Utiliser une identité managée dans Azure Kubernetes Fleet Manager

Azure Kubernetes Fleet Manager utilise une identité Microsoft Entra pour accéder aux ressources Azure telles que les réseaux virtuels Azure ou pour gérer des activités en arrière-plan longues telles que la mise à niveau automatique de plusieurs clusters.

Vous pouvez utiliser une identité managée pour autoriser l’accès d’un Fleet Manager à n’importe quel service qui prend en charge l’autorisation Microsoft Entra, sans avoir à gérer les informations d’identification ou à les inclure dans votre code. Vous attribuez un rôle de contrôle d’accès en fonction du rôle Azure (Azure RBAC) à l’identité managée pour lui accorder des autorisations à une ressource particulière dans Azure. Pour plus d’informations sur Azure RBAC, consultez Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (Azure RBAC) ?

Cet article explique comment activer les types d’identité managée suivants sur un azure Kubernetes Fleet Manager nouveau ou existant :

Identité gérée assignée par le système. Une identité managée affectée par le système est associée à une ressource Azure unique, telle qu’un Fleet Manager. Il existe uniquement pour le cycle de vie du Fleet Manager.
Identité managée affectée par l’utilisateur. Une identité managée affectée par l’utilisateur est une ressource Azure autonome qu’un Fleet Manager peut utiliser pour autoriser l’accès à d’autres services Azure. Il persiste séparément de Fleet Manager et peut être utilisé par plusieurs ressources Azure.

Pour en savoir plus sur les identités managées, consultez identités managées pour les ressources Azure.

Avant de commencer

Si vous envisagez d’utiliser Azure CLI, vérifiez que vous disposez d’Azure CLI version 2.75.0 ou ultérieure. Pour connaître la version, exécutez az --version. Si vous devez installer ou mettre à niveau, voir Installer Azure CLI.

Avant d’exécuter les exemples Azure CLI dans cet article, définissez votre abonnement comme abonnement actif actuel en appelant la commande az account set et en transmettant votre ID d’abonnement.

az account set --subscription <subscription-id>

Créez également un groupe de ressources Azure si vous n’en avez pas déjà un, en appelant la commande az group create.

az group create \
    --name myResourceGroup \
    --location westus2

Activer une identité managée affectée par le système

Une identité managée affectée par le système est une identité associée à un Fleet Manager ou à une autre ressource Azure. L’identité managée affectée par le système est liée au cycle de vie de Fleet Manager. Lorsque Fleet Manager est supprimé, l’identité managée affectée par le système est également supprimée.

Fleet Manager peut utiliser l’identité managée affectée par le système pour autoriser l’accès à d’autres ressources exécutées dans Azure et exécuter des processus en arrière-plan longs. Vous pouvez attribuer un rôle RBAC Azure à l’identité managée affectée par le système pour accorder aux autorisations Fleet Manager pour accéder à des ressources spécifiques. Par exemple, si votre Fleet Manager doit gérer les ressources réseau, vous pouvez affecter à l’identité managée affectée par le système un rôle Azure RBAC qui accorde ces autorisations.

Activer une identité managée affectée par le système sur un nouveau Fleet Manager

portail Azure
Azure CLI

Lorsque vous créez un Fleet Manager dans le portail Azure, une identité managée affectée par le système est automatiquement créée.

Vous pouvez vérifier que l’identité managée affectée par le système est activée en vérifiant le panneau Identité dans la section Paramètres de Fleet Manager. L’état est activé et l’ID d’objet (principal) est renseigné (non affiché dans l’image).

Créez un Gestionnaire de flotte à l’aide de la az fleet create commande, en passant le --enable-managed-identity paramètre pour activer l’identité managée affectée par le système.

az fleet create \
    --resource-group myResourceGroup \
    --name myFleetName \
    --location westus2 \
    --enable-managed-identity

La sortie de la commande indique que le type d’identité est SystemAssigned et inclut l’ID de principal et le locataire.

