通過郵件實(shí)現(xiàn)Azure中VM的開關(guān)機(jī)？這有可能實(shí)現(xiàn)嗎？當(dāng)然是可以的，而且其實(shí)還非常簡(jiǎn)單，今天就來分享一波吧

創(chuàng)新互聯(lián)是一家專注于網(wǎng)站建設(shè)、成都網(wǎng)站制作與策劃設(shè)計(jì),都江堰網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)做網(wǎng)站,專注于網(wǎng)站建設(shè)十年,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:都江堰等地區(qū)。都江堰做網(wǎng)站價(jià)格咨詢:13518219792

 實(shí)際上分析這個(gè)需求可以發(fā)現(xiàn)，如果想通過發(fā)送一封郵件就對(duì)Azure中的環(huán)境進(jìn)行操作，那么首先第一個(gè)要解決的問題就是身份驗(yàn)證了，郵件本身肯定是不會(huì)帶credential的，一種方法是可以把用戶名密碼寫在郵件內(nèi)容里，這個(gè)當(dāng)然很傻了，絕對(duì)不會(huì)推薦這么做的，另外一種方法是可以通過Azure key vault，把用戶名密碼寫在key vault中，這種方法其實(shí)是可以的，相對(duì)來說也比較安全。之前也有分享過一些基本的用法，有興趣的可以看看https://blog.51cto.com/mxyit/2346350

 這樣總體上來說可以保證用戶密碼的可用性和安全性，但是其實(shí)這種方法也是很麻煩的，目前來說在Azure中可以做身份驗(yàn)證的方法有這么幾種

1：Azure AD 用戶credential登陸

這種方法是最傳統(tǒng)，也是最古老的，直接在應(yīng)用程序中使用用戶名和密碼登陸，需要注意的是如何保護(hù)credential的安全性，是應(yīng)該應(yīng)該關(guān)注的一個(gè)重點(diǎn)，這種方法基本上企業(yè)是很少會(huì)用的，因?yàn)榘踩詫?shí)在太差，個(gè)人用戶偶爾在測(cè)試環(huán)境用一下倒是還可以

以下是如何通過PowerShell的方式使用Azure AD 用戶密碼登陸

2：Azure service principal方式

如果有需要訪問或修改資源的代碼，則可以為應(yīng)用創(chuàng)建標(biāo)識(shí)。 此標(biāo)識(shí)稱為服務(wù)主體。 可以將所需權(quán)限分配給服務(wù)主體，這種方式通過RBAC給service principal賦予角色，之后應(yīng)用程序即可擁有對(duì)應(yīng)的權(quán)限，我們?cè)诓僮鲿r(shí)可以通過Portal或者PowerShell的方式注冊(cè)一個(gè)application，我們可以通過PowerShell直接登錄，可以看到登陸方法和用戶名密碼的方式類似

3：托管標(biāo)識(shí)方式

借助 Azure Active Directory 的托管標(biāo)識(shí)，應(yīng)用可以輕松訪問其他受 AAD 保護(hù)的資源（如 Azure Key Vault）。 標(biāo)識(shí)由 Azure 平臺(tái)托管，無需設(shè)置或轉(zhuǎn)交任何機(jī)密

你的應(yīng)用程序可以被授予兩種類型的標(biāo)識(shí)：

• 系統(tǒng)分配的標(biāo)識(shí)與你的應(yīng)用程序相綁定，如果刪除應(yīng)用，標(biāo)識(shí)也會(huì)被刪除。 一個(gè)應(yīng)用只能具有一個(gè)系統(tǒng)分配的標(biāo)識(shí)。

• 用戶分配的標(biāo)識(shí)是可以分配給應(yīng)用的獨(dú)立 Azure 資源。 一個(gè)應(yīng)用可以具有多個(gè)用戶分配的標(biāo)識(shí)。

這種方式不需要用戶名密碼，如果應(yīng)用程序需要調(diào)用Azure的資源，不需要使用用戶名密碼或者service principal，可以使用標(biāo)識(shí)向支持 Azure AD 身份驗(yàn)證的任何服務(wù)（包括 Key Vault）證明身份，無需在代碼中放入任何憑據(jù)。

簡(jiǎn)單理解來說，RBAC以前是將用戶角色分配給Azure AD的用戶，組或者是service principal，但是通過identity，我們可以直接將權(quán)限assign給app service，key vault或者是VM

以下是一些應(yīng)用的案例，比如可以在app service里找到identity，然后開啟identity

在IAM中可以看到，assign access to中不光是Azure AD user，還可以選擇其他的Azure service

當(dāng)然，這個(gè)服務(wù)目前來說還只在Azure Global有，mooncake目前還沒有這個(gè)服務(wù)

這樣，web app即可擁有對(duì)應(yīng)的權(quán)限！無需任何用戶名和密碼，這種方式也是比較推薦的

下邊回到我們的原始需求，來看下郵件開關(guān)機(jī)應(yīng)該如何解決安全問題