Uso de una identidad administrada en Azure Kubernetes Fleet Manager

Fleet Manager de Azure Kubernetes usa una identidad de Microsoft Entra para acceder a recursos de Azure como redes virtuales de Azure o para administrar actividades en segundo plano de ejecución prolongada, como la actualización automática de varios clústeres.

Puede usar una identidad administrada para autorizar el acceso desde un Administrador de flotas a cualquier servicio que admita la autorización de Microsoft Entra, sin necesidad de administrar las credenciales ni incluirlas en el código. Asigne un rol de control de acceso basado en rol de Azure (RBAC de Azure) a la identidad administrada para concederle permisos a un recurso determinado en Azure. Para más información acerca de Azure RBAC, consulte ¿Qué es el control de acceso basado en rol de Azure (Azure RBAC)?

En este artículo se muestra cómo habilitar los siguientes tipos de identidad administrada en una instancia de Azure Kubernetes Fleet Manager nueva o existente:

Identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema está asociada a un único recurso de Azure, como fleet Manager. Solo existe para el ciclo de vida de Fleet Manager.
Identidad administrada asignada por el usuario. Una identidad administrada asignada por el usuario es un recurso de Azure independiente que un Administrador de flotas puede usar para autorizar el acceso a otros servicios de Azure. Se conserva por separado de Fleet Manager y se puede usar en varios recursos de Azure.

Para más información sobre las identidades administradas, consulte Identidades administradas para recursos de Azure.

Antes de empezar

Si piensa usar la CLI de Azure, asegúrese de que tiene instalada la versión 2.75.0 o posterior de la CLI de Azure. Para encontrar la versión, ejecute az --version. Si necesita instalarla o actualizarla, vea Instalación de la CLI de Azure.

Antes de ejecutar los ejemplos de la CLI de Azure en este artículo, establezca la suscripción como la suscripción activa actual llamando al comando az account set y pasando el identificador de suscripción.

az account set --subscription <subscription-id>

Si aún no tienes uno, crea también un grupo de recursos de Azure mediante el comando az group create.

az group create \
    --name myResourceGroup \
    --location westus2

Habilitación de una identidad administrada asignada por el sistema.

Una identidad administrada asignada por el sistema es una identidad asociada a fleet Manager u otro recurso de Azure. La identidad administrada asignada por el sistema está vinculada al ciclo de vida de Fleet Manager. Cuando se elimina Fleet Manager, también se elimina la identidad administrada asignada por el sistema.

Fleet Manager puede usar la identidad administrada asignada por el sistema para autorizar el acceso a otros recursos que se ejecutan en Azure y ejecutar procesos en segundo plano de larga duración. Puede asignar un rol RBAC de Azure a la identidad administrada asignada por el sistema para conceder a Fleet Manager permisos para acceder a recursos específicos. Por ejemplo, si fleet Manager necesita administrar los recursos de red, puede asignar a la identidad administrada asignada por el sistema un rol de RBAC de Azure que conceda esos permisos.

Habilitación de una identidad administrada asignada por el sistema en un nuevo Fleet Manager

Azure Portal
Azure CLI

Al crear un nuevo Fleet Manager en Azure Portal, se crea automáticamente una identidad administrada asignada por el sistema.

Puede comprobar que la identidad administrada asignada por el sistema está habilitada comprobando la hoja Identidad en la sección Configuración de Fleet Manager. El estado es Activado y el identificador de objeto (entidad de seguridad) se rellena (no se muestra en la imagen).

Cree un Administrador de flotas mediante el az fleet create comando y pase el --enable-managed-identity parámetro para habilitar la identidad administrada asignada por el sistema.

az fleet create \
    --resource-group myResourceGroup \
    --name myFleetName \
    --location westus2 \
    --enable-managed-identity

La salida del comando indica que el tipo de identidad es SystemAssigned e incluye el identificador de entidad de seguridad y el inquilino.

