Konfigurieren von verwalteten Identitäten für Azure-Ressourcen auf einem virtuellen Azure-Computer mithilfe von Vorlagen
Verwaltete Identitäten für Azure-Ressourcen ist eine Funktion von Microsoft Entra ID. Für alle Azure-Dienste, die verwaltete Identitäten unterstützen, gilt ein eigener Zeitplan. Sehen Sie sich den Verfügbarkeitsstatus der verwalteten Identitäten für Ihre Ressource und die bekannten Probleme an, bevor Sie beginnen.
Verwaltete Identitäten für Azure-Ressourcen stellen für Azure-Dienste eine automatisch verwaltete Identität in Microsoft Entra ID bereit. Sie können diese Identität für die Authentifizierung bei jedem Dienst verwenden, der die Microsoft Entra-Authentifizierung unterstützt. Hierfür müssen keine Anmeldeinformationen im Code enthalten sein.
In diesem Artikel erfahren Sie, wie Sie mithilfe der Azure Resource Manager-Bereitstellungsvorlage die folgenden Vorgänge für verwaltete Identitäten für Azure-Ressourcen auf einer Azure-VM ausführen können:
Voraussetzungen
- Wenn Sie nicht mit der Verwendung der Azure Resource Manager-Bereitstellungsvorlage vertraut sind, sehen Sie sich die Übersicht an. Machen Sie sich den Unterschied zwischen einer vom System und einer vom Benutzer zugewiesenen verwalteten Identität bewusst.
- Wenn Sie noch kein Azure-Konto haben, sollten Sie sich für ein kostenloses Konto registrieren, bevor Sie fortfahren.
Azure-Ressourcen-Manager-Vorlagen
Wie beim Azure-Portal und der Skripterstellung bieten Azure Resource Manager-Vorlagen die Möglichkeit, von einer Azure-Ressourcengruppe definierte neue bzw. geänderte Ressourcen bereitzustellen. Für die Vorlagenbearbeitung und -bereitstellung sind mehrere Optionen sowohl lokal als auch portalbasiert verfügbar, einschließlich:
- Verwenden einer benutzerdefinierten Vorlage aus Azure Marketplace. Dies ermöglicht Ihnen, eine ganz neue Vorlage zu erstellen oder eine Vorlage zu verwenden, die auf einer vorhandenen, häufig genutzten Vorlage oder einer Schnellstartvorlage basiert.
- Ableiten von einer vorhandenen Ressourcengruppe, indem eine Vorlage aus der ursprünglichen Bereitstellung oder aus dem aktuellen Status der Bereitstellung exportiert wird.
- Verwenden eines lokalen JSON-Editors (z.B. VS Code) und anschließendes Hochladen und Bereitstellen mithilfe von PowerShell oder CLI.
- Verwenden des Azure-Ressourcengruppenprojekts von Visual Studio für das Erstellen und Bereitstellen einer Vorlage.
Unabhängig von der gewählten Option ist die Vorlagensyntax während der ursprünglichen und erneuten Bereitstellung identisch. Die Aktivierung einer vom System oder vom Benutzer zugewiesenen verwalteten Identität auf einer neuen oder vorhandenen VM erfolgt auf dieselbe Weise. Standardmäßig führt Azure Resource Manager außerdem ein inkrementelles Update für Bereitstellungen durch.
Systemseitig zugewiesene verwaltete Identität
In diesem Abschnitt aktivieren und deaktivieren Sie eine vom System zugewiesene verwaltete Identität mithilfe einer Azure Resource Manager-Vorlage.
Aktivieren einer vom System zugewiesenen verwalteten Identität beim Erstellen einer Azure-VM oder für eine vorhandene VM
Zum Aktivieren der systemseitig zugewiesenen verwalteten Identität auf einem virtuellen Computer benötigt Ihr Konto die Rollenzuweisung Mitwirkender für virtuelle Computer. Es sind keine anderen Microsoft Entra-Verzeichnisrollenzuweisungen erforderlich.
Verwenden Sie unabhängig davon, ob Sie sich bei Azure lokal oder über das Azure-Portal anmelden, ein Konto, das dem Azure-Abonnement zugeordnet ist, das den virtuellen Computer enthält.
