💻
Cheet Sheets
  • 🦁Başlarken
  • 🟧DevOps Pre-Requisite
    • ❤️Why Linux? | Linux Basics #1
    • 💛Vi Editor | Linux Basics #2
    • 💙Basics Commands | Linux Basics #3
    • 🧡Package Managers | Linux Basics #4
    • 💚Services | Linux Basics #5
    • 💛Networking Basics
    • 🤎DNS Basics
    • 🩶Applications Basics
    • 🟨Java introduction
    • 🟩NodeJS Introduction
    • 🟦Python Introduction
    • 🟪GIT Introduction
    • 🟧Apache Web Server Introduction
    • ⬛Apache Tomcat
    • 🟫Python Flask
    • 🟥Node.js Express App
    • 🟨Databases
    • 🟩MySQL
    • 🟪MongoDB
    • 🟨SSL & TLS
    • 🟦YAML & JSON - JSON Path
    • ⬛Labs Resources
  • 🍎Kubernetes
    • 🍏Kubernetes: Nedir ?
    • 🍒Bileşenler
    • 🍵Kubectl ve Versiyon
    • ❤️Pod
    • 🏷️Label ve Selector
    • 🔎Annotation
    • 📲Namespaces
    • 📦Deployments
    • 🔁ReplicaSet
    • 🔙Rollout & Rollback
    • 🌐Networking - 1
    • 🌏Service
    • 🛠️Liveness Probe & Readiness Probe
    • 🥐Resource Limits
    • 💰Environment Variables
    • 📃Ephemeral Volumes
    • 🔑Secrets
    • 🌂ConfigMap
    • 🖥️Node Affinity
    • 🔌Pod Affinity
    • ✍️Taint and Toleration
    • 🔦DaemonSet
    • 🧀PV/PVC
    • 🌜Storage Class
    • 🗿StatefulSet
    • 🕹️Job & Cronjob
    • 🔐Authentication
    • 📏Role-based access control (RBAC)
    • 🈷️Service Account
    • 📈Ingress
    • 📂ImagePullPolicy & ImageSecret
    • 📖Static Pods
    • 🌐Network Policy
    • 🫐Helm Nedir?
    • 📽️Prometheus Stack - Monitoring
    • 💼EFK Stack - Monitoring
    • 🥳CRD & Operator
  • 🧑‍⚕️GIT & GITHUB
    • 👉Girizgah
    • 🌴Branch
    • 🤝Merge
    • 🤔Conflict - Rebase
    • 🇸🇴Alias
    • 🛑Gitignore
    • 🥢Diff
    • ◀️Checkout
    • 🔦Stash
    • 👉Other
  • ☁️AWS
    • 🪣S3
    • 🚙EC2
    • ⚖️ELB
    • 🤝Auto Scaling
    • 🗄️EFS
    • 🔐VPC
    • 🎆CloudFront
    • ❤️Route53
    • 🦈RDS
    • 🏢ElastiCache
    • 🔭CloudWatch
    • 👀CloudTrail
    • 📃CloudFormation
    • 🔕SNS
    • 📬SQS
    • 🎇SWF
    • 📧SES
    • 📦Kinesis
    • 📐AWSConfig
    • 👩‍🏭OpsWork
    • 🚀Lambda - Api Gateway
    • 📌ECS - EKS
    • 🔑KMS
    • 📂Directory Service
    • 🏐Snowball
    • 💾Storage Gateway
    • 💽Volume Gateway
    • 📼Tape Gateway
    • 🏠Organizations
    • 🔙Backup-Transfer-CloudShell
    • 🆔IAM
    • 📀DataSync
    • 🗃️FSx
    • 🎒Aurora Serverless
    • 🌐Global Accelerator
    • 💪HPC
    • 🎰Outposts
    • 🗼Others
  • 👨‍🔬Ansible
    • 👉Girizhah
    • 📔YAML
    • ⚙️Komponentler
    • 🎒Inventory
    • 🏑ad-hoc
    • ▶️Playbook
  • 👨‍⚕️PROMETHEUS
    • 📈Terminoloji
    • 🦯Ubuntu 20.04 Prometheus Kurulum
    • 🗒️prometheus.yml dosyasına ilk bakış:
    • 🧭promQL up query
    • 📇Exporters
    • 🔦promQL Data Types
    • 🦯Selectors & Matchers
    • 🔢Binary Operators
    • 💀ignoring and on
    • ✍️Aggregation Operators
    • 🧠Functions
    • 🖊️Alıştırma
    • 💻Client Libraries
    • 🐍Examining the data of our Python application
    • 🐐Examining the data of our GO application
    • ⏺️Recording Rules
    • 💡rate functions
    • ⏰Alerting
    • ⌚Alert Routing
    • ⏰Slack integration with Prometheus
    • 🤯PagerDuty integration with Prometheus
    • ◼️BlackBox exporter
    • 📍Push Gateway
    • 🪒Service Discovery
    • 🧊kube cadvisor with external prometheus
    • 👉aws with prometheus
    • ☁️CloudWatch Exporter
    • 👨‍🚒mysql exporter
    • 🛃Custom exporter with Python
    • ⚙️Prometheus with HTTP API
    • 🤖Prometheus Federation For Kubernetes
    • 📺Grafana
    • ⁉️Prometheus: Ne zaman kullanılmalı? Ne zaman kullanılmamalıdır?
  • 🍪Sheets
    • 🛳️Docker Sheets
    • 🐐Kube Sheets
  • 🔢12 Factor APP
    • 🏗️Introduction
    • 1️⃣Codebase
    • 2️⃣Dependencies
    • 3️⃣Concurrency
    • 4️⃣Processes
    • 5️⃣Backing Services
    • 6️⃣Config
    • 7️⃣Build, release, run
    • 8️⃣Port binding
    • 9️⃣Disposability
    • 🔟Dev/prod parity
    • 🕚Logs
    • 🕛Admin processes
  • ☁️Azure 104
    • 👨‍👨‍👧‍👧Azure Active Directory ( Entra ID )
    • 💰Subscriptions
    • 🌎Virtual Network (VNET)
    • 💻Virtual Machines
    • 🧑‍🌾Load Balancing
    • 🥍Network Advanced
    • 🪡Automating Deployment and Configuration
    • 💂Securing Storage
    • 📓Administering Azure Blobs and Azure Files
    • 🔧Managing Storage
    • 🎁App Service
    • 🛳️Azure Container
    • 🥇Backup And Recovery
    • 🪐Network Watcher
    • ⏰Resource Monitoring And Alerts
  • ⛅AZURE 305
    • 🆔identity and access management
    • 💼Desing Azure AD (Entra ID)
    • 👨‍💼Desing for Azure B2B
    • 🛃Desing for Azure B2C
    • 💳Design for MFA and Conditional Access
    • ⛑️Design for Identity Protection
    • 🚶Access Reviews
    • 🚦Managed identity Demostration
    • 🔐Key Vault Demostration
    • 👑Governance hierarchy
    • 💠Design for Management Groups
    • 🔑Desing for Subscriptions
    • 🍇Desing for resource groups
    • 📟Design for resource tags
    • 🚷Azure Policy & RBAC
    • 🫐Desing For Blueprints
    • 🪡Desing for Virtual Networks
    • 🛫Design for on-premises connectivity to Azure
    • 🔽Design for network connectivity
    • 📦Design for application delivery
    • 🥞Design for network security and application protection
    • 📕Choose a compute solution
    • 🌊Design for virtual machines
    • 🔋Azure Batch Demostration
    • 🛰️Design for Azure App Service
    • ⛲Design for Azure Container Instances
    • 🎢Design for Azure Kubernetes Service
    • 📠Azure Functions Demostration
    • 💪Azure Logic Apps Demostration
    • 🧑‍💼Design for data storage
    • 🎞️Design for Azure storage accounts
    • 🌟Choose the storage replication
    • 📹Azure blob storage - Lifecycle & immutable demo
    • 🥌Azure Files Demostration
    • 🕸️Design Azure disks
    • 🦼Design for storage security
    • 🔮Azure Table Storage And Cosmos DB Demostration
    • 🟧Azure SQL Solutions
    • 🎡Azure SQL Database - Purchasing models
    • 🕯️Database availability
    • 📜Data security strategy
    • 🧮Azure SQL Edge
    • 🚲Azure Data Factory
    • 🔅Azure Data Lake Storage
    • 🧘‍♂️Azure Databricks
    • 🎒Azure Synapse Analytics
    • 🅰️Azure Stream Analytics
    • 📼Data flow strategy
    • 🍥Cloud Adoption Framework
    • ☣️Azure Migration Framework
    • 🦿Assessing workloads
    • 🪡Migration tools
    • 🤖Azure Database migration
    • 👥Storage migration
    • 👜Azure Backup
    • ⏲️Azure Blob Backup and Recovery
    • 💈Azure files backup and recovery
    • 🎞️Azure VM backup and recovery
    • 🧺Azure SQL backup and recovery
    • ⏰Azure Site Recovery
    • 📩Differentiate event and message
    • ✈️Azure messaging solutions
    • 🚜Event Hub
    • 🥍Application optimization solution
    • 🎁Application lifecycle
    • 📺Azure Monitor
    • 🅱️Log Analytics
    • 👥Azure workbooks and Insights
    • 🚌Azure Data Explorer
  • Github Actions
    • Github Actions Nedir?
    • Workflow & Schedule Triggers
    • Single and Multiple Events
    • Manuel Events
    • Webhook Events
    • Conditional Keywords For Steps
    • Expressions - 1
    • Expressions - 2
    • Runners
    • Workflow Commands
    • Workflow Context
    • Dependent Jobs
    • Encrypted Secrets
    • Configuration Variables
    • Default & Custom Env Varb
    • Set Env Varb with Workflow Commands
    • Github Token Secret
    • Add Script to workflow
    • Push Package #1
    • Push Package #2 Docker
    • Service Containers
    • Routing workflow to runner
    • CodeQL Step
    • Caching Package and Dependency Files
    • Remove workflow Artifact
    • Workflow Status Badge
    • Env Protection
    • Job Matrix Configuration
    • Disable & Delete Workflows
    • Actions type for Action
    • Inputs and Outputs for actions
    • Action Versions
    • Files and Directories for Actions
    • Exit Codes
    • Reusable Workflow & Reuse Templates for Actions and Workflows
    • Configure Self Hosted Runners for Enterprise
  • Loki
    • What is Loki?
    • Architecture of Loki
    • Install Loki For Ubuntu
    • Install Promtail For Ubuntu
    • Querying Logs
    • Loki in Kubernetes
    • Deploying Loki in Kubernetes
    • Connecting to Grafana
    • Viewing Kubernetes logs
    • Promtail Customize & Pipeline
  • Ansible
    • Ansible Introduction
    • Introduction to Ansible Configuration Files
    • Ansible Inventory
    • Inventory Formats
    • Ansible Variables
    • Variable Types
    • Registering Variables and Variable Precedence
    • Variable Scoping
    • Magic Variables
    • Ansible Facts
    • Ansible Playbooks
    • Verifying Playbooks
    • Ansible lint
    • Ansible Conditionals
    • Ansible Conditionals based on facts, variables, re-use
    • Ansible Loops
    • Ansible Modules
    • Introduction to Ansible Plugins
    • Modules and Plugins Index
    • Introduction to Handlers
    • Ansible Roles
    • Ansible Collections
    • Introduction to Templating
    • Jinja2 Templates for Dynamic Configs
  • 🅰️Ansible Advanced
    • Playbook run options
    • Facts
    • Configuration files
Powered by GitBook
On this page