{
  "eTag": "\"13003f4b-0000-1b00-0000-68900c3c0000\"",
  "hubProfile": null,
  "id": "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.ContainerService/fleets/myFleetName",
  "identity": {
    "principalId": "<principal-id>",
    "tenantId": "<tenant-id>",
    "type": "SystemAssigned",
    "userAssignedIdentities": null
  },
  "location": "westus2",
  "name": "flt-mgr-02",
  "provisioningState": "Succeeded",
  "resourceGroup": "myResourceGroup",
  "status": {
    "lastOperationError": null,
    "lastOperationId": "d31e866c-a3d3-46ab-8a97-094bc4672d35"
  },
  "systemData": {
    "createdAt": "2025-08-04T01:26:17.588030+00:00",
    "createdBy": "",
    "createdByType": "User",
    "lastModifiedAt": "2025-08-04T01:26:17.588030+00:00",
    "lastModifiedBy": "",
    "lastModifiedByType": "User"
  },
  "tags": null,
  "type": "Microsoft.ContainerService/fleets"
}

Actualizar un Fleet Manager existente para usar una identidad administrada asignada por el sistema

Azure Portal
Azure CLI

Puede administrar la identidad administrada de Fleet Manager mediante la hoja Identidad de la sección Configuración de Fleet Manager.

Habilite la identidad administrada asignada por el sistema estableciendo el estado Asignado por el sistema en Activado y seleccionando Guardar.
Seleccione Sí en el cuadro de diálogo de confirmación.
Después de unos instantes, el estado cambia a Activado y el identificador de objeto (entidad de seguridad) se rellena (no se muestra en la imagen).

Para actualizar un Fleet Manager existente para usar una identidad administrada asignada por el sistema, ejecute el comando az fleet update con el --enable-managed-identity parámetro establecido trueen .

az fleet update \
    --resource-group myResourceGroup \
    --name myFleetName \
    --enable-managed-identity true

La salida del comando indica que el tipo de identidad es SystemAssigned e incluye el identificador de entidad de seguridad y el inquilino.

{
  "eTag": "\"13003f4b-0000-1b00-0000-68900c3c0000\"",
  "hubProfile": null,
  "id": "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.ContainerService/fleets/myFleetName",
  "identity": {
    "principalId": "<principal-id>",
    "tenantId": "<tenant-id>",
    "type": "SystemAssigned",
    "userAssignedIdentities": null
  },
  "location": "westus2",
  "name": "flt-mgr-02",
  "provisioningState": "Succeeded",
  "resourceGroup": "myResourceGroup",
  "status": {
    "lastOperationError": null,
    "lastOperationId": "d31e866c-a3d3-46ab-8a97-094bc4672d35"
  },
  "systemData": {
    "createdAt": "2025-08-04T01:26:17.588030+00:00",
    "createdBy": "",
    "createdByType": "User",
    "lastModifiedAt": "2025-08-04T01:26:17.588030+00:00",
    "lastModifiedBy": "",
    "lastModifiedByType": "User"
  },
  "tags": null,
  "type": "Microsoft.ContainerService/fleets"
}

Incorporación de una asignación de roles para una identidad administrada asignada por el sistema

Puede asignar un rol RBAC de Azure a la identidad administrada asignada por el sistema para conceder los permisos de Fleet Manager en otro recurso de Azure. Azure RBAC admite definiciones de roles integradas y personalizadas que especifican niveles de permisos. Para más información sobre la asignación de roles RBAC de Azure, consulta Pasos para asignar un rol de Azure.

Al asignar un rol RBAC de Azure a una identidad administrada, debes definir el ámbito del rol. En general, se recomienda limitar el ámbito de un rol a los privilegios mínimos que requiere la identidad administrada. Para más información sobre el ámbito de los roles RBAC de Azure, consulta Descripción del ámbito de RBAC de Azure.

Nota:

Los permisos concedidos a la identidad administrada de Fleet Manager pueden tardar hasta 60 minutos en propagarse.

Azure Portal
Azure CLI

Seleccione la pestaña Asignaciones de roles de Azure en la hoja Identidad de Fleet Manager. Se abrirá el panel Asignaciones de roles de Azure .
Seleccione Agregar asignación de roles para abrir el panel Agregar asignación de roles y escriba:
- Ámbito : seleccione Grupo de recursos.
- Suscripción : elija la suscripción de Azure que contiene el grupo de recursos que desea usar.
- Grupo de recursos: seleccione el grupo de recursos.
- Rol: elija el rol que desea asignar a la identidad administrada asignada por el sistema de Fleet Manager (por ejemplo, Colaborador de red).
Seleccione Guardar para asignar el rol a la identidad administrada asignada por el sistema de Fleet Manager.

