Správa spravovaných identit přiřazených uživatelem
Spravované identity pro prostředky Azure eliminují potřebu správy přihlašovacích údajů v kódu. Můžete je použít k získání tokenu Azure Active Directory (Azure AD) pro vaše aplikace. Aplikace můžou token používat při přístupu k prostředkům, které podporují ověřování Azure AD. Azure spravuje identitu, takže nemusíte.
Existují dva typy spravovaných identit: přiřazené systémem a uživatelem. Spravované identity přiřazené systémem mají svůj životní cyklus svázaný s prostředkem, který je vytvořil. Spravované identity přiřazené uživatelem je možné použít pro více prostředků. Další informace o spravovaných identitách najdete v tématu Co jsou spravované identity pro prostředky Azure.
V tomto článku se dozvíte, jak vytvořit, vypsat, odstranit nebo přiřadit roli spravované identitě přiřazené uživatelem pomocí Azure Portal.
Požadavky
- Pokud nejste obeznámeni se spravovanými identitami pro prostředky Azure, podívejte se do části Přehled. Nezapomeňte si projít rozdíl mezi spravovanou identitou přiřazenou systémem a uživatelem.
- Pokud ještě nemáte účet Azure, před pokračováním si zaregistrujte bezplatný účet .
Vytvoření spravované identity přiřazené uživatelem
Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity .
Přihlaste se k webu Azure Portal.
Do vyhledávacího pole zadejte Spravované identity. V části Služby vyberte Spravované identity.
Vyberte Přidat a zadejte hodnoty do následujících polí v podokně Vytvořit spravovanou identitu přiřazenou uživatelem :
- Předplatné: Zvolte předplatné, ve které chcete vytvořit spravovanou identitu přiřazenou uživatelem.
- Skupina prostředků: Zvolte skupinu prostředků, ve které chcete vytvořit spravovanou identitu přiřazenou uživatelem, nebo vyberte Vytvořit novou a vytvořte novou skupinu prostředků.
- Oblast: Zvolte oblast pro nasazení spravované identity přiřazené uživatelem, například USA – západ.
- Název: Zadejte název spravované identity přiřazené uživatelem, například UAI1.
Důležité
Při vytváření spravovaných identit přiřazených uživatelem se podporují pouze alfanumerické znaky (0-9, a-z a A-Z) a spojovník (-). Aby přiřazení k virtuálnímu počítači nebo škálovací sadě virtuálních počítačů fungovalo správně, je název omezen na 24 znaků. Další informace najdete v tématu Nejčastější dotazy a známé problémy.
Vyberte Zkontrolovat a vytvořit a zkontrolujte změny.
Vyberte Vytvořit.
Výpis spravovaných identit přiřazených uživatelem
Pokud chcete zobrazit nebo přečíst spravovanou identitu přiřazenou uživatelem, musí mít váš účet přiřazenou roli Operátor spravované identity nebo Přispěvatel spravované identity .
Přihlaste se k webu Azure Portal.
Do vyhledávacího pole zadejte Spravované identity. V části Služby vyberte Spravované identity.
Vrátí se seznam spravovaných identit přiřazených uživatelem pro vaše předplatné. Pokud chcete zobrazit podrobnosti o spravované identitě přiřazené uživatelem, vyberte její název.
Teď můžete zobrazit podrobnosti o spravované identitě, jak je znázorněno na následujícím obrázku.
Odstranění spravované identity přiřazené uživatelem
Pokud chcete odstranit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity .
Odstraněním identity přiřazené uživatelem se neodebere z virtuálního počítače nebo prostředku, ke kterému byla přiřazena. Pokud chcete z virtuálního počítače odebrat identitu přiřazenou uživatelem, přečtěte si téma Odebrání spravované identity přiřazené uživatelem z virtuálního počítače.
Přihlaste se k webu Azure Portal.
Vyberte spravovanou identitu přiřazenou uživatelem a vyberte Odstranit.
Pod potvrzovací polem vyberte Ano.
Správa přístupu ke spravovaným identitám přiřazeným uživatelem
V některých prostředích se správci rozhodnou omezit, kdo může spravovat spravované identity přiřazené uživatelem. Provedete to pomocí předdefinovaných rolí RBAC. Pomocí těchto rolí můžete uživateli nebo skupině ve vaší organizaci udělit práva ke spravované identitě přiřazené uživatelem.
Přihlaste se k webu Azure Portal.
Do vyhledávacího pole zadejte Spravované identity. V části Služby vyberte Spravované identity.
Vrátí se seznam spravovaných identit přiřazených uživatelem pro vaše předplatné. Vyberte spravovanou identitu přiřazenou uživatelem, kterou chcete spravovat.
Vyberte Řízení přístupu (IAM) .
Zvolte Přidat přiřazení role.
V podokně Přidat přiřazení role zvolte roli, která se má přiřadit, a zvolte Další.
Zvolte, kdo má mít přiřazenou roli.
Poznámka
Informace o přiřazování rolí spravovaným identitám najdete v tématu Přiřazení přístupu spravované identity k prostředku pomocí Azure Portal
V tomto článku se dozvíte, jak vytvořit, vypsat, odstranit nebo přiřadit roli spravované identitě přiřazené uživatelem pomocí Azure CLI.
Požadavky
- Pokud nejste obeznámeni se spravovanými identitami pro prostředky Azure, podívejte se do části Přehled. Nezapomeňte si projít rozdíl mezi spravovanou identitou přiřazenou systémem a uživatelem.
- Pokud ještě nemáte účet Azure, před pokračováním si zaregistrujte bezplatný účet .
Použijte prostředí Bash v Azure Cloud Shell. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shell.
Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.
Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.
Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.
Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.
Důležité
Pokud chcete upravit uživatelská oprávnění při použití instančního objektu aplikace pomocí rozhraní příkazového řádku, musíte instančnímu objektu poskytnout další oprávnění v Graph API Azure Active Directory, protože části rozhraní příkazového řádku provádějí požadavky GET na Graph API. V opačném případě se může zobrazit zpráva "Nedostatečná oprávnění k dokončení operace". Pokud chcete tento krok provést, přejděte do části Registrace aplikace v Azure AD, vyberte aplikaci, vyberte oprávnění rozhraní API a posuňte se dolů a vyberte Azure Active Directory Graph. Pak vyberte Oprávnění aplikace a pak přidejte příslušná oprávnění.
Vytvoření spravované identity přiřazené uživatelem
Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity .
Pomocí příkazu az identity create vytvořte spravovanou identitu přiřazenou uživatelem. Parametr -g určuje skupinu prostředků, ve které se má vytvořit spravovaná identita přiřazená uživatelem. Parametr -n určuje jeho název. <RESOURCE GROUP> Hodnoty parametrů a <USER ASSIGNED IDENTITY NAME> nahraďte vlastními hodnotami.
Důležité
Při vytváření spravovaných identit přiřazených uživatelem se podporují pouze alfanumerické znaky (0-9, a-z a A-Z) a spojovník (-). Aby přiřazení k virtuálnímu počítači nebo škálovací sadě virtuálních počítačů fungovalo správně, je název omezen na 24 znaků. Další informace najdete v tématu Nejčastější dotazy a známé problémy.
az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>
Výpis spravovaných identit přiřazených uživatelem
K výpisu nebo čtení spravované identity přiřazené uživatelem potřebuje váš účet přiřazení role Operátor spravované identity nebo Přispěvatel spravovaných identit .
Pokud chcete zobrazit seznam spravovaných identit přiřazených uživatelem, použijte příkaz az identity list . <RESOURCE GROUP> Nahraďte hodnotu vlastní hodnotou.
az identity list -g <RESOURCE GROUP>
V odpovědi JSON mají spravované identity přiřazené uživatelem hodnotu vrácenou "Microsoft.ManagedIdentity/userAssignedIdentities" pro klíč type.
"type": "Microsoft.ManagedIdentity/userAssignedIdentities"
Odstranění spravované identity přiřazené uživatelem
Pokud chcete odstranit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity .
Pokud chcete odstranit spravovanou identitu přiřazenou uživatelem, použijte příkaz az identity delete . Parametr -n určuje jeho název. Parametr -g určuje skupinu prostředků, ve které se vytvořila spravovaná identita přiřazená uživatelem. <USER ASSIGNED IDENTITY NAME> Hodnoty parametrů a <RESOURCE GROUP> nahraďte vlastními hodnotami.
az identity delete -n <USER ASSIGNED IDENTITY NAME> -g <RESOURCE GROUP>
Poznámka
Odstraněním spravované identity přiřazené uživatelem neodeberete odkaz z žádného prostředku, ke kterému byla přiřazena. Odeberte je ze škálovací sady virtuálních počítačů nebo virtuálních az vm/vmss identity remove počítačů pomocí příkazu .
