托管标识
开发人员面临的一个共同挑战是如何管理密码和凭据,以确保不同服务之间的通信安全。 在 Azure 上,托管标识可为 Azure AD 中的 Azure 资源提供标识并使用它来获取 Azure Active Directory (Azure AD) 令牌,从而使开发人员无需管理凭据。
注意
托管标识仅适用于使用 v3 API 创建的媒体服务帐户。 如果你使用的是 v2 API,并且想要使用托管标识,请从 v2 迁移到 v3 关于从媒体服务 v2 迁移到 v3 的介绍。
媒体服务托管标识方案
目前有以下三种方案可将托管标识与媒体服务配合使用:
- 向媒体服务帐户授予对 Key Vault 的访问权限以启用客户管理的密钥
- 授予媒体服务帐户对存储帐户的访问权限,以允许媒体服务绕过 Azure 存储网络 ACL
- 允许其他服务(例如 VM 或 Azure Functions)访问媒体服务
在前两个方案中,托管标识用于向媒体服务帐户授予对其他服务的访问权限。 在第三个方案中,服务具有用于访问媒体服务的托管标识。
对于第一种场景,媒体服务帐户的托管标识必须具有存储帐户的 Storage Blob Contributor 角色。
注意
这些方案可以合并。 可以为媒体服务帐户创建托管标识(以访问特定对象,例如,访问客户管理的密钥),为 Azure Functions 资源创建托管标识以访问媒体服务帐户。
教程和操作说明
请尝试这些教程,获取一些将托管标识与媒体服务配合使用的实践体验。
- CLI:使用 Key Vault 中的密钥将数据加密到媒体服务帐户中
- CLI:允许媒体服务访问配置为阻止来自未知 IP 地址的请求的存储帐户
- CLI:授予函数应用访问媒体服务帐户的权限
- 门户:使用 Azure 门户将客户管理的密钥或 BYOK 与媒体服务配合使用
延伸阅读
若要详细了解托管标识可以为你和你的 Azure 应用程序执行哪些操作,请参阅 Azure AD 托管标识。
若要详细了解 Azure Functions,请参阅关于 Azure Functions