Obtención del id. de entidad de seguridad de la identidad administrada asignada por el sistema

Para asignar un rol de Azure RBAC a la identidad administrada asignada por el sistema de Fleet Manager, primero necesita el identificador de entidad de seguridad para la identidad administrada. Obtenga el identificador de entidad de seguridad de la identidad administrada asignada por el sistema de Fleet Manager mediante una llamada al az fleet show comando .
```
# Get the principal ID for a system-assigned managed identity.
CLIENT_ID=$(az fleet show \
    --name myFleetName \
    --resource-group myResourceGroup \
    --query identity.principalId \
    --output tsv)
```
Asignación de un rol RBAC de Azure a la identidad administrada asignada por el sistema

Para conceder un permiso de identidad administrada asignada por el sistema a un recurso en Azure, llame al az role assignment create comando para asignar un rol de RBAC de Azure a la identidad administrada.

Por ejemplo, asigna el rol Network Contributor en el grupo de recursos personalizado mediante el comando az role assignment create. Para el --scope parámetro , proporcione el identificador de recurso para el grupo de recursos para Fleet Manager.
```
az role assignment create \
    --assignee $CLIENT_ID \
    --role "Network Contributor" \
    --scope "<fleet-manager-resource-group-id>"
```

Habilitación de una identidad administrada asignada por el usuario.

Una identidad administrada asignada por el usuario es un recurso de Azure independiente. Al crear un Fleet Manager con una identidad administrada asignada por el usuario, el recurso de identidad administrada asignada por el usuario debe existir antes de la creación de Fleet Manager.

Creación de una identidad administrada asignada por el usuario

Si aún no tiene un recurso de identidad administrada asignada por el usuario, cree uno mediante Azure Portal o la CLI de Azure.

Azure Portal
Azure CLI

Siga los pasos descritos en la documentación sobre la creación de una identidad administrada asignada por el usuario.

Cree una identidad administrada asignada por el usuario.

Si aún no tienes un recurso de identidad administrada asignada por el usuario, crea uno mediante el comando az identity create.

az identity create \
    --name myIdentity \
    --resource-group myResourceGroup

La salida debería ser similar a la salida de ejemplo siguiente:

{                                  
  "clientId": "<client-id>",
  "clientSecretUrl": "<clientSecretUrl>",
  "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity", 
  "location": "westus2",
  "name": "myIdentity",
  "principalId": "<principal-id>",
  "resourceGroup": "myResourceGroup",                       
  "tags": {},
  "tenantId": "<tenant-id>",
  "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
}

Obtención del id. de cliente de la identidad administrada asignada por el usuario

Para obtener el id. de entidad de seguridad de la identidad administrada asignada por el usuario, llama a az identity show y consulta la propiedad principalId:
```
CLIENT_ID=$(az identity show \
    --name myIdentity \
    --resource-group myResourceGroup \
    --query principalId \
    --output tsv)
```
Obtención del id. de recurso de la identidad administrada asignada por el usuario

Para crear un Administrador de flotas con una identidad administrada asignada por el usuario, necesita el identificador de recurso para la nueva identidad administrada. Para obtener el identificador de recurso de la identidad administrada asignada por el usuario, llame a az identity show y consulte en la id propiedad :
```
RESOURCE_ID=$(az identity show \
    --name myIdentity \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)
```

Asignación de un rol RBAC de Azure a la identidad administrada asignada por el usuario

Antes de crear Fleet Manager, agregue una asignación de roles para la identidad administrada.

Nota:

Los permisos concedidos a la identidad administrada de Fleet Manager pueden tardar hasta 60 minutos en propagarse.

Azure Portal
Azure CLI

Vaya al recurso de identidad administrada.
Seleccione la pestaña Asignaciones de roles de Azure en el panel de navegación izquierdo del recurso de identidad administrada. Se abrirá el panel Asignaciones de roles de Azure .
Seleccione Agregar asignación de roles para abrir el panel Agregar asignación de roles y escriba:
- Ámbito : seleccione Grupo de recursos.
- Suscripción : elija la suscripción de Azure que contiene el grupo de recursos que desea usar.
- Grupo de recursos: seleccione el grupo de recursos.
- Rol: elija el rol que desea asignar a la identidad administrada (por ejemplo, Colaborador de red).
Seleccione Guardar para asignar el rol a la identidad administrada.

Use el az role assignment create comando para asignar un rol a la identidad administrada asignada por el usuario.

