Een door het Linux-VM-systeem toegewezen beheerde identiteit gebruiken voor toegang tot Azure Resource Manager
Beheerde identiteiten voor Azure-resources is een functie van Microsoft Entra ID. Voor alle Azure-services die beheerde identiteiten voor Azure-resources ondersteunen, geldt een eigen tijdlijn. Controleer de beschikbaarheidsstatus van beheerde identiteiten voor uw resource en eventuele bekende problemen voordat u begint.
In deze quickstart ziet u hoe u een door het systeem toegewezen beheerde identiteit gebruikt als een identiteit van een virtuele Linux-machine (VM) voor toegang tot de Azure Resource Manager-API. Beheerde identiteiten voor Azure-resources worden automatisch beheerd door Azure en stellen u in staat om te verifiëren bij services die Ondersteuning bieden voor Microsoft Entra-verificatie zonder referenties in uw code in te voegen. U leert het volgende:
- Uw virtuele machine toegang verlenen tot een resourcegroep in Azure Resource Manager
- Een toegangstoken ophalen met behulp van de identiteit van de virtuele machine en daarmee Azure Resource Manager aanroepen
Vereisten
- Inzicht in beheerde identiteiten. Als u niet bekend bent met beheerde identiteiten, raadpleegt u dit overzicht.
- Een Azure-account, meld u aan voor een gratis account.
- U hebt ook een Linux-VM nodig waarvoor door het systeem toegewezen beheerde identiteiten zijn ingeschakeld. Als u een virtuele machine hebt, maar door het systeem toegewezen beheerde identiteiten moet inschakelen, kunt u dit doen in de identiteitssectie van de eigenschappen van de virtuele machine.
- Als u een virtuele machine moet maken voor deze zelfstudie kunt u dat doen met behulp van het artikel Een virtuele Linux-machine maken met de Azure-portal
Toegang verlenen
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Wanneer u beheerde identiteiten gebruikt voor Azure-resources, kan uw code toegangstokens ophalen om te verifiëren bij resources die ondersteuning bieden voor Microsoft Entra-verificatie. De Azure Resource Manager-API ondersteunt Microsoft Entra-verificatie. Eerst moeten we de identiteit van deze VM toegang verlenen tot een resource in Azure Resource Manager, in dit geval de resourcegroep waarin de VIRTUELE machine zich bevindt.
Meld u aan bij Azure Portal met uw beheerdersaccount.
Navigeer naar het tabblad Resourcegroepen.
Selecteer de resourcegroep die u de beheerde identiteit van de VIRTUELE machine toegang wilt verlenen.
Selecteer toegangsbeheer (IAM) in het linkerdeelvenster.
Selecteer Toevoegen en selecteer vervolgens Roltoewijzing toevoegen.
Selecteer Lezer op het tabblad Rol. Met deze rol kunt u alle resources weergeven, maar kunt u geen wijzigingen aanbrengen.
Selecteer op het tabblad Leden , voor toegang toewijzen aan, beheerde identiteit. Selecteer vervolgens + Leden selecteren.
Zorg ervoor dat het juiste abonnement wordt vermeld in de vervolgkeuzelijst Abonnement . Bij Resourcegroep selecteert u Alle resourcegroepen.
Voor de vervolgkeuzelijst Identiteit beheren selecteert u Virtuele machine.
Kies ten slotte uw virtuele Windows-machine in de vervolgkeuzelijst en selecteer Opslaan.
Een toegangstoken ophalen met behulp van de door het systeem toegewezen beheerde identiteit van de VM en dit gebruiken om er Resource Manager mee aan te roepen
U hebt een SSH-client nodig om deze stappen uit te voeren. Als u Windows gebruikt, kunt u de SSH-client in het Windows-subsysteem voor Linux gebruiken. Zie De sleutels van uw SSH-client gebruiken onder Windows in Azure of Een sleutelpaar met een openbare SSH-sleutel en een privé-sleutel maken en gebruiken voor virtuele Linux-machines in Azure als u hulp nodig hebt bij het configureren van de sleutels van uw SSH-client.
Navigeer in de portal naar uw Virtuele Linux-machine en selecteer Verbinding maken in het overzicht.
Maak verbinding met de virtuele machine met de SSH-client van uw keuze.
Voer in het terminalvenster, met behulp van
curl, een aanvraag in bij de lokale beheerde identiteiten voor het Eindpunt van Azure-resources om een toegangstoken voor Azure Resource Manager op te halen. Hieronder ziet u decurl-aanvraag voor het toegangstoken.
curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/' -H Metadata:true
Notitie
De waarde van de resource parameter moet een exacte overeenkomst zijn voor wat wordt verwacht door Microsoft Entra ID. Wanneer u de resource-id van Resource Manager gebruikt, moet de URI opgeven met een slash op het einde.
Het antwoord bevat het toegangstoken dat u nodig hebt voor toegang tot Azure Resource Manager.
Respons:
{
"access_token":"eyJ0eXAiOi...",
"refresh_token":"",
"expires_in":"3599",
"expires_on":"1504130527",
"not_before":"1504126627",
"resource":"https://management.azure.com",
"token_type":"Bearer"
}
U kunt dit toegangstoken gebruiken voor toegang tot Azure Resource Manager, bijvoorbeeld om de details te bekijken van de resourcegroep waaraan u deze virtuele machine eerder toegang hebt verleend. Vervang de waarden <SUBSCRIPTION-ID>, <RESOURCE-GROUP> en <ACCESS-TOKEN> door de waarden die u eerder hebt gemaakt.
Notitie
De URL is hoofdlettergevoelig, dus gebruik precies dezelfde naam van de resourcegroep als hiervoor, met inbegrip van de hoofdletter 'G' in 'resourceGroup'.
curl https://management.azure.com/subscriptions/<SUBSCRIPTION-ID>/resourceGroups/<RESOURCE-GROUP>?api-version=2016-09-01 -H "Authorization: Bearer <ACCESS-TOKEN>"
Het antwoord terug met de specifieke resourcegroepgegevens:
{
"id":"/subscriptions/98f51385-2edc-4b79-bed9-7718de4cb861/resourceGroups/DevTest",
"name":"DevTest",
"location":"westus",
"properties":
{
"provisioningState":"Succeeded"
}
}
Volgende stappen
In deze snelstart hebt u geleerd hoe u toegang krijgt tot de Azure Resource Manager-API met een door het systeem beheerde identiteit. Zie voor meer informatie over Azure Resource Manager: