Configurare un'identità gestita per un dev center

Questa guida illustra come aggiungere e configurare un'identità gestita per il dev center Ambienti di distribuzione di Azure per abilitare la distribuzione sicura per i team di sviluppo.

Gli ambienti di distribuzione di Azure usano identità gestite per offrire ai team di sviluppo funzionalità di distribuzione self-service senza concedere loro l'accesso alle sottoscrizioni in cui vengono create le risorse di Azure. Un'identità gestita aggiunge funzionalità con privilegi elevati e autenticazione sicura a qualsiasi servizio che supporta l'autenticazione di Microsoft Entra.

All'identità gestita associata a un dev center devono essere assegnati sia il ruolo Collaboratore sia il ruolo di Amministratore accesso utenti nelle sottoscrizioni di distribuzione per ogni tipo di ambiente. Quando viene richiesta una distribuzione dell'ambiente, il servizio concede le autorizzazioni appropriate alle identità di distribuzione configurate per il tipo di ambiente da distribuire per conto dell'utente. L'identità gestita associata a un dev center viene usata anche per aggiungere a un catalogo e accedere alle definizioni di ambiente nel catalogo.

Prerequisites

Aggiungere un'identità gestita

In Ambienti di distribuzione di Azure è possibile scegliere tra due tipi di identità gestite:

  • Identità assegnata dal sistema: un'identità assegnata dal sistema è associata al dev center o al tipo di ambiente del progetto. Un'identità assegnata dal sistema viene eliminata quando la risorsa associata viene eliminata. Un dev center o un tipo di ambiente di progetto può avere una sola identità assegnata dal sistema.
  • Identità assegnata dall'utente: un'identità assegnata dall'utente è una risorsa di Azure autonoma che è possibile assegnare al dev center o a un tipo di ambiente di progetto. Per gli ambienti di distribuzione di Azure, un dev center o un tipo di ambiente di progetto può avere una sola identità assegnata dall'utente.

Come procedura consigliata per la sicurezza, se si sceglie di usare le identità assegnate dall'utente, utilizzare identità diverse per il progetto e per il dev center. Le identità del progetto devono avere accesso più limitato alle risorse rispetto ai centri di sviluppo.

Note

Negli ambienti di distribuzione di Azure, se si aggiungono sia un'identità assegnata dal sistema sia un'identità assegnata dall'utente, viene usata solo l'identità assegnata dall'utente.

Aggiungere un'identità gestita assegnata dal sistema

  1. Accedere al portale di Azure e passare ad Ambienti di distribuzione di Azure.

  2. Nel menu a sinistra selezionare Dev center.

  3. Nella pagina Dev Center selezionare il dev center.

  4. Nel menu a sinistra, in Impostazioni, selezionare Identità.

  5. All'interno della scheda Assegnata dal sistema, impostare lo stato su Attivato.

  6. Seleziona Salva.

    Screenshot che mostra l'identità gestita assegnata dal sistema.

  7. Nella finestra di dialogo Abilita identità gestita assegnata dal sistema selezionare .

Aggiungere un'identità gestita assegnata dall'utente

  1. Accedere al portale di Azure e passare ad Ambienti di distribuzione di Azure.

  2. Nel menu a sinistra selezionare Dev center.

  3. Nella pagina Dev Center selezionare il dev center.

  4. Nel menu a sinistra, in Impostazioni, selezionare Identità.

  5. Nella scheda Assegnata dall'utente selezionare Aggiungi per collegare un'identità esistente.

    Screenshot che mostra l'identità gestita assegnata dall'utente.

  6. In Aggiungi identità gestita assegnata dall'utente, immettere o selezionare le informazioni seguenti:

    1. In Sottoscrizione selezionare la sottoscrizione in cui esiste l'identità.
    2. In Identità gestite assegnate dall'utente selezionare un'identità esistente.
    3. Seleziona Aggiungi.

Assegnare un'assegnazione di ruolo della sottoscrizione

All'identità associata al Dev Center devono essere assegnati i ruoli Collaboratore e Amministratore accesso utenti per tutte le sottoscrizioni di distribuzione e il ruolo Lettore per tutte le sottoscrizioni che contengono il progetto pertinente. Quando un utente crea o distribuisce un ambiente, il servizio concede l'accesso appropriato all'identità di distribuzione collegata al tipo di ambiente del progetto. L'identità di distribuzione usa l'accesso per eseguire distribuzioni per conto dell'utente. È possibile usare l'identità gestita per consentire agli sviluppatori di creare ambienti senza concedere loro l'accesso alla sottoscrizione.

Aggiungere un'assegnazione di ruolo a un'identità gestita assegnata dal sistema

  1. Nel portale di Azure passare al dev center in Ambienti di distribuzione di Azure.

  2. Nel menu a sinistra, in Impostazioni, selezionare Identità.

  3. In Assegnato dal sistema>Autorizzazioni, selezionare Assegnazioni di ruolo di Azure.

    Screenshot che mostra l'assegnazione di ruolo di Azure per l'identità assegnata dal sistema.