{
  "eTag": "\"13003f4b-0000-1b00-0000-68900c3c0000\"",
  "hubProfile": null,
  "id": "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.ContainerService/fleets/myFleetName",
  "identity": {
    "principalId": "<principal-id>",
    "tenantId": "<tenant-id>",
    "type": "SystemAssigned",
    "userAssignedIdentities": null
  },
  "location": "westus2",
  "name": "flt-mgr-02",
  "provisioningState": "Succeeded",
  "resourceGroup": "myResourceGroup",
  "status": {
    "lastOperationError": null,
    "lastOperationId": "d31e866c-a3d3-46ab-8a97-094bc4672d35"
  },
  "systemData": {
    "createdAt": "2025-08-04T01:26:17.588030+00:00",
    "createdBy": "",
    "createdByType": "User",
    "lastModifiedAt": "2025-08-04T01:26:17.588030+00:00",
    "lastModifiedBy": "",
    "lastModifiedByType": "User"
  },
  "tags": null,
  "type": "Microsoft.ContainerService/fleets"
}

Mettre à jour un Fleet Manager existant pour utiliser une identité managée affectée par le système

portail Azure
Azure CLI

Vous pouvez gérer l’identité managée De Fleet Manager à l’aide du panneau Identité dans la section Paramètres de Fleet Manager.

Activez l’identité managée affectée par le système en définissant l’état affecté par le systèmesur Activé et en sélectionnant Enregistrer.
Sélectionnez Oui dans la boîte de dialogue de confirmation.
Après quelques instants, l’état passe à Activé et l’ID d’objet (principal) est renseigné (non affiché dans l’image).

Pour mettre à jour un Fleet Manager existant pour utiliser une identité managée affectée par le système, exécutez la commande az fleet update avec le --enable-managed-identity paramètre défini truesur .

az fleet update \
    --resource-group myResourceGroup \
    --name myFleetName \
    --enable-managed-identity true

La sortie de la commande indique que le type d’identité est SystemAssigned et inclut l’ID de principal et le locataire.

{
  "eTag": "\"13003f4b-0000-1b00-0000-68900c3c0000\"",
  "hubProfile": null,
  "id": "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.ContainerService/fleets/myFleetName",
  "identity": {
    "principalId": "<principal-id>",
    "tenantId": "<tenant-id>",
    "type": "SystemAssigned",
    "userAssignedIdentities": null
  },
  "location": "westus2",
  "name": "flt-mgr-02",
  "provisioningState": "Succeeded",
  "resourceGroup": "myResourceGroup",
  "status": {
    "lastOperationError": null,
    "lastOperationId": "d31e866c-a3d3-46ab-8a97-094bc4672d35"
  },
  "systemData": {
    "createdAt": "2025-08-04T01:26:17.588030+00:00",
    "createdBy": "",
    "createdByType": "User",
    "lastModifiedAt": "2025-08-04T01:26:17.588030+00:00",
    "lastModifiedBy": "",
    "lastModifiedByType": "User"
  },
  "tags": null,
  "type": "Microsoft.ContainerService/fleets"
}

Ajouter une attribution de rôle pour une identité managée affectée par le système

Vous pouvez attribuer un rôle RBAC Azure à l’identité managée affectée par le système pour accorder les autorisations Fleet Manager sur une autre ressource Azure. Azure RBAC prend en charge les définitions de rôle intégrées et personnalisées qui spécifient les niveaux d’autorisations. Pour plus d’informations sur l’attribution de rôles RBAC Azure, consultez Étapes pour attribuer un rôle Azure.

Lorsque vous attribuez un rôle RBAC Azure à une identité managée, vous devez définir l’étendue du rôle. En règle générale, il est recommandé de limiter l’étendue d’un rôle aux privilèges minimaux requis par l’identité managée. Pour plus d’informations sur la définition de l’étendue des rôles RBAC Azure, consultez Comprendre les étendues pour RBAC Azure.

Remarque

La propagation des autorisations accordées à l’identité managée de Fleet Manager peut prendre jusqu’à 60 minutes.

portail Azure
Azure CLI

Sélectionnez l’onglet Attributions de rôles Azure dans le panneau Identité de Fleet Manager. Le volet Attributions de rôles Azure s’ouvre.
Sélectionnez Ajouter une attribution de rôle pour ouvrir le volet Ajouter une attribution de rôle , puis entrez :
- Étendue : sélectionnez Groupe de ressources.
- Abonnement : choisissez l’abonnement Azure contenant le groupe de ressources que vous souhaitez utiliser.
- Groupe de ressources : sélectionnez le groupe de ressources.
- Rôle : choisissez le rôle que vous souhaitez attribuer à l’identité managée affectée par le système de Fleet Manager (par exemple, Contributeur réseau).
Sélectionnez Enregistrer pour attribuer le rôle à l’identité managée affectée par le système de Fleet Manager.

Obtenir l’ID de principal de l’identité managée affectée par le système

Pour attribuer un rôle RBAC Azure à l’identité managée affectée par le système de Fleet Manager, vous devez d’abord disposer de l’ID de principal pour l’identité managée. Obtenez l’ID principal de l’identité managée affectée par le système de Fleet Manager en appelant la az fleet show commande.
```
# Get the principal ID for a system-assigned managed identity.
CLIENT_ID=$(az fleet show \
    --name myFleetName \
    --resource-group myResourceGroup \
    --query identity.principalId \
    --output tsv)
```
Attribuer un rôle RBAC Azure à l’identité managée affectée par le système

Pour accorder une autorisation d’identité managée affectée par le système à une ressource dans Azure, appelez la az role assignment create commande pour attribuer un rôle RBAC Azure à l’identité managée.

Par exemple, attribuez le rôle Network Contributor sur le groupe de ressources personnalisé en utilisant la commande az role assignment create. Pour le --scope paramètre, indiquez l’ID de ressource du groupe de ressources pour Fleet Manager.
```
az role assignment create \
    --assignee $CLIENT_ID \
    --role "Network Contributor" \
    --scope "<fleet-manager-resource-group-id>"
```

Activer une identité managée affectée par l’utilisateur

Une identité managée affectée par l’utilisateur est une ressource Azure autonome. Lorsque vous créez un Gestionnaire de flotte avec une identité managée affectée par l’utilisateur, la ressource d’identité managée affectée par l’utilisateur doit exister avant la création de Fleet Manager.

Créer une identité managée attribuée par l’utilisateur

Si vous n’avez pas encore de ressource d’identité managée affectée par l’utilisateur, créez-en une à l’aide du portail Azure ou d’Azure CLI.

portail Azure
Azure CLI

Suivez les étapes décrites dans la documentation de création d’une identité managée affectée par l’utilisateur.

Créez une identité managée affectée par l’utilisateur.

Si vous n’avez pas encore de ressource d’identité managée affectée par l’utilisateur, créez-en une à l’aide de la commande az identity create.

az identity create \
    --name myIdentity \
    --resource-group myResourceGroup

Votre sortie doit ressembler à l’exemple suivant :

{                                  
  "clientId": "<client-id>",
  "clientSecretUrl": "<clientSecretUrl>",
  "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity", 
  "location": "westus2",
  "name": "myIdentity",
  "principalId": "<principal-id>",
  "resourceGroup": "myResourceGroup",                       
  "tags": {},
  "tenantId": "<tenant-id>",
  "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
}

Obtenir l’ID de principal de l’identité managée affectée par l’utilisateur

Pour obtenir l’ID de principal de l’identité managée affectée par l’utilisateur, appelez az identity show et interrogez sur la propriété principalId :
```
CLIENT_ID=$(az identity show \
    --name myIdentity \
    --resource-group myResourceGroup \
    --query principalId \
    --output tsv)
```
Obtenir l’ID de ressource de l’identité managée affectée par l’utilisateur

Pour créer un Gestionnaire de flotte avec une identité managée affectée par l’utilisateur, vous avez besoin de l’ID de ressource pour la nouvelle identité managée. Pour obtenir l’ID de ressource de l’identité managée affectée par l’utilisateur, appelez az identity show and query on the id property :
```
RESOURCE_ID=$(az identity show \
    --name myIdentity \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)
```

Attribuer un rôle Azure RBAC à l’identité managée affectée par l’utilisateur

Avant de créer Fleet Manager, ajoutez une attribution de rôle pour l’identité managée.

Remarque

La propagation des autorisations accordées à l’identité managée de Fleet Manager peut prendre jusqu’à 60 minutes.

portail Azure
Azure CLI

Accédez à la ressource d’identité managée.
Sélectionnez l’onglet Attributions de rôles Azure dans le volet de navigation gauche de la ressource d’identité managée. Le volet Attributions de rôles Azure s’ouvre.
Sélectionnez Ajouter une attribution de rôle pour ouvrir le volet Ajouter une attribution de rôle , puis entrez :
- Étendue : sélectionnez Groupe de ressources.
- Abonnement : choisissez l’abonnement Azure contenant le groupe de ressources que vous souhaitez utiliser.
- Groupe de ressources : sélectionnez le groupe de ressources.
- Rôle : choisissez le rôle que vous souhaitez attribuer à l’identité managée (par exemple, Contributeur réseau).
Sélectionnez Enregistrer pour attribuer le rôle à l’identité managée.

Utilisez la az role assignment create commande pour attribuer un rôle à l’identité managée affectée par l’utilisateur.