Další kroky
Úplný seznam příkazů identit Azure CLI najdete v tématu az identity.
Informace o tom, jak přiřadit spravovanou identitu přiřazenou uživatelem k virtuálnímu počítači Azure, najdete v tématu Konfigurace spravovaných identit pro prostředky Azure na virtuálním počítači Azure pomocí Azure CLI.
Naučte se používat federaci identit úloh pro spravované identity pro přístup k prostředkům chráněným službou Azure Active Directory (Azure AD) bez správy tajných kódů.
V tomto článku se dozvíte, jak vytvořit, vypsat, odstranit nebo přiřadit roli spravované identitě přiřazené uživatelem pomocí PowerShellu.
Požadavky
- Pokud nejste obeznámeni se spravovanými identitami pro prostředky Azure, podívejte se do části Přehled. Nezapomeňte si projít rozdíl mezi spravovanou identitou přiřazenou systémem a uživatelem.
- Pokud ještě nemáte účet Azure, před pokračováním si zaregistrujte bezplatný účet .
- Pokud chcete spustit ukázkové skripty, máte dvě možnosti:
- Použijte Azure Cloud Shell, které můžete otevřít pomocí tlačítka Vyzkoušet v pravém horním rohu bloků kódu.
- Spouštět skripty místně pomocí Azure PowerShell, jak je popsáno v další části.
V tomto článku se dozvíte, jak vytvořit, vypsat a odstranit spravovanou identitu přiřazenou uživatelem pomocí PowerShellu.
Místní konfigurace Azure PowerShell
Pokud chcete místo použití Cloud Shell použít Azure PowerShell místně:
Nainstalujte si nejnovější verzi Azure PowerShell, pokud jste to ještě neudělali.
Přihlaste se k Azure.
Connect-AzAccountNainstalujte nejnovější verzi modulu PowerShellGet.
Install-Module -Name PowerShellGet -AllowPrereleasePo spuštění tohoto příkazu pro další krok možná budete muset
Exitodhlásit aktuální relaci PowerShellu.Nainstalujte předběžnou verzi
Az.ManagedServiceIdentitymodulu a proveďte operace spravované identity přiřazené uživatelem v tomto článku.Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
Vytvoření spravované identity přiřazené uživatelem
Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity .
Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem, použijte příkaz New-AzUserAssignedIdentity . Parametr ResourceGroupName určuje skupinu prostředků, ve které se má vytvořit spravovaná identita přiřazená uživatelem. Parametr -Name určuje jeho název. <RESOURCE GROUP> Hodnoty parametrů a <USER ASSIGNED IDENTITY NAME> nahraďte vlastními hodnotami.
Důležité
Při vytváření spravovaných identit přiřazených uživatelem se podporují pouze alfanumerické znaky (0-9, a-z a A-Z) a spojovník (-). Aby přiřazení k virtuálnímu počítači nebo škálovací sadě virtuálních počítačů fungovalo správně, je název omezen na 24 znaků. Další informace najdete v tématu Nejčastější dotazy a známé problémy.
New-AzUserAssignedIdentity -ResourceGroupName <RESOURCEGROUP> -Name <USER ASSIGNED IDENTITY NAME>
Výpis spravovaných identit přiřazených uživatelem
K výpisu nebo čtení spravované identity přiřazené uživatelem potřebuje váš účet přiřazení role Operátor spravované identity nebo Přispěvatel spravovaných identit .
Pokud chcete zobrazit seznam spravovaných identit přiřazených uživatelem, použijte příkaz [Get-AzUserAssigned]. Parametr -ResourceGroupName určuje skupinu prostředků, ve které se vytvořila spravovaná identita přiřazená uživatelem. <RESOURCE GROUP> Nahraďte hodnotu vlastní hodnotou.
Get-AzUserAssignedIdentity -ResourceGroupName <RESOURCE GROUP>
V odpovědi mají spravované identity přiřazené uživatelem hodnotu vrácenou "Microsoft.ManagedIdentity/userAssignedIdentities" pro klíč Type.
