Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Handbuch wird erläutert, wie Sie eine verwaltete Identität für Ihr Dev Center für Azure-Bereitstellungsumgebungen hinzufügen und konfigurieren, um eine sichere Bereitstellung für Entwicklungsteams zu ermöglichen.
Azure Deployment Environments nutzt verwaltete Identitäten, um Entwicklungsteams Self-Service-Bereitstellungsfunktionen zu bieten, ohne ihnen Zugriff auf die Abonnements zu geben, in denen Azure-Ressourcen erstellt werden. Eine verwaltete Identität fügt funktionen mit erhöhten Rechten und sichere Authentifizierung zu jedem Dienst hinzu, der die Microsoft Entra-Authentifizierung unterstützt.
Die verwaltete Identität, die einem Dev Center zugeordnet ist, sollte sowohl der Rolle „Mitwirkender“ als auch der Rolle „Benutzerzugriffsadministrator“ in den Bereitstellungsabonnements für jeden Umgebungstyp zugewiesen werden. Wenn eine Umgebungsbereitstellung angefordert wird, gewährt der Dienst den Bereitstellungsidentitäten, die pro Umgebungstyp eingerichtet sind, die entsprechenden Berechtigungen, um Bereitstellungen im Auftrag des Benutzers auszuführen. Die mit einem Dev Center verknüpfte verwaltete Identität wird auch verwendet, um auf einen Katalog zuzugreifen und auf Umgebungsdefinitionen im Katalog zuzugreifen.
Prerequisites
- Ein Dev Center.
Hinzufügen einer verwalteten Identität
In Azure Deployment Environments können Sie zwei Arten verwalteter Identitäten verwenden:
- Vom System zugewiesene Identität: Eine vom System zugewiesene Identität ist entweder an Ihr Dev Center oder an den Projektumgebungstyp gebunden. Eine systemseitig zugewiesene Identität wird gelöscht, wenn die angefügte Ressource gelöscht wird. Ein Dev Center oder ein Projektumgebungstyp kann nur eine systemseitig zugewiesene Identität verwenden.
- Vom Benutzer zugewiesene Identität: Eine vom Benutzer zugewiesene Identität ist eine eigenständige Azure-Ressource, die Sie Ihrem Dev Center oder einem Projektumgebungstyp zuweisen können. Für Azure Deployment Environments kann ein Dev Center oder ein Projektumgebungstyp nur eine benutzerseitig zugewiesene Identität verwenden.
Wenn Sie sich für die Verwendung benutzerseitig zugewiesener Identitäten entscheiden, sollten Sie als aus Sicherheitsgründen verschiedene Identitäten für Ihr Projekt und für Ihr Dev Center verwenden. Projektidentitäten sollten eingeschränkteren Zugriff auf Ressourcen haben als Dev Center.
Note
Wenn Sie in Azure Deployment Environments sowohl eine systemseitig zugewiesene als auch eine benutzerseitig zugewiesene Identität hinzufügen, wird nur die benutzerseitig zugewiesene Identität verwendet.
Hinzufügen einer systemseitig zugewiesenen verwalteten Identität
Melden Sie sich beim Azure-Portal an, und wechseln Sie zu Azure-Bereitstellungsumgebungen.
Wählen Sie im linken Menü Dev Center aus.
Wählen Sie auf der Seite "Dev Center " Ihr Dev Center aus.
Wählen Sie im linken Menü unter "Einstellungen" die Option "Identität" aus.
Legen Sie auf der Registerkarte System zugewiesen den Status auf Ein fest.
Wählen Sie "Speichern" aus.
Wählen Sie im Dialogfeld Systemseitig zugewiesene verwaltete Identität aktivieren die Option Ja aus.
Hinzufügen einer benutzerseitig zugewiesenen verwalteten Identität
Melden Sie sich beim Azure-Portal an, und wechseln Sie zu Azure-Bereitstellungsumgebungen.
Wählen Sie im linken Menü Dev Center aus.
Wählen Sie auf der Seite "Dev Center " Ihr Dev Center aus.
Wählen Sie im linken Menü unter "Einstellungen" die Option "Identität" aus.