En el ejemplo siguiente se asigna el rol Colaborador de red para conceder los permisos de identidad para acceder a los recursos de red. La asignación de roles se limita al grupo de recursos de Fleet Manager.

az role assignment create \
    --assignee $CLIENT_ID \
    --role "Network Contributor" \
    --scope "<fleet-manager-resource-group-id>"

Creación de un Administrador de flotas con la identidad administrada asignada por el usuario

Nota:

Las regiones centro de USDOD, Este de USDOD y USGov Iowa en la nube de Azure US Government no admiten la creación de un administrador de flotas con una identidad administrada asignada por el usuario.

Azure Portal
Azure CLI

No puede crear un Administrador de flotas con una identidad administrada asignada por el usuario en Azure Portal. Puede cambiar el tipo de identidad de Fleet Manager a asignado por el usuario después de crear Fleet Manager o usar la CLI de Azure.

Cree un Administrador de flotas con la identidad administrada asignada por el usuario mediante el comando con el az fleet create--assign-identity parámetro . Pase el identificador de recurso para la identidad administrada asignada por el usuario:

az fleet create \
    --resource-group myResourceGroup \
    --name myFleetName \
    --assign-identity $RESOURCE_ID

Actualizar un Fleet Manager existente para usar una identidad administrada asignada por el usuario

Azure Portal
Azure CLI

Puede administrar la identidad administrada de Fleet Manager mediante la hoja Identidad de la sección Configuración de Fleet Manager.

Cambie a la pestaña identidad administrada asignada por el usuario; para ello, seleccione Usuario asignado.
Seleccione + Agregar para abrir el panel Agregar identidad administrada asignada por el usuario .
- Suscripción : elija la suscripción de Azure que contiene la identidad administrada asignada por el usuario que desea usar.
- Identidades administradas asignadas por el usuario : busque la identidad administrada asignada por el usuario que desea usar.
Seleccione Agregar para agregar la identidad administrada asignada por el usuario al Administrador de flotas.
Después de unos instantes, la lista Asignada por el usuario cambia y aparece la identidad administrada asignada por el usuario.

Para actualizar un Fleet Manager existente para usar una identidad administrada asignada por el usuario, llame al az fleet update comando . Incluye el parámetro --assign-identity y pasa el id. de recurso de la identidad administrada asignada por el usuario:

az fleet update \
    --resource-group myResourceGroup \
    --name myFleetName \
    --enable-managed-identity \
    --assign-identity $RESOURCE_ID

La salida de una actualización correcta de Fleet Manager para usar una identidad administrada asignada por el usuario debe ser similar a la salida del ejemplo siguiente:

  "identity": {
    "principalId": null,
    "tenantId": null,
    "type": "UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": {
        "clientId": "<client-id>",
        "principalId": "<principal-id>"
      }
    }
  },

Determinación del tipo de identidad administrada en uso

Azure Portal
Azure CLI

Puede comprobar la configuración de identidad administrada de Fleet Manager mediante la hoja Identidad de la sección Configuración de Fleet Manager.

Compruebe las secciones Asignadas por el sistema y Asignadas por el usuario para determinar qué tipo de identidad administrada está habilitada.

Para determinar qué tipo de identidad administrada usa fleet Manager existente, llame al comando az fleet show y consulte la propiedad type de la identidad.

az fleet show \
    --name myFleetName \
    --resource-group myResourceGroup \
    --query identity.type \
    --output tsv

La respuesta es SystemAssigned o UserAssigned.

Pasos siguientes

Use plantillas de Azure Resource Manager para crear una instancia de Fleet Manager habilitada para identidad administrada.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-08-13

Compartir a través de

Uso de una identidad administrada en Azure Kubernetes Fleet Manager

Antes de empezar

Habilitación de una identidad administrada asignada por el sistema.

Habilitación de una identidad administrada asignada por el sistema en un nuevo Fleet Manager

Actualizar un Fleet Manager existente para usar una identidad administrada asignada por el sistema

Incorporación de una asignación de roles para una identidad administrada asignada por el sistema

Habilitación de una identidad administrada asignada por el usuario.

Creación de una identidad administrada asignada por el usuario

Asignación de un rol RBAC de Azure a la identidad administrada asignada por el usuario

Creación de un Administrador de flotas con la identidad administrada asignada por el usuario

Actualizar un Fleet Manager existente para usar una identidad administrada asignada por el usuario

Determinación del tipo de identidad administrada en uso

Pasos siguientes

Comentarios

Recursos adicionales