L’exemple suivant attribue le rôle Contributeur réseau pour accorder les autorisations d’identité pour accéder aux ressources réseau. L’attribution de rôle est étendue au groupe de ressources Fleet Manager.

az role assignment create \
    --assignee $CLIENT_ID \
    --role "Network Contributor" \
    --scope "<fleet-manager-resource-group-id>"

Créer un Gestionnaire de flotte avec l’identité managée affectée par l’utilisateur

Remarque

Les régions USDOD Central, USDOD East et USGov Iowa dans le cloud Azure US Government ne prennent pas en charge la création d’un Fleet Manager avec une identité managée affectée par l’utilisateur.

portail Azure
Azure CLI

Vous ne pouvez pas créer un Fleet Manager avec une identité managée affectée par l’utilisateur dans le portail Azure. Vous pouvez modifier le type d’identité Fleet Manager par l’utilisateur affecté après la création de Fleet Manager ou utiliser Azure CLI.

Créez un Gestionnaire de flotte avec l’identité managée affectée par l’utilisateur à l’aide de la az fleet create commande avec le --assign-identity paramètre. Transmettez l’ID de ressource pour l’identité managée affectée par l’utilisateur :

az fleet create \
    --resource-group myResourceGroup \
    --name myFleetName \
    --assign-identity $RESOURCE_ID

Mettre à jour un Fleet Manager existant pour utiliser une identité managée affectée par l’utilisateur

portail Azure
Azure CLI

Vous pouvez gérer l’identité managée De Fleet Manager à l’aide du panneau Identité dans la section Paramètres de Fleet Manager.

Basculez vers l’onglet Identité managée affectée par l’utilisateur en sélectionnant Utilisateur affecté.
Sélectionnez + Ajouter pour ouvrir le volet Ajouter une identité managée affectée par l’utilisateur .
- Abonnement : choisissez l’abonnement Azure contenant l’identité managée affectée par l’utilisateur que vous souhaitez utiliser.
- Identités managées affectées par l’utilisateur : recherchez l’identité managée affectée par l’utilisateur que vous souhaitez utiliser.
Sélectionnez Ajouter pour ajouter l’identité managée affectée par l’utilisateur à Fleet Manager.
Après quelques instants, la liste affectée par l’utilisateur change et l’identité managée affectée par l’utilisateur est répertoriée.

Pour mettre à jour un Fleet Manager existant pour utiliser une identité managée affectée par l’utilisateur, appelez la az fleet update commande. Incluez le paramètre --assign-identity et transmettez l’ID de ressource pour l’identité managée affectée par l’utilisateur :

az fleet update \
    --resource-group myResourceGroup \
    --name myFleetName \
    --enable-managed-identity \
    --assign-identity $RESOURCE_ID

La sortie d’une mise à jour de Fleet Manager réussie pour utiliser une identité managée affectée par l’utilisateur doit ressembler à l’exemple de sortie suivant :

  "identity": {
    "principalId": null,
    "tenantId": null,
    "type": "UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": {
        "clientId": "<client-id>",
        "principalId": "<principal-id>"
      }
    }
  },

Déterminer le type d’identité managée en cours d’utilisation

portail Azure
Azure CLI

Vous pouvez vérifier les paramètres d’identité managée de Fleet Manager à l’aide du panneau Identité dans la section Paramètres de Fleet Manager.

Vérifiez à la fois les sections attribuées par le système et l’utilisateur pour déterminer le type d’identité managée activé.

Pour déterminer le type d’identité managée que votre Fleet Manager existant utilise, appelez la commande az fleet show et interrogez la propriété de type de l’identité.

az fleet show \
    --name myFleetName \
    --resource-group myResourceGroup \
    --query identity.type \
    --output tsv

La réponse est SystemAssigned ou UserAssigned.

Étapes suivantes

Utilisez des modèles Azure Resource Manager pour créer un Fleet Manager avec identité managée.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-08-13

Partager via

Utiliser une identité managée dans Azure Kubernetes Fleet Manager

Avant de commencer

Activer une identité managée affectée par le système

Activer une identité managée affectée par le système sur un nouveau Fleet Manager

Mettre à jour un Fleet Manager existant pour utiliser une identité managée affectée par le système

Ajouter une attribution de rôle pour une identité managée affectée par le système

Activer une identité managée affectée par l’utilisateur

Créer une identité managée attribuée par l’utilisateur

Attribuer un rôle Azure RBAC à l’identité managée affectée par l’utilisateur

Créer un Gestionnaire de flotte avec l’identité managée affectée par l’utilisateur

Mettre à jour un Fleet Manager existant pour utiliser une identité managée affectée par l’utilisateur

Déterminer le type d’identité managée en cours d’utilisation

Étapes suivantes

Commentaires

Ressources supplémentaires