Správa spravovaných identit přiřazených uživatelem

Spravované identity pro prostředky Azure eliminují potřebu správy přihlašovacích údajů v kódu. Můžete je použít k získání tokenu Microsoft Entra pro vaše aplikace. Aplikace můžou token použít při přístupu k prostředkům, které podporují ověřování Microsoft Entra. Azure tuto identitu spravuje, takže nemusíte.

Existují dva typy spravovaných identit: přiřazené systémem a přiřazené uživatelem. Spravované identity přiřazené systémem mají svůj životní cyklus svázaný s prostředkem, který je vytvořil. Spravované identity přiřazené uživatelem je možné použít u více prostředků. Další informace o spravovaných identitách najdete v tématu Co jsou spravované identity pro prostředky Azure?

V tomto článku se dozvíte, jak vytvořit, vypsat, odstranit nebo přiřadit roli spravované identitě přiřazené uživatelem pomocí webu Azure Portal.

Požadavky

Vytvoření spravované identity přiřazené uživatelem

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity.

  1. Přihlaste se k portálu Azure.

  2. Do vyhledávacího pole zadejte spravované identity. V části Služby vyberte Spravované identity.

  3. Vyberte Přidat a do následujících polí v podokně Vytvořit spravovanou identitu přiřazenou uživatelem zadejte hodnoty:

    • Předplatné: Vyberte předplatné pro vytvoření spravované identity přiřazené uživatelem.
    • Skupina prostředků: Zvolte skupinu prostředků, ve které chcete vytvořit spravovanou identitu přiřazenou uživatelem, nebo vyberte Vytvořit novou a vytvořte novou skupinu prostředků.
    • Oblast: Zvolte oblast pro nasazení spravované identity přiřazené uživatelem, například USA – západ.
    • Název: Zadejte název spravované identity přiřazené uživatelem, například UAI1.

    Důležité

    Při vytváření spravovaných identit přiřazených uživatelem musí název začínat písmenem nebo číslem a může obsahovat kombinaci alfanumerických znaků, pomlček (-) a podtržítka (_). Aby přiřazení k virtuálnímu počítači nebo škálovací sadě virtuálních počítačů fungovalo správně, je název omezen na 24 znaků. Další informace najdete v tématu Nejčastější dotazy a známé problémy.

    Screenshot that shows the Create User Assigned Managed Identity pane.

  4. Výběrem možnosti Zkontrolovat a vytvořit zkontrolujte změny.

  5. Vyberte Vytvořit.

Výpis spravovaných identit přiřazených uživatelem

Pokud chcete vypsat nebo přečíst spravovanou identitu přiřazenou uživatelem, musí mít váš účet přiřazenou roli operátora spravované identity nebo přispěvatele spravované identity.

  1. Přihlaste se k portálu Azure.

  2. Do vyhledávacího pole zadejte spravované identity. V části Služby vyberte Spravované identity.

  3. Vrátí se seznam spravovaných identit přiřazených uživatelem pro vaše předplatné. Pokud chcete zobrazit podrobnosti o spravované identitě přiřazené uživatelem, vyberte jeho název.

  4. Teď můžete zobrazit podrobnosti o spravované identitě, jak je znázorněno na obrázku.

    Screenshot that shows the list of user-assigned managed identity.

Odstranění spravované identity přiřazené uživatelem

Pokud chcete odstranit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity.

Odstraněním identity přiřazené uživatelem se neodebere z virtuálního počítače ani prostředku, ke kterému byla přiřazena. Pokud chcete odebrat identitu přiřazenou uživatelem z virtuálního počítače, přečtěte si téma Odebrání spravované identity přiřazené uživatelem z virtuálního počítače.

  1. Přihlaste se k portálu Azure.

  2. Vyberte spravovanou identitu přiřazenou uživatelem a vyberte Odstranit.

  3. Pod potvrzovací polem vyberte Ano.

    Screenshot that shows the Delete user-assigned managed identities.

Správa přístupu ke spravovaným identitám přiřazeným uživatelem

V některýchprostředích Správa istrátory mohou toto omezení implementovat pomocí předdefinovaných rolí RBAC. Pomocí těchto rolí můžete uživateli nebo skupině ve vaší organizaci udělit práva na spravovanou identitu přiřazenou uživatelem.

  1. Přihlaste se k portálu Azure.

  2. Do vyhledávacího pole zadejte spravované identity. V části Služby vyberte Spravované identity.

  3. Vrátí se seznam spravovaných identit přiřazených uživatelem pro vaše předplatné. Vyberte spravovanou identitu přiřazenou uživatelem, kterou chcete spravovat.

  4. Vyberte Řízení přístupu (IAM) .

  5. Zvolte Přidat přiřazení role.

    Screenshot that shows the user-assigned managed identity access control screen

  6. V podokně Přidat přiřazení role zvolte roli, která se má přiřadit, a zvolte Další.

  7. Vyberte, kdo má mít přiřazenou roli.

Poznámka:

Informace o přiřazování rolí spravovaným identitám najdete v části Přiřazení přístupu spravované identity k prostředku pomocí webu Azure Portal.

V tomto článku se dozvíte, jak vytvořit, vypsat, odstranit nebo přiřadit roli spravované identitě přiřazené uživatelem pomocí Azure CLI.

Požadavky

Důležité

Pokud chcete upravit uživatelská oprávnění při použití instančního objektu aplikace pomocí rozhraní příkazového řádku, musíte instančnímu objektu poskytnout více oprávnění v rozhraní Azure Active Directory Graph API, protože části rozhraní příkazového řádku provádějí požadavky GET na rozhraní Graph API. V opačném případě se může zobrazit zpráva "Nedostatečná oprávnění k dokončení operace". Tento krok provedete tak, že přejdete do registrace aplikace v Microsoft Entra ID, vyberete aplikaci, vyberete oprávnění rozhraní API a posunete se dolů a vyberete Azure Active Directory Graph. Odtud vyberte Oprávnění aplikace a pak přidejte příslušná oprávnění.

Vytvoření spravované identity přiřazené uživatelem

Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity.

Pomocí příkazu az identity create vytvořte spravovanou identitu přiřazenou uživatelem. Parametr -g určuje skupinu prostředků, ve které se má vytvořit spravovaná identita přiřazená uživatelem. Parametr -n určuje jeho název. <RESOURCE GROUP> Nahraďte hodnoty parametrů <USER ASSIGNED IDENTITY NAME> vlastními hodnotami.

Důležité

Při vytváření spravovaných identit přiřazených uživatelem musí název začínat písmenem nebo číslem a může obsahovat kombinaci alfanumerických znaků, pomlček (-) a podtržítka (_). Aby přiřazení k virtuálnímu počítači nebo škálovací sadě virtuálních počítačů fungovalo správně, je název omezen na 24 znaků. Další informace najdete v tématu Nejčastější dotazy a známé problémy.

az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>

Výpis spravovaných identit přiřazených uživatelem

Pokud chcete vypsat nebo přečíst spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Operátor spravované identity nebo Přispěvatel spravované identity.

Pokud chcete zobrazit seznam spravovaných identit přiřazených uživatelem, použijte příkaz az identity list . <RESOURCE GROUP> Nahraďte hodnotu vlastní hodnotou.

az identity list -g <RESOURCE GROUP>

V odpovědi JSON mají spravované identity přiřazené uživatelem hodnotu vrácenou "Microsoft.ManagedIdentity/userAssignedIdentities" pro klíč type.

"type": "Microsoft.ManagedIdentity/userAssignedIdentities"

Odstranění spravované identity přiřazené uživatelem

Pokud chcete odstranit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity.

Pokud chcete odstranit spravovanou identitu přiřazenou uživatelem, použijte příkaz az identity delete . Parametr -n určuje jeho název. Parametr -g určuje skupinu prostředků, ve které byla vytvořena spravovaná identita přiřazená uživatelem. <USER ASSIGNED IDENTITY NAME> Nahraďte hodnoty parametrů <RESOURCE GROUP> vlastními hodnotami.

az identity delete -n <USER ASSIGNED IDENTITY NAME> -g <RESOURCE GROUP>

Poznámka:

Odstranění spravované identity přiřazené uživatelem neodebere odkaz z žádného prostředku, ke kterému byl přiřazen. Odeberte je z virtuálního počítače nebo škálovací sady virtuálních počítačů pomocí az vm/vmss identity remove příkazu.

Další kroky

Úplný seznam příkazů identity Azure CLI najdete v tématu az identity.

Informace o přiřazení spravované identity přiřazené uživatelem k virtuálnímu počítači Azure najdete v tématu Konfigurace spravovaných identit pro prostředky Azure na virtuálním počítači Azure pomocí Azure CLI.

Naučte se používat federaci identit úloh pro spravované identity pro přístup k prostředkům chráněným Microsoft Entra bez správy tajných kódů.

V tomto článku se dozvíte, jak vytvořit, vypsat, odstranit nebo přiřadit roli spravované identitě přiřazené uživatelem pomocí PowerShellu.

Požadavky

V tomto článku se dozvíte, jak vytvořit, vypsat a odstranit spravovanou identitu přiřazenou uživatelem pomocí PowerShellu.

