Správa spravovaných identit přiřazených uživatelem

Spravované identity pro prostředky Azure eliminují potřebu správy přihlašovacích údajů v kódu. Můžete je použít k získání tokenu Azure Active Directory (Azure AD) pro vaše aplikace. Aplikace můžou token používat při přístupu k prostředkům, které podporují ověřování Azure AD. Azure spravuje identitu, takže nemusíte.

Existují dva typy spravovaných identit: přiřazené systémem a uživatelem. Spravované identity přiřazené systémem mají svůj životní cyklus svázaný s prostředkem, který je vytvořil. Spravované identity přiřazené uživatelem je možné použít pro více prostředků. Další informace o spravovaných identitách najdete v tématu Co jsou spravované identity pro prostředky Azure.

V tomto článku se dozvíte, jak vytvořit, vypsat, odstranit nebo přiřadit roli spravované identitě přiřazené uživatelem pomocí Azure Portal.

Požadavky

Vytvoření spravované identity přiřazené uživatelem

Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity .

  1. Přihlaste se k webu Azure Portal.

  2. Do vyhledávacího pole zadejte Spravované identity. V části Služby vyberte Spravované identity.

  3. Vyberte Přidat a zadejte hodnoty do následujících polí v podokně Vytvořit spravovanou identitu přiřazenou uživatelem :

    • Předplatné: Zvolte předplatné, ve které chcete vytvořit spravovanou identitu přiřazenou uživatelem.
    • Skupina prostředků: Zvolte skupinu prostředků, ve které chcete vytvořit spravovanou identitu přiřazenou uživatelem, nebo vyberte Vytvořit novou a vytvořte novou skupinu prostředků.
    • Oblast: Zvolte oblast pro nasazení spravované identity přiřazené uživatelem, například USA – západ.
    • Název: Zadejte název spravované identity přiřazené uživatelem, například UAI1.

    Důležité

    Při vytváření spravovaných identit přiřazených uživatelem se podporují pouze alfanumerické znaky (0-9, a-z a A-Z) a spojovník (-). Aby přiřazení k virtuálnímu počítači nebo škálovací sadě virtuálních počítačů fungovalo správně, je název omezen na 24 znaků. Další informace najdete v tématu Nejčastější dotazy a známé problémy.

    Snímek obrazovky s podoknem Vytvořit spravovanou identitu přiřazenou uživatelem

  4. Vyberte Zkontrolovat a vytvořit a zkontrolujte změny.

  5. Vyberte Vytvořit.

Výpis spravovaných identit přiřazených uživatelem

Pokud chcete zobrazit nebo přečíst spravovanou identitu přiřazenou uživatelem, musí mít váš účet přiřazenou roli Operátor spravované identity nebo Přispěvatel spravované identity .

  1. Přihlaste se k webu Azure Portal.

  2. Do vyhledávacího pole zadejte Spravované identity. V části Služby vyberte Spravované identity.

  3. Vrátí se seznam spravovaných identit přiřazených uživatelem pro vaše předplatné. Pokud chcete zobrazit podrobnosti o spravované identitě přiřazené uživatelem, vyberte její název.

  4. Teď můžete zobrazit podrobnosti o spravované identitě, jak je znázorněno na následujícím obrázku.

    Snímek obrazovky se seznamem spravované identity přiřazené uživatelem

Odstranění spravované identity přiřazené uživatelem

Pokud chcete odstranit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity .

Odstraněním identity přiřazené uživatelem se neodebere z virtuálního počítače nebo prostředku, ke kterému byla přiřazena. Pokud chcete z virtuálního počítače odebrat identitu přiřazenou uživatelem, přečtěte si téma Odebrání spravované identity přiřazené uživatelem z virtuálního počítače.

  1. Přihlaste se k webu Azure Portal.

  2. Vyberte spravovanou identitu přiřazenou uživatelem a vyberte Odstranit.

  3. Pod potvrzovací polem vyberte Ano.

    Snímek obrazovky znázorňující odstranění spravovaných identit přiřazených uživatelem

Správa přístupu ke spravovaným identitám přiřazeným uživatelem

V některých prostředích se správci rozhodnou omezit, kdo může spravovat spravované identity přiřazené uživatelem. Provedete to pomocí předdefinovaných rolí RBAC. Pomocí těchto rolí můžete uživateli nebo skupině ve vaší organizaci udělit práva ke spravované identitě přiřazené uživatelem.

  1. Přihlaste se k webu Azure Portal.

  2. Do vyhledávacího pole zadejte Spravované identity. V části Služby vyberte Spravované identity.

  3. Vrátí se seznam spravovaných identit přiřazených uživatelem pro vaše předplatné. Vyberte spravovanou identitu přiřazenou uživatelem, kterou chcete spravovat.