  4. Per concedere l'accesso collaboratore alla sottoscrizione, selezionare Aggiungi assegnazione di ruolo (anteprima), immettere o selezionare le informazioni seguenti e quindi selezionare Salva:

    Name Value
    Scope Subscription
    Subscription Selezionare la sottoscrizione in cui usare l'identità gestita.
    Role Contributor

  5. Per concedere l'accesso Amministratore dell'accesso utenti alla sottoscrizione, selezionare Aggiungi assegnazione di ruolo (anteprima), inserire o scegliere le informazioni seguenti e quindi selezionare Salva:

    Name Value
    Scope Subscription
    Subscription Selezionare la sottoscrizione in cui usare l'identità gestita.
    Role Amministratore accessi utente

Aggiungere un'assegnazione di ruolo a un'identità gestita assegnata dall'utente

  1. Nel portale di Azure passare al dev center.

  2. Nel menu a sinistra, in Impostazioni, selezionare Identità.

  3. Alla voce Assegnata dall'utente, selezionare il nome dell'identità.

  4. Nel menu a sinistra selezionare Assegnazioni di ruolo di Azure.

  5. Per concedere l'accesso collaboratore alla sottoscrizione, selezionare Aggiungi assegnazione di ruolo (anteprima), immettere o selezionare le informazioni seguenti e quindi selezionare Salva:

    Name Value
    Scope Subscription
    Subscription Selezionare la sottoscrizione in cui usare l'identità gestita.
    Role Contributor

  6. Per concedere l'accesso Amministratore dell'accesso utenti alla sottoscrizione, selezionare Aggiungi assegnazione di ruolo (anteprima), inserire o scegliere le informazioni seguenti e quindi selezionare Salva:

    Name Value
    Scope Subscription
    Subscription Selezionare la sottoscrizione in cui usare l'identità gestita.
    Role Amministratore accessi utente

Concedere all'identità gestita l'accesso al segreto dell'insieme di credenziali delle chiavi

È possibile configurare l'insieme di credenziali delle chiavi per usare un criterio di accesso dell'insieme di credenziali delle chiavi o il controllo degli accessi in base al ruolo di Azure.

Note

Prima di poter aggiungere un repository come catalogo, è necessario concedere all'identità gestita l'accesso al segreto dell'insieme di credenziali delle chiavi che contiene il token di accesso personale del repository.

Criteri di accesso dell'insieme di credenziali delle chiavi

Warning

Per una maggiore sicurezza, utilizzare il modello di autorizzazione Controllo degli accessi basato sui ruoli (RBAC) invece delle politiche di accesso durante la gestione di Azure Key Vault. RBAC limita la gestione delle autorizzazioni solo ai ruoli di "Proprietario" e "Amministratore dell'accesso utente", garantendo una netta separazione tra le attività di sicurezza e amministrative. Per ulteriori informazioni, vedere Che cos'è Azure RBAC? e la Guida di Key Vault RBAC.

Con il modello di autorizzazioni del criterio di accesso, gli utenti con il ruolo Contributor, Key Vault Contributor o qualsiasi altro ruolo che includa le autorizzazioni Microsoft.KeyVault/vaults/write possono concedere a se stessi l'accesso al livello di piano dati configurando un criterio di accesso per Key Vault. Ciò può comportare l'accesso e la gestione non autorizzati degli insiemi di credenziali delle chiavi, dei segreti e dei certificati. Per ridurre questo rischio, limitare l'accesso del ruolo Collaboratore all'insieme di credenziali delle chiavi quando si usa il modello del criterio di accesso.

Se l'insieme di credenziali delle chiavi è configurato per l'uso di un criterio di accesso dell'insieme di credenziali delle chiavi:

  1. Nel portale di Azure passare all'insieme di credenziali delle chiavi che contiene il segreto con il token di accesso personale.

  2. Nel menu a sinistra selezionare Criteri di accesso e quindi selezionare Crea.

  3. In Crea un criterio di accesso, immettere o selezionare le informazioni seguenti:

    1. Nella scheda Autorizzazioni , in Autorizzazioni segrete, selezionare la casella di controllo Recupera e quindi selezionare Avanti.
    2. Nella scheda Principale, selezionare l'identità associata al dev center.
    3. Selezionare Rivedi + Crea e quindi selezionare Crea.

Controllo degli accessi in base al ruolo di Azure

Se l'insieme di credenziali delle chiavi è configurato per l'uso del controllo degli accessi in base al ruolo di Azure:

  1. Nel portale di Azure passare all'insieme di credenziali delle chiavi che contiene il segreto con il token di accesso personale.

  2. Nel menu a sinistra selezionare Controllo di accesso (IAM).

  3. Selezionare l'identità e, nel menu a sinistra, selezionare Assegnazioni di ruolo di Azure.

  4. Selezionare Aggiungi assegnazione di ruolo, quindi immettere o selezionare le informazioni seguenti:

    1. In Ambito, selezionare l'insieme di credenziali delle chiavi.
    2. In Sottoscrizione, selezionare la sottoscrizione che contiene l'insieme di credenziali delle chiavi.
    3. In Risorsa selezionare l'insieme di credenziali delle chiavi.
    4. Per Ruolo, selezionare Key Vault Secrets User (Utente dei segreti Key Vault).
    5. Seleziona Salva.

Contenuti correlati

  • Last updated on