通过

使用策略阻止托管标识上的工作负载联合身份验证

  • 项目

本文介绍如何使用 Azure Policy 阻止在用户分配的托管标识上创建联合标识凭据。 通过阻止创建联合标识凭据,可以阻止所有人使用工作负载标识联合身份验证访问受 Microsoft Entra 保护的资源。 Azure Policy 有助于在 Azure 资源上执行某些业务规则,并评估这些资源的合规性。

“不允许的资源类型”内置策略可用于阻止在用户分配的托管标识上创建联合标识凭据。

创建策略分配

提示

本文中的步骤可能因开始使用的门户而略有不同。

若要为“不允许的资源类型”创建策略分配以阻止在订阅或资源组中创建联合标识凭据,请执行以下操作:

  1. 登录 Azure 门户
  2. 在 Azure 门户中导航到“策略”。
  3. 转到“定义”窗格。
  4. 在“搜索”框中,搜索“不允许的资源类型”,并在返回的项列表中选择“不允许的资源类型”策略。 Screenshot showing search results in the Azure Policy Definitions pane.
  5. 选择该策略后,可以看到“定义”选项卡。
  6. 单击“分配”按钮以创建分配。 Screenshot showing Policy Definition pane.
  7. 在“基本信息”选项卡中,通过设置“订阅”和可选的“资源组”来填写“范围”。
  8. 在“参数”选项卡中,从“不允许的资源类型”列表中选择“userAssignedIdentities/federatedIdentityCredentials”。 选择“查看并创建”。 Screenshot showing Parameters tab.
  9. 通过选择“创建”应用分配。
  10. 在“定义”旁边的“分配”选项卡中查看分配。

后续步骤

了解如何在 Microsoft Entra ID 中管理用户分配的托管标识的联合标识凭据