  4. Vyberte Řízení přístupu (IAM) .

  5. Zvolte Přidat přiřazení role.

    Snímek obrazovky s obrazovkou řízení přístupu ke spravované identitě přiřazené uživatelem

  6. V podokně Přidat přiřazení role zvolte roli, která se má přiřadit, a zvolte Další.

  7. Zvolte, kdo má mít přiřazenou roli.

Poznámka

Informace o přiřazování rolí spravovaným identitám najdete v tématu Přiřazení přístupu spravované identity k prostředku pomocí Azure Portal

V tomto článku se dozvíte, jak vytvořit, vypsat, odstranit nebo přiřadit roli spravované identitě přiřazené uživatelem pomocí Azure CLI.

Požadavky

Důležité

Pokud chcete upravit uživatelská oprávnění při použití instančního objektu aplikace pomocí rozhraní příkazového řádku, musíte instančnímu objektu poskytnout další oprávnění v Graph API Azure Active Directory, protože části rozhraní příkazového řádku provádějí požadavky GET na Graph API. V opačném případě se může zobrazit zpráva "Nedostatečná oprávnění k dokončení operace". Pokud chcete tento krok provést, přejděte do části Registrace aplikace v Azure AD, vyberte aplikaci, vyberte oprávnění rozhraní API a posuňte se dolů a vyberte Azure Active Directory Graph. Pak vyberte Oprávnění aplikace a pak přidejte příslušná oprávnění.

Vytvoření spravované identity přiřazené uživatelem

Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity .

Pomocí příkazu az identity create vytvořte spravovanou identitu přiřazenou uživatelem. Parametr -g určuje skupinu prostředků, ve které se má vytvořit spravovaná identita přiřazená uživatelem. Parametr -n určuje jeho název. <RESOURCE GROUP> Hodnoty parametrů a <USER ASSIGNED IDENTITY NAME> nahraďte vlastními hodnotami.

Důležité

Při vytváření spravovaných identit přiřazených uživatelem se podporují pouze alfanumerické znaky (0-9, a-z a A-Z) a spojovník (-). Aby přiřazení k virtuálnímu počítači nebo škálovací sadě virtuálních počítačů fungovalo správně, je název omezen na 24 znaků. Další informace najdete v tématu Nejčastější dotazy a známé problémy.

az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>

Výpis spravovaných identit přiřazených uživatelem

K výpisu nebo čtení spravované identity přiřazené uživatelem potřebuje váš účet přiřazení role Operátor spravované identity nebo Přispěvatel spravovaných identit .

Pokud chcete zobrazit seznam spravovaných identit přiřazených uživatelem, použijte příkaz az identity list . <RESOURCE GROUP> Nahraďte hodnotu vlastní hodnotou.

az identity list -g <RESOURCE GROUP>

V odpovědi JSON mají spravované identity přiřazené uživatelem hodnotu vrácenou "Microsoft.ManagedIdentity/userAssignedIdentities" pro klíč type.

"type": "Microsoft.ManagedIdentity/userAssignedIdentities"

Odstranění spravované identity přiřazené uživatelem

Pokud chcete odstranit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity .

Pokud chcete odstranit spravovanou identitu přiřazenou uživatelem, použijte příkaz az identity delete . Parametr -n určuje jeho název. Parametr -g určuje skupinu prostředků, ve které se vytvořila spravovaná identita přiřazená uživatelem. <USER ASSIGNED IDENTITY NAME> Hodnoty parametrů a <RESOURCE GROUP> nahraďte vlastními hodnotami.

az identity delete -n <USER ASSIGNED IDENTITY NAME> -g <RESOURCE GROUP>

Poznámka

Odstraněním spravované identity přiřazené uživatelem neodeberete odkaz z žádného prostředku, ke kterému byla přiřazena. Odeberte je ze škálovací sady virtuálních počítačů nebo virtuálních az vm/vmss identity remove počítačů pomocí příkazu .

Další kroky

Úplný seznam příkazů identit Azure CLI najdete v tématu az identity.

Informace o tom, jak přiřadit spravovanou identitu přiřazenou uživatelem k virtuálnímu počítači Azure, najdete v tématu Konfigurace spravovaných identit pro prostředky Azure na virtuálním počítači Azure pomocí Azure CLI.

Naučte se používat federaci identit úloh pro spravované identity pro přístup k prostředkům chráněným službou Azure Active Directory (Azure AD) bez správy tajných kódů.

V tomto článku se dozvíte, jak vytvořit, vypsat, odstranit nebo přiřadit roli spravované identitě přiřazené uživatelem pomocí PowerShellu.

Požadavky

V tomto článku se dozvíte, jak vytvořit, vypsat a odstranit spravovanou identitu přiřazenou uživatelem pomocí PowerShellu.

Místní konfigurace Azure PowerShell

Pokud chcete místo použití Cloud Shell použít Azure PowerShell místně:

  1. Nainstalujte si nejnovější verzi Azure PowerShell, pokud jste to ještě neudělali.

  2. Přihlaste se k Azure.

    Connect-AzAccount
    
  3. Nainstalujte nejnovější verzi modulu PowerShellGet.

    Install-Module -Name PowerShellGet -AllowPrerelease
    

    Po spuštění tohoto příkazu pro další krok možná budete muset Exit odhlásit aktuální relaci PowerShellu.

  4. Nainstalujte předběžnou verzi Az.ManagedServiceIdentity modulu a proveďte operace spravované identity přiřazené uživatelem v tomto článku.

    Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
    

Vytvoření spravované identity přiřazené uživatelem

Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity .

Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem, použijte příkaz New-AzUserAssignedIdentity . Parametr ResourceGroupName určuje skupinu prostředků, ve které se má vytvořit spravovaná identita přiřazená uživatelem. Parametr -Name určuje jeho název. <RESOURCE GROUP> Hodnoty parametrů a <USER ASSIGNED IDENTITY NAME> nahraďte vlastními hodnotami.

Důležité

Při vytváření spravovaných identit přiřazených uživatelem se podporují pouze alfanumerické znaky (0-9, a-z a A-Z) a spojovník (-). Aby přiřazení k virtuálnímu počítači nebo škálovací sadě virtuálních počítačů fungovalo správně, je název omezen na 24 znaků. Další informace najdete v tématu Nejčastější dotazy a známé problémy.

New-AzUserAssignedIdentity -ResourceGroupName <RESOURCEGROUP> -Name <USER ASSIGNED IDENTITY NAME>

Výpis spravovaných identit přiřazených uživatelem

K výpisu nebo čtení spravované identity přiřazené uživatelem potřebuje váš účet přiřazení role Operátor spravované identity nebo Přispěvatel spravovaných identit .

Pokud chcete zobrazit seznam spravovaných identit přiřazených uživatelem, použijte příkaz [Get-AzUserAssigned]. Parametr -ResourceGroupName určuje skupinu prostředků, ve které se vytvořila spravovaná identita přiřazená uživatelem. <RESOURCE GROUP> Nahraďte hodnotu vlastní hodnotou.

Get-AzUserAssignedIdentity -ResourceGroupName <RESOURCE GROUP>

V odpovědi mají spravované identity přiřazené uživatelem hodnotu vrácenou "Microsoft.ManagedIdentity/userAssignedIdentities" pro klíč Type.

Type :Microsoft.ManagedIdentity/userAssignedIdentities

Odstranění spravované identity přiřazené uživatelem

Pokud chcete odstranit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity .

Pokud chcete odstranit spravovanou identitu přiřazenou uživatelem, použijte příkaz Remove-AzUserAssignedIdentity . Parametr -ResourceGroupName určuje skupinu prostředků, ve které se vytvořila identita přiřazená uživatelem. Parametr -Name určuje jeho název. <RESOURCE GROUP> Hodnoty parametrů a <USER ASSIGNED IDENTITY NAME> nahraďte vlastními hodnotami.

Remove-AzUserAssignedIdentity -ResourceGroupName <RESOURCE GROUP> -Name <USER ASSIGNED IDENTITY NAME>

Poznámka

Odstraněním spravované identity přiřazené uživatelem neodeberete odkaz z žádného prostředku, ke kterému byla přiřazena. Přiřazení identit se musí odebrat samostatně.

Další kroky

Úplný seznam a další podrobnosti o Azure PowerShell spravovaných identitách pro příkazy prostředků Azure najdete v tématu Az.ManagedServiceIdentity.

Naučte se používat federaci identit úloh pro spravované identity pro přístup k prostředkům chráněným službou Azure Active Directory (Azure AD) bez správy tajných kódů.

V tomto článku vytvoříte spravovanou identitu přiřazenou uživatelem pomocí Azure Resource Manager.

Požadavky

Pomocí šablony Resource Manager nemůžete vypsat a odstranit spravovanou identitu přiřazenou uživatelem. V následujících článcích najdete informace o vytvoření a výpisu spravované identity přiřazené uživatelem:

Vytváření a úpravy šablon

Resource Manager šablony vám pomůžou nasadit nové nebo upravené prostředky definované skupinou prostředků Azure. Pro úpravy a nasazení šablon je k dispozici několik možností, a to jak místních, tak na portálu. Můžete:

Vytvoření spravované identity přiřazené uživatelem

Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity .

Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem, použijte následující šablonu. <USER ASSIGNED IDENTITY NAME> Nahraďte hodnotu vlastními hodnotami.

Důležité

Při vytváření spravovaných identit přiřazených uživatelem se podporují pouze alfanumerické znaky (0-9, a-z a A-Z) a spojovník (-). Aby přiřazení k virtuálnímu počítači nebo škálovací sadě virtuálních počítačů fungovalo správně, je název omezen na 24 znaků. Další informace najdete v tématu Nejčastější dotazy a známé problémy.

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "resourceName": {
          "type": "string",
          "metadata": {
            "description": "<USER ASSIGNED IDENTITY NAME>"
          }
        }
  },
  "resources": [
    {
      "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
      "name": "[parameters('resourceName')]",
      "apiVersion": "2018-11-30",
      "location": "[resourceGroup().location]"
    }
  ],
  "outputs": {
      "identityName": {
          "type": "string",
          "value": "[parameters('resourceName')]"
      }
  }
}

Další kroky

Pokud chcete přiřadit spravovanou identitu přiřazenou uživatelem k virtuálnímu počítači Azure pomocí šablony Resource Manager, přečtěte si téma Konfigurace spravovaných identit pro prostředky Azure na virtuálním počítači Azure pomocí šablony.

Naučte se používat federaci identit úloh pro spravované identity pro přístup k prostředkům chráněným službou Azure Active Directory (Azure AD) bez správy tajných kódů.

V tomto článku se dozvíte, jak vytvořit, vypsat a odstranit spravovanou identitu přiřazenou uživatelem pomocí rest.

Požadavky

V tomto článku se dozvíte, jak vytvořit, vypsat a odstranit spravovanou identitu přiřazenou uživatelem pomocí curl k volání rozhraní REST API.

Získání nosný přístupový token

  1. Pokud používáte místně, přihlaste se k Azure přes Azure CLI.

    az login
    
  2. Získejte přístupový token pomocí příkazu az account get-access-token.

    az account get-access-token
    

Vytvoření spravované identity přiřazené uživatelem

Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity .

Důležité

Při vytváření spravovaných identit přiřazených uživatelem se podporují pouze alfanumerické znaky (0-9, a-z a A-Z) a spojovník (-). Aby přiřazení k virtuálnímu počítači nebo škálovací sadě virtuálních počítačů fungovalo správně, je název omezen na 24 znaků. Další informace najdete v tématu Nejčastější dotazy a známé problémy.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview' -X PUT -d '{"loc
ation": "<LOCATION>"}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"
PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview HTTP/1.1

Hlavičky požadavků

Hlavička požadavku Popis
Typ obsahu Povinná hodnota. Nastavte na application/json.
Autorizace Povinná hodnota. Nastavte na platný Bearer přístupový token.

Text požadavku

Název Description
Umístění Povinná hodnota. Umístění prostředku.

Výpis spravovaných identit přiřazených uživatelem

K výpisu nebo čtení spravované identity přiřazené uživatelem potřebuje váš účet přiřazení role Operátor spravované identity nebo Přispěvatel spravovaných identit .

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities?api-version=2015-08-31-preview' -H "Authorization: Bearer <ACCESS TOKEN>"
GET https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities?api-version=2015-08-31-preview HTTP/1.1
Hlavička požadavku Popis
Typ obsahu Povinná hodnota. Nastavte na application/json.
Autorizace Povinná hodnota. Nastavte na platný Bearer přístupový token.

Odstranění spravované identity přiřazené uživatelem

Pokud chcete odstranit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity .

Poznámka

Odstraněním spravované identity přiřazené uživatelem neodeberete odkaz z žádného prostředku, ke kterému byla přiřazena. Pokud chcete odebrat spravovanou identitu přiřazenou uživatelem z virtuálního počítače pomocí curl, přečtěte si téma Odebrání identity přiřazené uživatelem z virtuálního počítače Azure.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview' -X DELETE -H "Authorization: Bearer <ACCESS TOKEN>"
DELETE https://management.azure.com/subscriptions/80c696ff-5efa-4909-a64d-f1b616f423ca/resourceGroups/TestRG/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview HTTP/1.1
Hlavička požadavku Popis
Typ obsahu Povinná hodnota. Nastavte na application/json.
Autorizace Povinná hodnota. Nastavte na platný Bearer přístupový token.

Další kroky

Informace o tom, jak přiřadit spravovanou identitu přiřazenou uživatelem k virtuálnímu počítači Azure nebo škálovací sadě virtuálních počítačů pomocí curl, najdete tady:

Naučte se používat federaci identit úloh pro spravované identity pro přístup k prostředkům chráněným službou Azure Active Directory (Azure AD) bez správy tajných kódů.