Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Ogni agente ha un'identità gestita assegnata dall'utente che viene creata automaticamente insieme a essa. L'agente usa questa UAMI per eseguire l'autenticazione e interagire con le risorse di Azure. Agisce per conto dell'utente senza dover gestire segreti o credenziali.
Livelli di autorizzazione
Durante la creazione dell'agente, si sceglie un livello di autorizzazione che determina quali ruoli RBAC vengono assegnati all'UAMI sui gruppi di risorse selezionati.
| livello | Cosa concede | Ideale per |
|---|---|---|
| Reader | Ruoli fondamentali di monitoraggio e ruoli lettore specifici per tipo di risorsa | Diagnostica di sola lettura. L'agente richiede l'elevazione temporanea (tramite OBO) quando deve intervenire. |
| Privilegiata | Ruoli di monitoraggio di base e ruoli di collaboratore specifici del tipo di risorsa | Accesso operativo completo. L'agente può eseguire azioni approvate direttamente. |
Ruoli preconfigurati (sempre assegnati)
Indipendentemente dal livello scelto, vengono sempre assegnati i ruoli seguenti.
| Ruolo | Ambito | Cosa permette |
|---|---|---|
| Reader | Gruppo di risorse | Visualizzare le risorse e le proprietà |
| Lettore di Log Analytics | Gruppo di risorse | Eseguire query su log e aree di lavoro |
| Lettore di monitoraggio | Gruppo di risorse | Accedere alle metriche e ai dati di monitoraggio |
| Collaboratore al monitoraggio | Abbonamento | Confermare e chiudere gli avvisi di Monitoraggio di Azure e aggiornare le impostazioni di monitoraggio |
Annotazioni
Assegnare il ruolo Collaboratore monitoraggio a livello di sottoscrizione durante la creazione dell'agente in modo che l'agente possa gestire il ciclo di vita degli avvisi di Monitoraggio di Azure (conferma, chiusura) in modo predefinito.
Se si sceglie Privileged, l'agente ottiene ruoli di collaboratore aggiuntivi in base ai tipi di risorse rilevati nei gruppi di risorse gestiti (ad esempio, Collaboratore App contenitore se il gruppo di risorse contiene risorse di Azure Container Apps).
Stato predefinito
Se non si assegnano gruppi di risorse durante la creazione di un agente, l'identità gestita non ha autorizzazioni. È necessario concedere esplicitamente l'accesso all'agente per eseguire qualsiasi operazione.
Concedere l'accesso alle risorse
Assegna gruppi di risorse al tuo agente e quindi concedi i ruoli RBAC all'identità gestita.
# Grant Reader access to a resource group (view resources, query logs)
az role assignment create \
--assignee <AGENT_MANAGED_IDENTITY_ID> \
--role Reader \
--scope /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP_NAME>
# Grant Reader access to entire subscription (for broader visibility)
az role assignment create \
--assignee <AGENT_MANAGED_IDENTITY_ID> \
--role Reader \
--scope /subscriptions/<SUBSCRIPTION_ID>
# Grant Contributor access to a resource group (modify resources)
az role assignment create \
--assignee <AGENT_MANAGED_IDENTITY_ID> \
--role Contributor \
--scope /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP_NAME>
Suggerimento
Per l'accesso in sola lettura tra più gruppi di risorse, assegnare Lettore a livello di sottoscrizione anziché gruppo di risorse per gruppo di risorse. Per l'accesso in scrittura, assegnare ruoli specifici a livello di gruppo di risorse. Per trovare l'ID identità gestita dell'agente, passare al portale dell'agente (Impostazioni di>>Passare a Identità). È anche possibile trovarlo direttamente nel portale di Azure accedendo alla risorsa Applicazione Container, selezionando Identità e copiando l'ID oggetto (principale).
Modifica autorizzazioni
È possibile modificare le autorizzazioni di UAMI in qualsiasi momento aggiornando le impostazioni IAM nei gruppi di risorse gestite.
- Concedere un accesso maggiore: Aggiungere assegnazioni di ruolo nelle impostazioni IAM del gruppo di risorse.
- Aggiungere un gruppo di risorse: L'aggiunta di un gruppo di risorse all'ambito dell'agente assegna automaticamente i ruoli dell'UAMI.
- Rimuovere un gruppo di risorse: La rimozione di un gruppo di risorse revoca tutto l'accesso.
Annotazioni
Non è possibile rimuovere singole autorizzazioni, ma solo interi gruppi di risorse.
Flusso di autorizzazioni
Quando l'agente deve eseguire un'azione, segue un flusso di autorizzazione specifico.
Questo flusso si applica a tutto ciò che l'agente esegue, tra cui chat interattiva, thread di eventi imprevisti, esecuzioni pianificate e operazioni autonome.
On-behalf-of (OBO)
Quando l'identità gestita non dispone delle autorizzazioni per un'azione, l'agente può usare temporaneamente le proprie autorizzazioni tramite il flusso On-Behalf-Of. Questa situazione è particolarmente comune se si sceglie il livello di autorizzazione Lettore . L'agente ha accesso in lettura, ma richiede le credenziali per eseguire azioni di scrittura.
Avviso
Solo gli utenti con il ruolo amministratore agente SRE possono autorizzare le richieste OBO. Gli utenti standard non possono fornire l'autorizzazione OBO. Gli account Microsoft personali non possono autorizzare OBO indipendentemente dal ruolo. Solo gli account aziendali o degli istituti di istruzione (Microsoft Entra ID) supportano lo scambio di token On-Behalf-Of. Per altre informazioni, vedere Ruoli utente e autorizzazioni.
Esempio
Si chiede all'agente di ridimensionare un'app contenitore, ma l'identità gestita non dispone delle autorizzazioni di scrittura.
L'agente ti chiede di autorizzare usando le tue credenziali per completare l'azione. Le autorizzazioni non vengono mantenute, ma l'agente torna all'uso dell'identità gestita al termine dell'operazione.
Quando si utilizza OBO
| Scenario | Che succede |
|---|---|
| L'agente di livello lettore deve agire | L'agente dispone di autorizzazioni di lettura, ma l'utente chiede di riavviare un servizio. L'agente richiede l'autorizzazione dell'amministratore. |
| Risposta autonoma agli eventi imprevisti | L'agente viene attivato per apportare una correzione, ma l'identità gestita dispone solo del ruolo Lettore. L'agente richiede l'autorizzazione dell'amministratore. |
| Operazione con privilegi occasionali | Sessioni interattive in cui un amministratore dispone delle autorizzazioni che l'agente non ha. |
| Utente account personale | L'autorizzazione OBO non è disponibile. Un amministratore con un account aziendale o dell'istituto di istruzione deve invece autorizzare. |
Contenuti correlati
| risorsa | Perché è importante |
|---|---|
| Ruoli utente e autorizzazioni | Operazioni che gli utenti possono eseguire con l'agente |
| Modalità di esecuzione | Modalità di gestione delle approvazioni da parte dell'agente |
| Azioni dell'agente di controllo | Verificare cosa ha fatto l'agente con le proprie autorizzazioni |