生成云應(yīng)用程序時(shí)需要應(yīng)對(duì)的常見(jiàn)挑戰(zhàn)是，如何管理代碼中用于云服務(wù)身份驗(yàn)證的憑據(jù)。 保護(hù)這些憑據(jù)是一項(xiàng)重要任務(wù)。 理想情況下，這些憑據(jù)永遠(yuǎn)不會(huì)出現(xiàn)在開(kāi)發(fā)者工作站上，也不會(huì)被簽入源代碼管理系統(tǒng)中。雖然 Azure Key Vault 可用于安全存儲(chǔ)憑據(jù)、機(jī)密以及其他密鑰，但代碼需要通過(guò) Key Vault 的身份驗(yàn)證才能檢索它們。

為松陽(yáng)等地區(qū)用戶提供了全套網(wǎng)頁(yè)設(shè)計(jì)制作服務(wù)，及松陽(yáng)網(wǎng)站建設(shè)行業(yè)解決方案。主營(yíng)業(yè)務(wù)為做網(wǎng)站、成都做網(wǎng)站、松陽(yáng)網(wǎng)站設(shè)計(jì)，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠(chéng)的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會(huì)得到認(rèn)可，從而選擇與我們長(zhǎng)期合作。這樣，我們也可以走得更遠(yuǎn)！

Azure Active Directory (Azure AD) 中的 Azure 資源托管標(biāo)識(shí)功能可以解決此問(wèn)題。 此功能為 Azure 服務(wù)提供了 Azure AD 中的自動(dòng)托管標(biāo)識(shí)。 可以使用此標(biāo)識(shí)向支持 Azure AD 身份驗(yàn)證的任何服務(wù)（包括 Key Vault）證明身份，無(wú)需在代碼中放入任何憑據(jù)。

Azure資源托管標(biāo)識(shí)的工作原理：

托管標(biāo)識(shí)分為兩種類型：

• 系統(tǒng)分配托管標(biāo)識(shí) 直接在 Azure 服務(wù)實(shí)例上啟用。 啟用標(biāo)識(shí)后，Azure 將在實(shí)例的訂閱信任的 Azure AD 租戶中創(chuàng)建實(shí)例的標(biāo)識(shí)。創(chuàng)建標(biāo)識(shí)后，系統(tǒng)會(huì)將憑據(jù)預(yù)配到實(shí)例。 系統(tǒng)分配標(biāo)識(shí)的生命周期直接綁定到啟用它的 Azure 服務(wù)實(shí)例。 如果實(shí)例遭刪除，Azure 會(huì)自動(dòng)清理 Azure AD 中的憑據(jù)和標(biāo)識(shí)。

• 用戶分配托管標(biāo)識(shí)是作為獨(dú)立的 Azure 資源創(chuàng)建的。 在創(chuàng)建過(guò)程中，Azure 會(huì)在由所用訂閱信任的 Azure AD 租戶中創(chuàng)建一個(gè)標(biāo)識(shí)。 在創(chuàng)建標(biāo)識(shí)后，可以將標(biāo)識(shí)分配到一個(gè)或多個(gè) Azure 服務(wù)實(shí)例。 用戶分配標(biāo)識(shí)的生命周期與它所分配到的 Azure 服務(wù)實(shí)例的生命周期是分開(kāi)管理的。

下圖演示了托管服務(wù)標(biāo)識(shí)如何與 Azure 虛擬機(jī) (VM) 協(xié)同工作：

系統(tǒng)分配托管標(biāo)識(shí)如何與 Azure VM 協(xié)同工作：

1. Azure 資源管理器收到請(qǐng)求，要求在 VM 上啟用系統(tǒng)分配托管標(biāo)識(shí)。

2. Azure 資源管理器在 Azure AD 中創(chuàng)建與 VM 標(biāo)識(shí)相對(duì)應(yīng)的服務(wù)主體。 服務(wù)主體在此訂閱信任的 Azure AD 租戶中創(chuàng)建。

3. Azure 資源管理器在 VM 上配置標(biāo)識(shí)：使用服務(wù)主體客戶端 ID 和證書(shū)更新 Azure 實(shí)例元數(shù)據(jù)服務(wù)標(biāo)識(shí)終結(jié)點(diǎn)。

4. VM 有了標(biāo)識(shí)以后，請(qǐng)根據(jù)服務(wù)主體信息向 VM 授予對(duì) Azure 資源的訪問(wèn)權(quán)限。 若要調(diào)用 Azure 資源管理器，請(qǐng)?jiān)?Azure AD 中使用基于角色的訪問(wèn)控制 (RBAC) 向 VM 服務(wù)主體分配相應(yīng)的角色。 若要調(diào)用 Key Vault，請(qǐng)授予代碼對(duì) Key Vault 中特定機(jī)密或密鑰的訪問(wèn)權(quán)限。

5. 在 VM 上運(yùn)行的代碼可以從只能從 VM 中訪問(wèn)的一個(gè)終結(jié)點(diǎn)請(qǐng)求令牌（另一個(gè)已經(jīng)棄用）：

• Azure 實(shí)例元數(shù)據(jù)服務(wù)標(biāo)識(shí)終結(jié)點(diǎn)（推薦）：http://169.254.169.254/metadata/identity/oauth3/token

•     resource 參數(shù)指定了要向其發(fā)送令牌的服務(wù)。 若要向 Azure 資源管理器進(jìn)行身份驗(yàn)證，請(qǐng)使用 resource=https://management.azure.com/。