Type :Microsoft.ManagedIdentity/userAssignedIdentities
Odstranění spravované identity přiřazené uživatelem
Pokud chcete odstranit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity .
Pokud chcete odstranit spravovanou identitu přiřazenou uživatelem, použijte příkaz Remove-AzUserAssignedIdentity . Parametr -ResourceGroupName určuje skupinu prostředků, ve které se vytvořila identita přiřazená uživatelem. Parametr -Name určuje jeho název. <RESOURCE GROUP> Hodnoty parametrů a <USER ASSIGNED IDENTITY NAME> nahraďte vlastními hodnotami.
Remove-AzUserAssignedIdentity -ResourceGroupName <RESOURCE GROUP> -Name <USER ASSIGNED IDENTITY NAME>
Poznámka
Odstraněním spravované identity přiřazené uživatelem neodeberete odkaz z žádného prostředku, ke kterému byla přiřazena. Přiřazení identit se musí odebrat samostatně.
Další kroky
Úplný seznam a další podrobnosti o Azure PowerShell spravovaných identitách pro příkazy prostředků Azure najdete v tématu Az.ManagedServiceIdentity.
Naučte se používat federaci identit úloh pro spravované identity pro přístup k prostředkům chráněným službou Azure Active Directory (Azure AD) bez správy tajných kódů.
V tomto článku vytvoříte spravovanou identitu přiřazenou uživatelem pomocí Azure Resource Manager.
Požadavky
- Pokud nejste obeznámeni se spravovanými identitami pro prostředky Azure, podívejte se do části Přehled. Nezapomeňte si projít rozdíl mezi spravovanou identitou přiřazenou systémem a uživatelem.
- Pokud ještě nemáte účet Azure, před pokračováním si zaregistrujte bezplatný účet .
Pomocí šablony Resource Manager nemůžete vypsat a odstranit spravovanou identitu přiřazenou uživatelem. V následujících článcích najdete informace o vytvoření a výpisu spravované identity přiřazené uživatelem:
Vytváření a úpravy šablon
Resource Manager šablony vám pomůžou nasadit nové nebo upravené prostředky definované skupinou prostředků Azure. Pro úpravy a nasazení šablon je k dispozici několik možností, a to jak místních, tak na portálu. Můžete:
- Pomocí vlastní šablony z Azure Marketplace můžete vytvořit šablonu úplně od začátku nebo ji založit na existující společné šabloně nebo šabloně pro rychlý start.
- Odvození z existující skupiny prostředků exportem šablony Můžete je exportovat z původního nasazení nebo z aktuálního stavu nasazení.
- Použijte místní editor JSON (například VS Code) a pak nahrajte a nasaďte pomocí PowerShellu nebo Azure CLI.
- K vytvoření a nasazení šablony použijte projekt Skupiny prostředků Azure v sadě Visual Studio.
Vytvoření spravované identity přiřazené uživatelem
Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity .
Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem, použijte následující šablonu. <USER ASSIGNED IDENTITY NAME> Nahraďte hodnotu vlastními hodnotami.
Důležité
Při vytváření spravovaných identit přiřazených uživatelem se podporují pouze alfanumerické znaky (0-9, a-z a A-Z) a spojovník (-). Aby přiřazení k virtuálnímu počítači nebo škálovací sadě virtuálních počítačů fungovalo správně, je název omezen na 24 znaků. Další informace najdete v tématu Nejčastější dotazy a známé problémy.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"resourceName": {
"type": "string",
"metadata": {
"description": "<USER ASSIGNED IDENTITY NAME>"
}
}
},
"resources": [
{
"type": "Microsoft.ManagedIdentity/userAssignedIdentities",
"name": "[parameters('resourceName')]",
"apiVersion": "2018-11-30",
"location": "[resourceGroup().location]"
}
],
"outputs": {
"identityName": {
"type": "string",
"value": "[parameters('resourceName')]"
}
}
}
Další kroky
Pokud chcete přiřadit spravovanou identitu přiřazenou uživatelem k virtuálnímu počítači Azure pomocí šablony Resource Manager, přečtěte si téma Konfigurace spravovaných identit pro prostředky Azure na virtuálním počítači Azure pomocí šablony.
Naučte se používat federaci identit úloh pro spravované identity pro přístup k prostředkům chráněným službou Azure Active Directory (Azure AD) bez správy tajných kódů.