Um die vom System zugewiesene verwaltete Identität zu aktivieren, laden Sie die Vorlage in einem Editor, suchen Sie die gewünschte Ressource
Microsoft.Compute/virtualMachinesim Abschnittresources, und fügen Sie die"identity"-Eigenschaft in der gleichen Ebene wie die"type": "Microsoft.Compute/virtualMachines"-Eigenschaft hinzu. Verwenden Sie die folgende Syntax:"identity": { "type": "SystemAssigned" },Wenn Sie fertig sind, sollten die folgenden Abschnitte dem Abschnitt
resourceder Vorlage hinzugefügt worden sein. Diese sollte wie folgt aussehen:"resources": [ { //other resource provider properties... "apiVersion": "2018-06-01", "type": "Microsoft.Compute/virtualMachines", "name": "[variables('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "SystemAssigned", } } ]
Zuweisen einer Rolle zur vom System zugewiesenen verwalteten Identität der VM
Nachdem Sie die Option für eine vom System zugewiesene verwaltete Identität auf Ihrer VM aktiviert haben, möchten Sie der Identität möglicherweise eine Rolle wie Leser für die Ressourcengruppe gewähren, in der sie erstellt wurde. Ausführliche Informationen zu diesem Schritt finden Sie im Artikel Zuweisen von Azure-Rollen mit Azure Resource Manager-Vorlagen.
Deaktivieren einer vom System zugewiesenen verwalteten Identität auf einer Azure-VM
Zum Entfernen der systemseitig zugewiesenen verwalteten Identität von einem virtuellen Computer benötigt Ihr Konto die Rollenzuweisung Mitwirkender für virtuelle Computer. Es sind keine anderen Microsoft Entra-Verzeichnisrollenzuweisungen erforderlich.
Verwenden Sie unabhängig davon, ob Sie sich bei Azure lokal oder über das Azure-Portal anmelden, ein Konto, das dem Azure-Abonnement zugeordnet ist, das den virtuellen Computer enthält.
Laden Sie die Vorlage in einen Editor, und suchen Sie nach der gewünschten
Microsoft.Compute/virtualMachines-Ressource im Abschnittresources. Wenn Ihre VM nur über eine vom System zugewiesene verwaltete Identität verfügt, können Sie diese deaktivieren, indem Sie den Identitätstyp inNoneändern.Microsoft.Compute/virtualMachines-API, Version 2018-06-01
Wenn Ihre VM sowohl vom System als auch vom Benutzer zugewiesene verwaltete Identitäten enthält, entfernen Sie
SystemAssignedaus dem Identitätstyp und behaltenUserAssignedzusammen mit denuserAssignedIdentities-Wörterbuchwerten bei.Microsoft.Compute/virtualMachines-API, Version 2018-06-01
Wenn
2017-12-01alsapiVersionverwendet wird und Ihre VM sowohl vom System als auch vom Benutzer zugewiesene verwaltete Identitäten enthält, entfernen SieSystemAssignedaus dem Identitätstyp und behaltenUserAssignedzusammen mit demidentityIds-Array der vom Benutzer zugewiesenen verwalteten Identitäten bei.
Das folgende Beispiel zeigt, wie Sie eine vom System zugewiesene verwaltete Identität von einem virtuellen Computer ohne vom Benutzer zugewiesene verwaltete Identitäten entfernen:
{
"apiVersion": "2018-06-01",
"type": "Microsoft.Compute/virtualMachines",
"name": "[parameters('vmName')]",
"location": "[resourceGroup().location]",
"identity": {
"type": "None"
}
}
Benutzerseitig zugewiesene verwaltete Identität
In diesem Abschnitt weisen Sie einer Azure-VM mit der Azure Resource Manager-Vorlage eine vom Benutzer zugewiesene verwaltete Identität zu.
Hinweis
Weitere Informationen zum Erstellen einer vom Benutzer zugewiesenen verwalteten Identität mit einer Azure Resource Manager-Vorlage finden Sie unter Erstellen einer vom Benutzer zugewiesenen verwalteten Identität.
Zuweisen einer vom Benutzer zugewiesenen verwalteten Identität zu einem virtuellen Azure-Computer
Für die Zuweisung einer benutzerseitig zugewiesenen Identität zu einem virtuellen Computer benötigt Ihr Konto die Rollenzuweisung Operator für verwaltete Identität. Es sind keine anderen Microsoft Entra-Verzeichnisrollenzuweisungen erforderlich.
Fügen Sie unter dem
resources-Element den folgenden Eintrag hinzu, um Ihrer VM eine vom Benutzer zugewiesene verwaltete Identität zuzuweisen. Achten Sie darauf, dass Sie<USERASSIGNEDIDENTITY>durch den Namen der vom Benutzer zugewiesenen verwalteten Identität ersetzen, die Sie erstellt haben.Microsoft.Compute/virtualMachines-API, Version 2018-06-01
Wenn
2018-06-01alsapiVersionverwendet wird, werden die vom Benutzer zugewiesenen verwalteten Identitäten imuserAssignedIdentities-Wörterbuchformat gespeichert, und der Wert<USERASSIGNEDIDENTITYNAME>muss in einer im Abschnittvariablesder Vorlage definierten Variable gespeichert werden.{ "apiVersion": "2018-06-01", "type": "Microsoft.Compute/virtualMachines", "name": "[variables('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "userAssigned", "userAssignedIdentities": { "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {} } } }Microsoft.Compute/virtualMachines-API, Version 2017-12-01
Wenn
2017-12-01alsapiVersionverwendet wird, werden die vom Benutzer zugewiesenen verwalteten Identitäten imidentityIds-Array gespeichert, und der Wert<USERASSIGNEDIDENTITYNAME>muss in einer im Abschnittvariablesder Vorlage definierten Variable gespeichert werden.{ "apiVersion": "2017-12-01", "type": "Microsoft.Compute/virtualMachines", "name": "[variables('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "userAssigned", "identityIds": [ "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]" ] } }Wenn Sie fertig sind, sollten die folgenden Abschnitte dem Abschnitt
resourceder Vorlage hinzugefügt worden sein. Diese sollte wie folgt aussehen:Microsoft.Compute/virtualMachines-API, Version 2018-06-01
"resources": [ { //other resource provider properties... "apiVersion": "2018-06-01", "type": "Microsoft.Compute/virtualMachines", "name": "[variables('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "userAssigned", "userAssignedIdentities": { "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {} } } } ]Microsoft.Compute/virtualMachines-API, Version 2017-12-01
"resources": [ { //other resource provider properties... "apiVersion": "2017-12-01", "type": "Microsoft.Compute/virtualMachines", "name": "[variables('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "userAssigned", "identityIds": [ "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]" ] } } ]
Entfernen einer vom Benutzer zugewiesenen verwalteten Identität von einer Azure-VM
Für das Entfernen einer benutzerseitig zugewiesenen Identität von einem virtuellen Computer benötigt Ihr Konto die Rollenzuweisung Mitwirkender für virtuelle Computer. Es sind keine anderen Microsoft Entra-Verzeichnisrollenzuweisungen erforderlich.
Verwenden Sie unabhängig davon, ob Sie sich bei Azure lokal oder über das Azure-Portal anmelden, ein Konto, das dem Azure-Abonnement zugeordnet ist, das den virtuellen Computer enthält.
Laden Sie die Vorlage in einen Editor, und suchen Sie nach der gewünschten
Microsoft.Compute/virtualMachines-Ressource im Abschnittresources. Wenn Ihr virtueller Computer nur über eine benutzerseitig zugewiesene verwaltete Identität verfügt, können Sie diese deaktivieren, indem Sie den Identitätstyp inNoneändern.Das folgende Beispiel zeigt, wie Sie alle vom Benutzer zugewiesenen verwalteten Identitäten von einem virtuellen Computer ohne vom System zugewiesene verwaltete Identitäten entfernen:
{ "apiVersion": "2018-06-01", "type": "Microsoft.Compute/virtualMachines", "name": "[parameters('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "None" }, }Microsoft.Compute/virtualMachines-API, Version 2018-06-01
Um eine einzelne vom Benutzer zugewiesene verwaltete Identität von einem virtuellen Computer zu entfernen, entfernen Sie diese aus dem
useraAssignedIdentities-Wörterbuch.Wenn Sie eine vom System zugewiesene verwaltete Identität verwenden, behalten Sie den Wert
typeunter dem Wertidentitybei.Microsoft.Compute/virtualMachines-API, Version 2017-12-01
Um eine einzelne benutzerseitig zugewiesene verwaltete Identität von einem virtuellen Computer zu entfernen, entfernen Sie diese aus dem
identityIds-Array.Wenn Sie eine vom System zugewiesene verwaltete Identität verwenden, behalten Sie den Wert
typeunter dem Wertidentitybei.