2. 在“安全性”选项卡 >“系统分配标识”中,选择“打开”。 若要删除系统分配的标识,请选择“关闭”。

  3. 选择“下一步: 标记 >”或“查看 + 创建”,创建此群集。

    将系统分配的标识添加到新群集。

现有的 Azure 数据资源管理器群集

  1. 打开现有的 Azure 数据资源管理器群集。

  2. 在门户的左窗格中,选择“设置”>“标识”。

  3. 在“标识”窗格 >“系统分配”选项卡中:

    1. 将“状态”滑块移到“打开”。
    2. 选择“保存”
    3. 在弹出窗口中选择“是”

    添加系统分配的标识。

  4. 几分钟后,屏幕显示:

    • 对象 ID - 用于客户管理的密钥
    • 权限 - 选择相关角色分配

    系统分配的标识处于打开状态。

删除系统分配的标识

移除系统分配的标识后,也会将其从 Microsoft Entra ID 中删除。 删除群集资源时,也会自动从 Microsoft Entra ID 中移除系统分配的标识。 可以通过禁用该功能来删除系统分配的标识。 使用 Azure 门户、C# 或资源管理器模板删除系统分配的标识,详情如下所示。

使用 Azure 门户删除系统分配的标识

  1. 登录到 Azure 门户

  2. 在门户的左窗格中,选择“设置”>“标识”。

  3. 在“标识”窗格 >“系统分配”选项卡中:

    1. 将“状态”滑块移到“关闭”。
    2. 选择“保存”
    3. 在弹出窗口中选择“是”,禁用系统分配的标识。 “标识”窗格恢复到与添加系统分配标识之前相同的状况。

    系统分配的标识处于关闭状态。

添加用户分配的标识

将用户分配的托管标识分配给群集。 一个群集可拥有多个用户分配的标识。 使用用户分配的标识创建群集需要在该群集上设置一个额外的属性。 使用 Azure 门户、C# 或资源管理器模板添加用户分配的标识,详情如下所示。

使用 Azure 门户添加用户分配的标识

  1. 登录 Azure 门户

  2. 创建用户分配的托管标识资源

  3. 打开现有的 Azure 数据资源管理器群集。

  4. 在门户的左窗格中,选择“设置”>“标识”。

  5. 在“用户分配”选项卡中,选择“添加” 。

  6. 搜索之前创建的标识并选择它。 选择 添加

    添加用户分配的标识。

从群集中删除用户分配的托管标识

使用 Azure 门户、C# 或资源管理器模板删除用户分配的标识,详情如下所示。

使用 Azure 门户删除用户分配的托管标识

  1. 登录到 Azure 门户

  2. 在门户的左窗格中,选择“设置”>“标识”。

  3. 选择“用户分配”选项卡。

  4. 搜索之前创建的标识并选择它。 选择“删除” 。

    删除用户分配的标识。

  5. 在弹出窗口中,选择“是”,删除用户分配的标识。 “标识”窗格会还原到与添加用户分配的标识之前相同的状态。