问题标签 [azure-managed-identity]

我尝试授予您的 VM 访问 Azure 资源管理器中的资源组的权限， 但它没有列出任何 VM，尽管我的订阅中有很多 VM：

请看下面的截图：

我正在尝试创建用户分配的身份，文档说 6.13 应该包括这个功能：https ://docs.microsoft.com/en-us/powershell/module/azurerm.managedserviceidentity/new-azurermuserassignedidentity?view=azurermps- 6.13.0

我卸载了旧版本的 Azure RM 并安装了最新版本：

但是当我尝试使用它时，我收到以下错误：

我错过了一些配置设置吗？

我们有一个作为 Azure 应用服务部署的 Asp.net Core Web API。我们在此应用服务 Web API 上启用了 MSI，以轻松检索 Keyvalut 机密。

现在我们有另一个应用服务将调用上面的 Web API，我们将在 Web API 上启用 AAD 身份验证。

我知道我们可以注册 AAD 应用程序以允许第二个应用程序服务访问 Web API，但我想知道我们是否可以在第二个应用程序服务上启用 MSI 并使用 MSI 获取 Web api 的访问令牌？有什么文件可以参考吗？

我正在尝试通过 Spring Boot 微服务（数据源）连接到 MS SQL 数据库。我已在 App 服务上启用 MSI 并尝试关注https://dzone.com/articles/migrating-java-applications-to-azure-app-service-p

本文讲的是简单连接，但我们使用的是 Spring Boot Data (JPA)，因此我无法配置正确的配置。我收到错误

获取JDBC连接失败；嵌套异常是 com.microsoft.sqlserver.jdbc.SQLServerException：用户“NT AUTHORITY\ANONYMOUS LOGON”登录失败。

如果启用了 MSI，则不需要数据库的用户名/密码即可登录。

有没有人实现了通过 MSI 连接到 MS SQL 的 Spring Boot JPA 应用程序。

目前，我们正在为我们的 KeyVault 使用基于证书的服务主体。此证书由我们的客户提供，我假设他们从外部证书颁发机构购买此证书。

但是当我们使用托管标识时，Azure 本身会自动分配证书，这对用户是不可见的。

那么这是否意味着，如果我们使用托管身份，客户实际上会节省证书成本？还是我错过了什么？

是否可以像使用 Azure SQL 一样使用 MSI 连接到 Azure cosmos DB？

这就是 Azure SQL Server 的工作原理

我无法为 Cosmos DB 找到类似的东西。虽然似乎启用了 MSI 对它的支持

嗨，我将此发布到 log4net 用户组，但我认为我也会将其发布在这里。

我正在开发一个需要 Azure MSI 从 Azure PaaS 连接到 Azure SQL 的项目。想知道 log4net 的 ADOAppender 是否已经支持这种已经连接的机制。据我所知，它没有，但我想我会在扩展 log4net 之前询问社区。

若要支持 MSI 应用程序无法单独使用连接字符串连接到数据库，它们需要从 Azure 获取访问令牌，然后在 SqlConnection 对象上设置 AccessToken 属性。就像下面的代码正在做的那样：

此代码使用两个 Microsoft nuget 包来获取访问令牌。

谢谢！

通过检查 ElasticAPV2.xts 中的 ComputerResourceGroupInfo.json，我将 msi 添加到 VMSS，我有：

my-msi 还通过 List 和 Get 添加到 Azure Key Vault 访问策略。

在虚拟机中，尝试使用

我的问题：

1. 这是通过用户分配的身份使用访问令牌检索证书的正确方法吗？
2. 为什么访问被拒绝？我的理解是这里不需要访问控制 (IAM)，因为我已将 msi 添加到访问策略中。

更新：

对于用户分配的身份，需要指定对象 ID 或客户端 ID。

我的控制台应用程序在 Azure 规模集中的 VM 上运行，但无法使用 VMSS 托管服务标识连接到 Azure 服务总线。

当它尝试通过TokenProvider.CreateManagedServiceIdentityTokenProvider()获取访问令牌时会引发异常。

1. 在虚拟机规模集 (VMSS) 上启用了标识（系统分配）。
2. VMSS 标识在服务总线命名空间上分配了角色 Azure 服务总线数据所有者

是否有我遗漏的步骤或要求？

示例代码

例外

package.config （带有使 MSI 身份验证工作的 nuget）

我有一个 azure 资源组，其中包含带有 BLOB 容器的 Web 应用服务和存储。我的 Web 应用程序 (.NET Core) 尝试从容器中检索和显示图像。容器对内容没有公共访问权限（访问级别为私有）。我为我的应用程序创建了系统分配的身份，并在存储访问控制 (IAM) 中为其赋予了读者角色。

这就是我在应用程序代码中访问 blob 的方式：

GetStorageAccessTokenAsync() 这样做：

然后图像显示为

我的代码中没有任何异常，但来自 BLOB 容器的图像未在浏览器控制台中显示 404 错误（指定的资源不存在）。当我将容器的访问级别更改为“blob”（公共访问）时，应用程序工作正常并显示图像。显然，获取凭据部分有问题，但我找不到任何工作示例，也找不到它实际应该如何工作的详细解释。非常感谢任何帮助。

UDPATE：谢谢所有回复的人。所以，看来我在这里有两个问题。

1）我没有正确获得凭据。我可以看到我创建的“AzureServiceTokenProvider”对象（Microsoft.Azure.Services.AppAuthentication）在运行时具有空属性 PrincipalUsed。

我的应用程序部署到 Azure App Service，它具有系统管理的标识，并且该标识（服务主体）在 Azure 存储中被授予权限（我按照建议将权限从帐户读取器更改为存储 Blob 数据读取器）。

它不应该从当前上下文中获取所有需要的数据吗？如果没有，我可以在这里做什么？

2）我使用错误的方法来显示图像，但由于该应用程序无论如何都无法访问存储，我还无法修复它。

但是 - 在我的情况下，常见的方法是什么？我的意思是没有对存储的公共访问，我使用“CloudBlockBlob”来访问图像。