本文介绍如何使用保管库启用系统分配和用户分配的托管标识,以便 Azure 备份 可以在不存储凭据的情况下对依赖的 Azure 资源进行身份验证。 保管库使用托管标识,它相当于 Microsoft Entra ID 服务主体,并授予其在目标资源上的 Azure 基于角色的访问控制(Azure RBAC)权限,例如受保护的数据源和 Azure 密钥保管库 加密密钥。
Azure 备份使用此标识在运行时获取Microsoft Entra令牌,从而免去凭据管理,并且在不收取额外费用的情况下实现安全访问。 本文还介绍了何时使用每个标识类型及其生命周期和分配的不同之处。
支持的托管标识类型
Azure 备份支持系统分配和用户分配的托管标识。 可以在同一个保管库中同时启用两种托管身份类型。
| 托管标识类型 | 注意事项 |
|---|---|
| 系统分配 |
请注意,系统分配的标识与保管库同名。 使用“标识”选项卡中的对象 ID 进行自动化。 |
| 用户分配 |
|
系统分配的托管标识与用户分配的托管标识之间的主要差异
下表提供了系统分配的托管标识和用户分配的托管标识的比较摘要。
| 注意事项 | 系统分配 | 用户分配 |
|---|---|---|
| 生命周期 | 绑定于保管库,并随其被删除 | 独立;在保管库更改时依然保持 |
| Cardinality | 每个保管库一个 | 每个保管库有多个;跨保管库共享 |
| 典型用例 | 单一保管库部署,最简单的配置 | 车队部署、标准化的 RBAC、预配置的身份标识 |
| 在创建保管库时启用 | 不支持;创建保管库后启用 | 在创建备份保管库时受支持 |
先决条件
在为保管库启用托管标识之前,请查看以下先决条件:
- 检查保管库是否存在或创建保管库的权限。
- 验证您的帐户在保管库上是否具有“备份参与者”角色(或同等角色),以便管理身份和分配角色。
- 确定每个下游资源的资源组(磁盘、存储帐户、密钥保管库等),以正确确定角色分配的范围。
启用托管身份标识
可以使用Azure门户、Azure CLI或 PowerShell 为备份保管库启用托管标识。
选择客户端:
- Azure 门户
- Azure CLI
- PowerShell
Azure 备份允许在创建保管库期间或为现有保管库启用备份保管库的托管标识。
在创建保管库时,为备份库启用托管身份验证
若要在 Azure 门户中创建保管库的同时为备份保管库启用托管身份,请执行以下步骤:
在 “保管库属性 ”选项卡上的“ 托管标识设置”下,对于 “启用系统标识”,将状态切换为 “已启用”
对于 “添加用户标识 ”选项,请选择 “添加标识” 以附加一个或多个用户分配的标识
为现有备份保管库启用托管标识
若要为现有备份保管库启用托管标识,请执行以下步骤:
转到备份保管库并选择设置>标识
在标识窗格中,对于系统分配的标识,在系统分配选项卡上,将状态设置为开并选择保存
对于用户分配的标识,在 “用户分配 ”选项卡上,选择“ + 添加 ”以附加一个或多个用户分配的标识