Wählen Sie auf der Registerkarte "Benutzer zugewiesen " die Option "Hinzufügen" aus, um eine vorhandene Identität anzufügen.
Geben Sie unter Benutzerseitig zugewiesene verwaltete Identität hinzufügen die folgenden Informationen ein, oder wählen Sie sie aus:
- Wählen Sie im Abonnement das Abonnement aus, in dem die Identität vorhanden ist.
- Wählen Sie unter Benutzerseitig zugewiesene verwaltete Identitäten eine vorhandene Identität aus.
- Klicken Sie auf Hinzufügen.
Zuweisen einer Abonnementrollenzuweisung
Der Identität, die dem Dev Center angefügt ist, sollte den Rollen „Mitwirkender“ und „Benutzerzugriffsadministrator“ für alle Bereitstellungsabonnements und die Rolle „Leser“ für alle Abonnements zugewiesen werden, die das entsprechende Projekt enthalten. Wenn ein Benutzer eine Umgebung erstellt oder bereitstellt, gewährt der Dienst den entsprechenden Zugriff auf die Bereitstellungsidentität, die an den Projektumgebungstyp angefügt ist. Die Bereitstellungsidentität verwendet den Zugriff, um Bereitstellungen im Namen des Benutzers bzw. der Benutzerin durchzuführen. Sie können die verwaltete Identität verwenden, um Entwicklern das Erstellen von Umgebungen zu ermöglichen, ohne ihnen Zugriff auf das Abonnement zu gewähren.
Hinzufügen einer Rollenzuweisung zu einer systemseitig zugewiesenen verwalteten Identität
Navigieren Sie im Azure-Portal zu Ihrem Dev Center in Azure-Bereitstellungsumgebungen.
Wählen Sie im linken Menü unter "Einstellungen" die Option "Identität" aus.
Wählen Sie unter Systemseitig zugewiesen>Berechtigungendie Option Azure-Rollenzuweisungen aus.
Um mitwirkenden Zugriff auf das Abonnement zu gewähren, wählen Sie "Rollenzuweisung hinzufügen" (Vorschau) aus, geben sie die folgenden Informationen ein, oder wählen Sie sie aus, und wählen Sie dann "Speichern" aus:
Name Value Scope Subscription Subscription Wählen Sie das Abonnement aus, in dem die verwaltete Identität verwendet werden soll. Role Contributor Wenn Sie dem Benutzerzugriffsadministrator Zugriff auf das Abonnement gewähren möchten, wählen Sie "Rollenzuweisung hinzufügen" (Vorschau) aus, geben Sie die folgenden Informationen ein, oder wählen Sie sie aus, und wählen Sie dann "Speichern" aus:
Name Value Scope Subscription Subscription Wählen Sie das Abonnement aus, in dem die verwaltete Identität verwendet werden soll. Role Benutzerzugriffsadministrator
Hinzufügen einer Rollenzuweisung zu einer benutzerseitig zugewiesenen verwalteten Identität
Navigieren Sie im Azure-Portal zu Ihrem Dev Center.
Wählen Sie im linken Menü unter "Einstellungen" die Option "Identität" aus.
Wählen Sie unter "Benutzer zugewiesen" den Identitätsnamen aus.
Wählen Sie im linken Menü Azure-Rollenzuweisungen aus.
Um mitwirkenden Zugriff auf das Abonnement zu gewähren, wählen Sie "Rollenzuweisung hinzufügen" (Vorschau) aus, geben sie die folgenden Informationen ein, oder wählen Sie sie aus, und wählen Sie dann "Speichern" aus:
Name Value Scope Subscription Subscription Wählen Sie das Abonnement aus, in dem die verwaltete Identität verwendet werden soll. Role Contributor Wenn Sie dem Benutzerzugriffsadministrator Zugriff auf das Abonnement gewähren möchten, wählen Sie "Rollenzuweisung hinzufügen" (Vorschau) aus, geben Sie die folgenden Informationen ein, oder wählen Sie sie aus, und wählen Sie dann "Speichern" aus:
Name Value Scope Subscription Subscription Wählen Sie das Abonnement aus, in dem die verwaltete Identität verwendet werden soll. Role Benutzerzugriffsadministrator
Gewähren des Zugriffs der verwalteten Identität auf das Schlüsseltresorgeheimnis
Sie können Ihren Schlüsseltresor so einrichten, dass er entweder eine Schlüsseltresor-Zugriffsrichtlinie oder eine Rollenbasierte Zugriffssteuerung in Azure verwendet.