•     API 版本參數(shù)指定 IMDS 版本，請(qǐng)使用 api-version=2018-02-01 或更高版本。

6. 調(diào)用了 Azure AD，以便使用在步驟 3 中配置的客戶端 ID 和證書(shū)請(qǐng)求訪問(wèn)令牌（在步驟 5 中指定）。 Azure AD 返回 JSON Web 令牌 (JWT) 訪問(wèn)令牌。

7. 代碼在調(diào)用支持 Azure AD 身份驗(yàn)證的服務(wù)時(shí)發(fā)送訪問(wèn)令牌。

用戶分配托管標(biāo)識(shí)如何與 Azure VM 協(xié)同工作：

1. Azure 資源管理器收到請(qǐng)求，要求創(chuàng)建用戶分配托管標(biāo)識(shí)。

2. Azure 資源管理器在 Azure AD 中創(chuàng)建與用戶分配托管標(biāo)識(shí)相對(duì)應(yīng)的服務(wù)主體。服務(wù)主體在此訂閱信任的 Azure AD 租戶中創(chuàng)建。

3. Azure 資源管理器收到請(qǐng)求，要求在 VM 上配置用戶分配托管標(biāo)識(shí)：使用用戶分配托管標(biāo)識(shí)服務(wù)主體客戶端 ID 和證書(shū)更新 Azure 實(shí)例元數(shù)據(jù)服務(wù)標(biāo)識(shí)終結(jié)點(diǎn)。

4. 創(chuàng)建用戶分配托管標(biāo)識(shí)以后，請(qǐng)根據(jù)服務(wù)主體信息向標(biāo)識(shí)授予對(duì) Azure 資源的訪問(wèn)權(quán)限。 若要調(diào)用 Azure 資源管理器，請(qǐng)?jiān)?Azure AD 中使用 RBAC 向用戶分配標(biāo)識(shí)的服務(wù)主體分配相應(yīng)的角色。若要調(diào)用 Key Vault，請(qǐng)授予代碼對(duì) Key Vault 中特定機(jī)密或密鑰的訪問(wèn)權(quán)限。

5. 在 VM 上運(yùn)行的代碼可以從只能從 VM 中訪問(wèn)的一個(gè)終結(jié)點(diǎn)請(qǐng)求令牌（另一個(gè)已經(jīng)棄用）：

• Azure 實(shí)例元數(shù)據(jù)服務(wù)標(biāo)識(shí)終結(jié)點(diǎn)（推薦）：http://169.254.169.254/metadata/identity/oauth3/token

• resource 參數(shù)指定了要向其發(fā)送令牌的服務(wù)。 若要向 Azure 資源管理器進(jìn)行身份驗(yàn)證，請(qǐng)使用 resource=https://management.azure.com/。

• API 版本參數(shù)指定 IMDS 版本，請(qǐng)使用 api-version=2018-02-01 或更高版本。

6. 調(diào)用了 Azure AD，以便使用在步驟 3 中配置的客戶端 ID 和證書(shū)請(qǐng)求訪問(wèn)令牌（在步驟 5 中指定）。 Azure AD 返回 JSON Web 令牌 (JWT) 訪問(wèn)令牌。

7. 代碼在調(diào)用支持 Azure AD 身份驗(yàn)證的服務(wù)時(shí)發(fā)送訪問(wèn)令牌。

=============================================================================================

下面簡(jiǎn)單介紹下如何使用啟用了系統(tǒng)分配的托管標(biāo)識(shí)的 Windows 虛擬機(jī)來(lái)訪問(wèn) Azure 資源管理器 API

在資源組下面點(diǎn)擊訪問(wèn)控制，然后添加角色分配

選擇角色并將訪問(wèn)權(quán)限分配到虛擬機(jī)

然后登錄該虛擬機(jī)，打開(kāi)powershell，執(zhí)行如下命令。使用 Invoke-WebRequest cmdlet，向 Azure 資源終結(jié)點(diǎn)的本地托管標(biāo)識(shí)發(fā)出請(qǐng)求以獲取 Azure 資源管理器的訪問(wèn)令牌。

$response = Invoke-WebRequest -Uri 'http://169.254.169.254/metadata/identity/oauth3/token?api-version=2018-02-01&resource=https://management.azure.com/' -Method GET -Headers @{Metadata="true"}

接下來(lái)，提取完整響應(yīng)，響應(yīng)以 JavaScript 對(duì)象表示法 (JSON) 格式字符串的形式存儲(chǔ)在 $response 對(duì)象中。

1. $content = $response.Content | ConvertFrom-Json

 

然后從響應(yīng)中提取訪問(wèn)令牌。

1. $ArmToken = $content.access_token

 

最后，使用訪問(wèn)令牌調(diào)用 Azure 資源管理器。 在此示例中，我們還使用 Invoke-WebRequest cmdlet 調(diào)用 Azure 資源管理器，并將訪問(wèn)令牌包含在授權(quán)標(biāo)頭中。

(Invoke-WebRequest -Uri https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>?api-version=2016-06-01 -Method GET -ContentType "application/json" -Headers @{ Authorization ="Bearer $ArmToken"}).content

執(zhí)行命令后將顯示資源組的相關(guān)信息。

為了驗(yàn)證權(quán)限，我們?nèi)フ?qǐng)求別的資源組的信息，結(jié)果會(huì)提示你沒(méi)有權(quán)限去讀取。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

分享標(biāo)題：Azure資源托管標(biāo)識(shí)淺析和實(shí)踐-創(chuàng)新互聯(lián)
文章源于：http://aaarwkj.com/article36/coghpg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制開(kāi)發(fā)、網(wǎng)站設(shè)計(jì)公司、自適應(yīng)網(wǎng)站、網(wǎng)站內(nèi)鏈、手機(jī)網(wǎng)站建設(shè)、響應(yīng)式網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)