V tomto článku se dozvíte, jak vytvořit, vypsat a odstranit spravovanou identitu přiřazenou uživatelem pomocí rest.
Požadavky
- Pokud nejste obeznámeni se spravovanými identitami pro prostředky Azure, podívejte se do části Přehled. Nezapomeňte si projít rozdíl mezi spravovanou identitou přiřazenou systémem a uživatelem.
- Pokud ještě nemáte účet Azure, před pokračováním si zaregistrujte bezplatný účet .
- Všechny příkazy v tomto článku můžete spouštět buď v cloudu, nebo místně:
- Pokud chcete spustit v cloudu, použijte Azure Cloud Shell.
- Pokud chcete spustit místně, nainstalujte curl a Azure CLI.
V tomto článku se dozvíte, jak vytvořit, vypsat a odstranit spravovanou identitu přiřazenou uživatelem pomocí curl k volání rozhraní REST API.
Získání nosný přístupový token
Pokud používáte místně, přihlaste se k Azure přes Azure CLI.
az loginZískejte přístupový token pomocí příkazu az account get-access-token.
az account get-access-token
Vytvoření spravované identity přiřazené uživatelem
Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity .
Důležité
Při vytváření spravovaných identit přiřazených uživatelem se podporují pouze alfanumerické znaky (0-9, a-z a A-Z) a spojovník (-). Aby přiřazení k virtuálnímu počítači nebo škálovací sadě virtuálních počítačů fungovalo správně, je název omezen na 24 znaků. Další informace najdete v tématu Nejčastější dotazy a známé problémy.
curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview' -X PUT -d '{"loc
ation": "<LOCATION>"}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"
PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview HTTP/1.1
Hlavičky požadavků
| Hlavička požadavku | Popis |
|---|---|
| Typ obsahu | Povinná hodnota. Nastavte na application/json. |
| Autorizace | Povinná hodnota. Nastavte na platný Bearer přístupový token. |
Text požadavku
| Název | Description |
|---|---|
| Umístění | Povinná hodnota. Umístění prostředku. |
Výpis spravovaných identit přiřazených uživatelem
K výpisu nebo čtení spravované identity přiřazené uživatelem potřebuje váš účet přiřazení role Operátor spravované identity nebo Přispěvatel spravovaných identit .
curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities?api-version=2015-08-31-preview' -H "Authorization: Bearer <ACCESS TOKEN>"
GET https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities?api-version=2015-08-31-preview HTTP/1.1
| Hlavička požadavku | Popis |
|---|---|
| Typ obsahu | Povinná hodnota. Nastavte na application/json. |
| Autorizace | Povinná hodnota. Nastavte na platný Bearer přístupový token. |
Odstranění spravované identity přiřazené uživatelem
Pokud chcete odstranit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity .
Poznámka
Odstraněním spravované identity přiřazené uživatelem neodeberete odkaz z žádného prostředku, ke kterému byla přiřazena. Pokud chcete odebrat spravovanou identitu přiřazenou uživatelem z virtuálního počítače pomocí curl, přečtěte si téma Odebrání identity přiřazené uživatelem z virtuálního počítače Azure.
curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview' -X DELETE -H "Authorization: Bearer <ACCESS TOKEN>"
DELETE https://management.azure.com/subscriptions/80c696ff-5efa-4909-a64d-f1b616f423ca/resourceGroups/TestRG/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview HTTP/1.1
| Hlavička požadavku | Popis |
|---|---|
| Typ obsahu | Povinná hodnota. Nastavte na application/json. |
| Autorizace | Povinná hodnota. Nastavte na platný Bearer přístupový token. |
Další kroky
Informace o tom, jak přiřadit spravovanou identitu přiřazenou uživatelem k virtuálnímu počítači Azure nebo škálovací sadě virtuálních počítačů pomocí curl, najdete tady:
- Konfigurace spravovaných identit pro prostředky Azure na virtuálním počítači Azure pomocí volání rozhraní REST API
- Konfigurace spravovaných identit pro prostředky Azure ve škálovací sadě virtuálních počítačů pomocí volání rozhraní REST API
Naučte se používat federaci identit úloh pro spravované identity pro přístup k prostředkům chráněným službou Azure Active Directory (Azure AD) bez správy tajných kódů.