Note
Bevor Sie ein Repository als Katalog hinzufügen können, müssen Sie der verwalteten Identität Zugriff auf den Schlüsseltresorschlüssel gewähren, der das persönliche Zugriffstoken des Repositorys enthält.
Key Vault-Zugriffsrichtlinie
Warning
Um die Sicherheit zu verbessern, verwenden Sie das Berechtigungsmodell der rollenbasierten Zugriffssteuerung (RBAC) anstelle von Zugriffsrichtlinien beim Verwalten von Azure Key Vault. RBAC schränkt die Berechtigungsverwaltung nur auf die Rollen "Besitzer" und "Benutzerzugriffsadministrator" ein, wodurch eine klare Trennung zwischen Sicherheits- und Verwaltungsaufgaben sichergestellt wird. Weitere Informationen finden Sie unter Was ist Azure RBAC? und das Key Vault RBAC Guide.
Mit dem Berechtigungsmodell für Zugriffsrichtlinien können Benutzende, die die Rolle Contributor oder Key Vault Contributor bzw. eine Rolle mit Microsoft.KeyVault/vaults/write-Berechtigungen haben, sich selbst Zugriff auf Datenebene gewähren, indem sie eine Key Vault-Zugriffsrichtlinie konfigurieren. Dies kann zu nicht autorisiertem Zugriff und zur Verwaltung Ihrer Schlüsseltresor, Schlüssel, geheimen Schlüssel und Zertifikate führen. Um dieses Risiko zu verringern, beschränken Sie den Zugriff der Rolle „Mitwirkende“ auf Schlüsseltresore, wenn Sie das Zugriffsrichtlinienmodell verwenden.
Wenn der Schlüsseltresor für die Verwendung einer Schlüsseltresor-Zugriffsrichtlinie konfiguriert ist:
Wechseln Sie im Azure-Portal zum Schlüsseltresor, der das Geheimnis mit dem persönlichen Zugriffstoken enthält.
Wählen Sie im linken Menü Access-Richtlinien und dann "Erstellen" aus.
Geben Sie unter Zugriffsrichtlinie erstellen die folgenden Informationen ein, oder wählen Sie sie aus:
- Aktivieren Sie auf der Registerkarte "Berechtigungen " unter "Geheime Berechtigungen" das Kontrollkästchen " Abrufen " und dann " Weiter".
- Wählen Sie auf der Registerkarte "Prinzipal " die Identität aus, die dem Dev Center zugeordnet ist.
- Wählen Sie Überprüfen und erstellen und anschließend Erstellen aus.
Rollenbasierte Zugriffssteuerung in Azure
Wenn der Schlüsseltresor so konfiguriert ist, dass die rollenbasierte Azure-Zugriffssteuerung verwendet wird:
Wechseln Sie im Azure-Portal zum Schlüsseltresor, der das Geheimnis mit dem persönlichen Zugriffstoken enthält.
Wählen Sie im linken Menü Zugriffssteuerung (IAM) aus.
Wählen Sie die Identität aus, und wählen Sie im linken Menü Azure-Rollenzuweisungen aus.
Wählen Sie Rollenzuweisung hinzufügen aus, und geben Sie dann die folgenden Informationen ein, oder wählen Sie sie aus:
- Wählen Sie für Bereich den Schlüsseltresor aus.
- Wählen Sie für Abonnement das Abonnement aus, das den Schlüsseltresor enthält.
- Wählen Sie für Ressource den Key Vault aus.
- Wählen Sie für Rolle die Option Benutzer von Schlüsseltresorgeheimnissen aus.
- Wählen Sie "Speichern" aus.