Místní konfigurace Azure PowerShellu

Použití Azure PowerShellu místně pro tento článek místo použití Cloud Shellu:

  1. Pokud jste to ještě neudělali, nainstalujte si nejnovější verzi Azure PowerShellu .

  2. Přihlaste se do Azure.

    Connect-AzAccount
    
  3. Nainstalujte nejnovější verzi modulu PowerShellGet.

    Install-Module -Name PowerShellGet -AllowPrerelease
    

    Po spuštění tohoto příkazu pro další krok možná budete muset Exit mimo aktuální relaci PowerShellu.

  4. Nainstalujte předběžnou verzi Az.ManagedServiceIdentity modulu, abyste mohli provádět operace spravované identity přiřazené uživatelem v tomto článku.

    Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
    

Vytvoření spravované identity přiřazené uživatelem

Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity.

Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem, použijte New-AzUserAssignedIdentity příkaz. Parametr ResourceGroupName určuje skupinu prostředků, ve které se má vytvořit spravovaná identita přiřazená uživatelem. Parametr -Name určuje jeho název. <RESOURCE GROUP> Nahraďte hodnoty parametrů <USER ASSIGNED IDENTITY NAME> vlastními hodnotami.

Důležité

Při vytváření spravovaných identit přiřazených uživatelem musí název začínat písmenem nebo číslem a může obsahovat kombinaci alfanumerických znaků, pomlček (-) a podtržítka (_). Aby přiřazení k virtuálnímu počítači nebo škálovací sadě virtuálních počítačů fungovalo správně, je název omezen na 24 znaků. Další informace najdete v tématu Nejčastější dotazy a známé problémy.

New-AzUserAssignedIdentity -ResourceGroupName <RESOURCEGROUP> -Name <USER ASSIGNED IDENTITY NAME>

Výpis spravovaných identit přiřazených uživatelem

Pokud chcete vypsat nebo přečíst spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Operátor spravované identity nebo Přispěvatel spravované identity.

Pokud chcete vypsat spravované identity přiřazené uživatelem, použijte příkaz [Get-AzUserAssigned]. Parametr -ResourceGroupName určuje skupinu prostředků, ve které byla vytvořena spravovaná identita přiřazená uživatelem. <RESOURCE GROUP> Nahraďte hodnotu vlastní hodnotou.

Get-AzUserAssignedIdentity -ResourceGroupName <RESOURCE GROUP>

V odpovědi mají spravované identity přiřazené uživatelem hodnotu vrácenou "Microsoft.ManagedIdentity/userAssignedIdentities" pro klíč Type.

Type :Microsoft.ManagedIdentity/userAssignedIdentities

Odstranění spravované identity přiřazené uživatelem

Pokud chcete odstranit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity.

Pokud chcete odstranit spravovanou identitu přiřazenou uživatelem, použijte Remove-AzUserAssignedIdentity příkaz. Parametr -ResourceGroupName určuje skupinu prostředků, ve které byla vytvořena identita přiřazená uživatelem. Parametr -Name určuje jeho název. <RESOURCE GROUP> Nahraďte hodnoty parametrů <USER ASSIGNED IDENTITY NAME> vlastními hodnotami.

Remove-AzUserAssignedIdentity -ResourceGroupName <RESOURCE GROUP> -Name <USER ASSIGNED IDENTITY NAME>

Poznámka:

Odstranění spravované identity přiřazené uživatelem neodebere odkaz z žádného prostředku, ke kterému byl přiřazen. Přiřazení identit musí být odebrána samostatně.

Další kroky

Úplný seznam a další podrobnosti o spravovaných identitách Azure PowerShellu pro příkazy prostředků Azure najdete v tématu Az.ManagedServiceIdentity.

Naučte se používat federaci identit úloh pro spravované identity pro přístup k prostředkům chráněným Microsoft Entra bez správy tajných kódů.

V tomto článku vytvoříte spravovanou identitu přiřazenou uživatelem pomocí Azure Resource Manageru.

Požadavky

Spravovanou identitu přiřazenou uživatelem nejde vypsat ani odstranit pomocí šablony Resource Manageru. Informace o vytvoření a výpisu spravované identity přiřazené uživatelem najdete v následujících článcích:

Vytváření a úpravy šablon

Šablony Resource Manageru vám pomůžou nasadit nové nebo upravené prostředky definované skupinou prostředků Azure. Pro úpravy a nasazení šablon je k dispozici několik možností, a to jak pro místní, tak pro portál. Můžete provádět následující akce:

Vytvoření spravované identity přiřazené uživatelem

Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity.

Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem, použijte následující šablonu. <USER ASSIGNED IDENTITY NAME> Nahraďte hodnotu vlastními hodnotami.

Důležité

Při vytváření spravovaných identit přiřazených uživatelem musí název začínat písmenem nebo číslem a může obsahovat kombinaci alfanumerických znaků, pomlček (-) a podtržítka (_). Aby přiřazení k virtuálnímu počítači nebo škálovací sadě virtuálních počítačů fungovalo správně, je název omezen na 24 znaků. Další informace najdete v tématu Nejčastější dotazy a známé problémy.

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "resourceName": {
          "type": "string",
          "metadata": {
            "description": "<USER ASSIGNED IDENTITY NAME>"
          }
        }
  },
  "resources": [
    {
      "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
      "name": "[parameters('resourceName')]",
      "apiVersion": "2018-11-30",
      "location": "[resourceGroup().location]"
    }
  ],
  "outputs": {
      "identityName": {
          "type": "string",
          "value": "[parameters('resourceName')]"
      }
  }
}

Další kroky

Pokud chcete přiřadit spravovanou identitu přiřazenou uživatelem k virtuálnímu počítači Azure pomocí šablony Resource Manageru, přečtěte si téma Konfigurace spravovaných identit pro prostředky Azure na virtuálním počítači Azure pomocí šablony.

Naučte se používat federaci identit úloh pro spravované identity pro přístup k prostředkům chráněným Microsoft Entra bez správy tajných kódů.

V tomto článku se dozvíte, jak vytvořit, vypsat a odstranit spravovanou identitu přiřazenou uživatelem pomocí rest.

Požadavky

V tomto článku se dozvíte, jak vytvořit, vypsat a odstranit spravovanou identitu přiřazenou uživatelem pomocí nástroje CURL k volání rozhraní REST API.

Získání nosný přístupový token

  1. Pokud používáte místně, přihlaste se k Azure přes Azure CLI.

    az login
    
  2. Získání přístupového tokenu pomocí příkazu az account get-access-token.

    az account get-access-token
    

Vytvoření spravované identity přiřazené uživatelem

Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity.

Důležité

Při vytváření spravovaných identit přiřazených uživatelem musí název začínat písmenem nebo číslem a může obsahovat kombinaci alfanumerických znaků, pomlček (-) a podtržítka (_). Aby přiřazení k virtuálnímu počítači nebo škálovací sadě virtuálních počítačů fungovalo správně, je název omezen na 24 znaků. Další informace najdete v tématu Nejčastější dotazy a známé problémy.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview' -X PUT -d '{"loc
ation": "<LOCATION>"}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"
PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview HTTP/1.1

Hlavičky požadavku

Hlavička požadavku Popis
Typ obsahu Povinný: Nastavte na application/json.
Autorizace Povinný: Nastavte platný Bearer přístupový token.

Text požadavku

Název Popis
Location Povinný: Umístění prostředku

Výpis spravovaných identit přiřazených uživatelem

Pokud chcete vypsat nebo přečíst spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Operátor spravované identity nebo Přispěvatel spravované identity.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities?api-version=2015-08-31-preview' -H "Authorization: Bearer <ACCESS TOKEN>"
GET https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities?api-version=2015-08-31-preview HTTP/1.1
Hlavička požadavku Popis
Typ obsahu Povinný: Nastavte na application/json.
Autorizace Povinný: Nastavte platný Bearer přístupový token.

Odstranění spravované identity přiřazené uživatelem

Pokud chcete odstranit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity.

Poznámka:

Odstranění spravované identity přiřazené uživatelem neodebere odkaz z žádného prostředku, ke kterému byl přiřazen. Pokud chcete odebrat spravovanou identitu přiřazenou uživatelem z virtuálního počítače pomocí nástroje CURL, přečtěte si téma Odebrání identity přiřazené uživatelem z virtuálního počítače Azure.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview' -X DELETE -H "Authorization: Bearer <ACCESS TOKEN>"
DELETE https://management.azure.com/subscriptions/80c696ff-5efa-4909-a64d-f1b616f423ca/resourceGroups/TestRG/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview HTTP/1.1
Hlavička požadavku Popis
Typ obsahu Povinný: Nastavte na application/json.
Autorizace Povinný: Nastavte platný Bearer přístupový token.

Další kroky

Informace o tom, jak přiřadit spravovanou identitu přiřazenou uživatelem k virtuálnímu počítači Azure nebo škálovací sadě virtuálních počítačů pomocí nástroje CURL, najdete tady:

Naučte se používat federaci identit úloh pro spravované identity pro přístup k prostředkům chráněným Microsoft Entra bez správy tajných kódů.