Was this helpful?

  1. AZURE 305

Managed identity Demostration

PreviousAccess ReviewsNextKey Vault Demostration

Last updated 1 year ago

Was this helpful?

Azure Managed Identity, Azure kaynaklarınıza kimlik doğrulama ve yetkilendirme işlemlerini basitleştirmek için kullanılan bir Azure hizmetidir. Azure kaynaklarınızın (örneğin VM'ler, App Services veya Function Apps gibi) diğer Azure hizmetlerine güvenli bir şekilde erişmesini sağlar. Managed Identity, iki ana türde sunulur: System Assigned ve User Assigned.

System Assigned Managed Identity

  • Otomatik Yönetim: Bu kimlik, bir Azure kaynağına (örneğin bir VM veya bir App Service) doğrudan atanır ve bu kaynakla birlikte yönetilir. Kaynak oluşturulduğunda otomatik olarak oluşturulur ve kaynak silindiğinde silinir.

  • Eşsiz: Her kaynağın kendi Managed Identity'si vardır ve bu kimlik yalnızca bu kaynağa aittir.

User Assigned Managed Identity

  • Esnek Yönetim: Kullanıcı tarafından atanır ve birden fazla Azure kaynağına atanabilir. Bu, aynı kimliği farklı kaynaklar arasında paylaşmak istediğiniz durumlarda kullanışlıdır.

  • Bağımsız Ömür: Bu kimlik, oluşturulduğu kaynaktan bağımsız olarak var olabilir. Yani, atandığı kaynak silinse bile kimlik hala var olur.


User Assigned Managed Identity ve System Assigned Managed Identity arasında seçim yaparken, projenizin ihtiyaçları ve senaryoları önemli rol oynar. Her iki yöntemin avantajları ve dezavantajları vardır ve bunları anlamak, doğru seçimi yapmanıza yardımcı olacaktır.

System Assigned Managed Identity

Avantajları:

  • Otomatik Yönetim: System Assigned Identity, ilgili Azure kaynağı ile otomatik olarak oluşturulur ve silinir. Bu, kimlik yönetimini basitleştirir ve otomatize eder.

  • Doğrudan İlişki: Her kaynak, yalnızca kendi System Assigned Identity'sine sahiptir. Bu, kimlikler arasında karışıklığı önler ve güvenliği artırır.

Dezavantajları:

  • Esneklik Eksikliği: Bu kimlik, yalnızca ona atanan tek bir kaynakla ilişkilendirilir. Birden fazla kaynak arasında paylaşılamaz.

  • Kaynağa Bağlı Yaşam Döngüsü: Kaynak silindiğinde, System Assigned Identity de silinir. Bu, bazı durumlarda istenmeyen sonuçlara yol açabilir.

User Assigned Managed Identity

Avantajları:

  • Esneklik: Bir User Assigned Managed Identity, birden çok Azure kaynağı tarafından paylaşılabilir. Bu, aynı kimliği birden çok kaynakta kullanmak istediğiniz durumlarda idealdir.

  • Bağımsız Yaşam Döngüsü: Bu kimlikler, atandıkları kaynaklardan bağımsız olarak yönetilir ve yaşarlar. Bu, kaynakların silinmesi veya değiştirilmesi durumunda daha fazla kontrol ve esneklik sağlar.

Dezavantajları:

  • Ek Yönetim Gereksinimi: User Assigned Identity'lerin oluşturulması ve yönetilmesi ek bir adımdır ve bu, bazı durumlarda yönetim karmaşıklığını artırabilir.

  • Manuel Atama Gereksinimi: Bu kimliklerin kullanılabilmesi için Azure kaynaklarına manuel olarak atanmaları gerekir.


Kullanım Senaryoları

  • Azure kaynaklarının diğer Azure hizmetlerine erişimi için kimlik bilgilerini güvenli bir şekilde saklayıp, yönetebilirsiniz.

  • Uygulamaların Azure hizmetlerine erişimi sırasında kimlik bilgilerini güvende tutabilirsiniz.

  • Birden fazla kaynakta tekrar eden kimlik bilgilerini yönetmek yerine, merkezi bir kimlik kullanarak yönetimi kolaylaştırabilirsiniz.


Managed Identity, Azure kaynaklarının (örneğin sanal makineler, app services veya fonksiyon uygulamaları gibi) kimlik bilgilerini yönetmeden Azure hizmetlerine güvenli bir şekilde erişmesini sağlayan bir Azure özelliğidir. Bu işlev, Azure Active Directory (AAD) ile entegre şekilde çalışır ve temelde iki ana adımdan oluşur: kimlik oluşturma ve token alarak hizmetlere erişim.

  1. Kimlik Oluşturma ve Atama:

    • System Assigned Identity: Bir Azure kaynağı oluşturulduğunda, örneğin bir sanal makine veya app services, Azure otomatik olarak bir Managed Identity oluşturur ve bu kimliği ilgili kaynağa atar. Bu kimlik, kaynağın ömrü boyunca var olur ve kaynak silindiğinde otomatik olarak yok edilir.

    • User Assigned Identity: Bu durumda, kullanıcı öncelikle Azure portalı veya Azure CLI aracılığıyla bir Managed Identity oluşturur. Daha sonra bu kimlik, bir veya daha fazla Azure kaynağına manuel olarak atanabilir.

  2. Azure Hizmetlerine Erişim:

    • Bir Azure kaynağı, örneğin bir sanal makine veya bir fonksiyon uygulaması, Azure hizmetlerine (Azure Key Vault, Azure SQL Database vb.) erişmek istediğinde, Managed Identity'nin kimlik doğrulaması gereklidir.

    • Bu aşamada, Managed Identity, Azure AD'den bir OAuth 2.0 token'ı talep eder. Bu token, ilgili Azure hizmetine güvenli bir şekilde erişmek için kullanılır.

    • Token alındıktan sonra, Azure kaynağı bu token'ı kullanarak hedef Azure hizmetine kimlik doğrulama yapar ve gerekli erişim izinlerine göre işlemlerini gerçekleştirir.

Bu süreç boyunca, Managed Identity'nin kimlik bilgileri (örneğin kullanıcı adları ve şifreler) hiçbir zaman açıkça görünmez veya manuel olarak yönetilmez. Bunun yerine, Azure, bu kimlik bilgilerini güvenli bir şekilde yönetir ve yeniler. Bu, güvenliği artırır ve kimlik bilgisi sızıntılarının önlenmesine yardımcı olur.

Rol Tabanlı Erişim Kontrolü (RBAC), bu süreçte önemli bir rol oynar. RBAC, Managed Identity'ye hangi Azure kaynaklarına erişebileceğini ve bu kaynaklarda hangi işlemleri gerçekleştirebileceğini belirleyen rolleri atamamızı sağlar. Bu roller, kaynaklara erişim sağlarken güvenlik politikalarına uyulmasını garanti eder.


Demo:

Bu demoda, bir Azure VM'nin System Assigned Managed Identity kullanarak Azure Storage Account'ta bulunan blob verilerine erişmesi gösterilecektir. Bu senaryo, dosya depolama ve veri işleme için yaygın bir kullanım durumudur.

Adım 1: Öncelikle, Azure üzerinde Ubuntu 20.04 sanal sunucu oluşturmalıyız. Sanal sunucu oluşturma adımlarında "management" sekmesinde bulunan "identity" başlığı altında bulunan "Enable system assigned managed identity" seçeneğini aktif ediyoruz. Bu seçenek, VM'nin Azure kaynaklarına erişimi için kullanabileceği bir kimlik oluşturur.

apt update -y && apt upgrade -y && sudo apt install python3 -y && apt install python3-pip -y
# Yukarıdaki komutlar ile güncellemeleri yapıp, python ve pip paketlerini kuruyoruz.

pip install azure-storage-blob
# Yukarıdaki komut ile Azure Storage Blob SDK paketini sunucuya kuruyoruz.

pip install azure-identity
# Yukarıdaki komutu ile identity paketini sunucuya kuruyoruz.

Adım 2: Sunucuya SSH ile bağlanıp, güncellemelerin yapılmalıdır. Python-Pip-Azure Storage Blob SDK-Managed identity paketleri kurulmalıdır.

Adım 3: Storage Account oluşturup ve içerisine blob container oluşturuyoruz. Test için içerisine 3 adet dosya upload ediyoruz.

Adım 4: Oluşturduğumuz VM'nin Managed Identity'sine, blob verilerini okuma izni vermeliyiz. Bunun için oluşturduğumuz storage account'un IAM sekmesine gelip, Storage Blob Data Reader rolünü seçip, vm kurulurken oluşturulan system assigned managed identity 'yi members kısmına ekleyip, RBAC rolünü oluşturuyoruz.

storage-access-via-system-assigned-managedidentity.py
from azure.storage.blob import BlobServiceClient, BlobClient, ContainerClient
from azure.identity import DefaultAzureCredential

# Azure Storage Account bilgileri
account_url = "https://identitydemostorage.blob.core.windows.net"
container_name = "identitycontainer"

# DefaultAzureCredential kullanarak Managed Identity ile kimlik doğrulaması
credential = DefaultAzureCredential()

# Blob Service Client'ı başlatma
blob_service_client = BlobServiceClient(account_url=account_url, credential=credential)

# Blob Container'a erişim
container_client = blob_service_client.get_container_client(container_name)

# Container'daki tüm blobları listeleme ve içeriğini okuma
blobs_list = container_client.list_blobs()
for blob in blobs_list:
    blob_client = container_client.get_blob_client(blob)
    blob_content = blob_client.download_blob().readall()
    print(f"Blob Name: {blob.name}, Content: {blob_content[:100]}...")  # İlk 100 karakteri gösterir

Adım 5: Artık ubuntu sunucumuz 'da python scripti kullanarak, storage üzerinde verileri okuyabiliriz. Script Managed identity kullanarak, storage'a erişecek ve RBAC rollerine göre blob üzerinde işlemler yapabilecek. Bizim senaryomuzda sadece okuma yapabiliyor. Yukarıdaki ekran görüntüsünde görüleceği üzere, script başarılı bir şekilde çalıştı.

Yukarıdaki örnekte, system assigned managed identity kullandık fakat, user assigned managed identity'de kullanabilirdik. Bunun için, gidip manuel olarak user assigned managed identity oluşturmamız gerekecekti. Çalışma anlamında değişen bir şey olmayacaktı.

⛅
🚦
Managed identities for Azure resourcesMicrosoftLearn
Logo
Okuma yapacağımız için Storage Blob Data Reader rolünü seçiyoruz.
Atayacağımız identity'i seçiyoruz. Bu örnekte vm ile birlikte oluşturduğumuz system assigned managed identity seçiyoruz.