Přiřazení přístupu spravované identity k prostředku pomocí Azure CLI

Spravované identity pro prostředky Azure jsou funkcí služby Azure Active Directory. Každá ze služeb Azure, které podporují spravované identity pro prostředky Azure, se řídí vlastní časovou osou. Než začnete, nezapomeňte zkontrolovat stav dostupnosti spravovaných identit pro váš prostředek a známé problémy.

Jakmile nakonfigurujete prostředek Azure se spravovanou identitou, můžete spravované identitě udělit přístup k jinému prostředku stejně jako k jakémukoli objektu zabezpečení. Tento příklad ukazuje, jak udělit spravované identitě virtuálního počítače Azure nebo škálovací sady virtuálních počítačů přístup k účtu úložiště Azure pomocí Azure CLI.

Pokud ještě nemáte účet Azure, zaregistrujte si bezplatný účet před tím, než budete pokračovat.

Požadavky

  • Použijte prostředí Bash v Azure Cloud Shell. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shell.

  • Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Spuštění Azure CLI v kontejneru Dockeru.

    • Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.

    • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.

    • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

Použití Azure RBAC k přiřazení přístupu spravované identitě k jinému prostředku

Po povolení spravované identity v prostředku Azure, jako je virtuální počítač Azure nebo škálovací sada virtuálních počítačů Azure:

  1. V tomto příkladu poskytujeme virtuálnímu počítači Azure přístup k účtu úložiště. Nejprve pomocí příkazu az resource list získáte instanční objekt pro virtuální počítač myVM:

    spID=$(az resource list -n myVM --query [*].identity.principalId --out tsv)
    

    Pro škálovací sadu virtuálních počítačů Azure je příkaz stejný, ale tady získáte instanční objekt pro škálovací sadu virtuálních počítačů s názvem DevTestVMSS:

    spID=$(az resource list -n DevTestVMSS --query [*].identity.principalId --out tsv)
    
  2. Jakmile budete mít ID instančního objektu, pomocí příkazu az role assignment create udělte virtuálnímu počítači nebo škálovací sadě virtuálních počítačů přístup k účtu úložiště myStorageAcct:

    az role assignment create --assignee $spID --role 'Reader' --scope /subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/myStorageAcct
    

Další kroky