Доступны ли переменные среды получения токенов Managed Identity на ВМ?

Question

При использовании Azure Управляемый идентификатор в службе / функциях приложения конечная точка и заголовок доступны в качестве переменных среды .

При использовании Azure Управляемого удостоверения в виртуальной машине конечная точка публикуется как Azure Служба метаданных экземпляра (IMDS) (http://169.254.169.254/metadata/identity/oauth2/token), доступная только из виртуальной машины .

На ВМ конечная точка установлена ​​как переменная среды (MSI_ENDPOINT)?

На ВМ есть ли указание, включена ли управляемая идентификация?

В идеале мой код может просто проверить эту переменную. В противном случае мне нужно проверить переменную и вызвать IMDS.

Answer 1

Управляемое удостоверение Azure отличается между службой приложений / функциями и виртуальной машиной. Как вы знаете, служба / функции приложения используют управляемую идентификацию через переменные среды MSI_ENDPOINT и MSI_SECRET, как показано здесь .

Но для виртуальной машины она не устанавливает переменные окружения, вы получите токен доступа с сервера внутри Azure, и он не сможет получить доступ снаружи. Здесь - способы получения токена доступа для VMS.

Указание для управляемого идентификатора виртуальной машины, я думаю, вы можете получить свойство идентификации виртуальной машины, и оно покажет вам, если оно включает управляемую идентификацию и какой тип используется. Например, я использую CLI Azure, и он выглядит так: