Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las identidades administradas para los recursos de Azure eliminan la necesidad de administrar las credenciales en el código. Puede usarlos para obtener un token de Microsoft Entra para las aplicaciones. Las aplicaciones pueden utilizar el token cuando accedan a recursos que soporten la autenticación Microsoft Entra. Azure administra la identidad para que usted no tenga que hacerlo.
Hay dos tipos de identidades administradas: asignadas por el sistema y asignadas por el usuario. Las identidades administradas asignadas por el sistema tienen su ciclo de vida vinculado al recurso que las creó. Esta identidad está restringida a un único recurso y puede conceder permisos a la identidad administrada mediante el control de acceso basado en roles (RBAC) de Azure. Las identidades administradas asignadas por el usuario se pueden usar en varios recursos.
En este artículo obtendrá información sobre cómo usar la CLI de Azure para crear y eliminar una identidad administrada asignada por el usuario, obtener una lista de sus identidades, y concederles un rol.
Prerrequisitos
- Si no está familiarizado con las identidades administradas de los recursos de Azure, consulte la sección de introducción. No olvide revisar la diferencia entre una identidad administrada asignada por el sistema y una identidad administrada asignada por el usuario .
- Si aún no tiene una, regístrese para obtener una cuenta gratuita de Azure antes de continuar.
Preparación del entorno
Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Introducción a Azure Cloud Shell.
Si prefieres ejecutar comandos de referencia CLI localmente, instala la CLI de Azure. Si estás utilizando Windows o macOS, considera ejecutar Azure CLI en un contenedor Docker. Para obtener más información, consulte Cómo ejecutar el Azure CLI en un contenedor de Docker.
Si estás utilizando una instalación local, inicia sesión en Azure CLI utilizando el comando az login. Siga los pasos que se muestran en el terminal para completar el proceso de autenticación. Para ver otras opciones de inicio de sesión, consulte Autenticación en Azure mediante la CLI de Azure.
En caso de que se le solicite, instale las extensiones de la CLI de Azure la primera vez que la use. Para obtener más información sobre las extensiones, consulte Uso y administración de extensiones con la CLI de Azure.
Ejecute az version para ver la versión y las bibliotecas dependientes que están instaladas. Para actualizar a la versión más reciente, ejecute az upgrade.
Con el fin de modificar los permisos de usuario al usar una entidad de servicio de aplicación mediante la CLI, debe proporcionar más permisos a la entidad de servicio en Graph API de Azure Active Directory, ya que partes de la CLI realizan solicitudes GET a Graph API. De lo contrario, puede acabar recibiendo el mensaje "No tiene privilegios suficientes para completar la operación".
Para realizar este paso,
- Vaya al registro de aplicaciones en Microsoft Entra ID, seleccione la aplicación, seleccione Permisos de API y desplácese hacia abajo y seleccione Azure Active Directory Graph.
- Seleccione Permisos de aplicación y agregue los permisos adecuados.
Creación de una identidad administrada asignada por el usuario
Para crear una identidad administrada asignada por el usuario, la cuenta requiere la asignación del rol Colaborador de identidades administradas.
Utilice el comando
az identity createpara crear una identidad administrada asignada al usuario. El parámetro-gespecifica el grupo de recursos donde se debe crear la identidad administrada asignada por el usuario. El parámetro-nespecifica su nombre.Reemplace los valores de parámetro
<RESOURCE GROUP>y<USER ASSIGNED IDENTITY NAME>por sus propios valores.Importante
Al crear identidades administradas asignadas por el usuario, el nombre debe comenzar con una letra o un número, y puede incluir una combinación de caracteres alfanuméricos, guiones (-) y guiones bajos (_). Para que la asignación a una máquina virtual o un conjunto de escalado de máquinas virtuales funcione correctamente, el nombre está limitado a 24 caracteres. Para más información, consulte Preguntas más frecuentes y problemas conocidos.
az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>
Enumerar identidades administradas asignadas por el usuario
Para visualizar o leer una identidad administrada asignada por el usuario, es necesario que se asignen a su cuenta los roles Operador de identidades administradas o Colaborador de identidades administradas.
Para enumerar identidades administradas asignadas por el usuario, use el az identity list comando . Reemplace el valor <RESOURCE GROUP> por su propio valor.
az identity list -g <RESOURCE GROUP>
En la respuesta JSON, las identidades administradas asignadas por el usuario obtienen el valor "Microsoft.ManagedIdentity/userAssignedIdentities" para la clave type.
"type": "Microsoft.ManagedIdentity/userAssignedIdentities"
Eliminar una identidad administrada asignada por el usuario
Para eliminar una identidad administrada asignada por el usuario, la cuenta requiere la asignación del rol Colaborador de identidades administradas.
Para eliminar una identidad administrada asignada por el usuario,
Usa el comando
az identity delete. El parámetro-nespecifica su nombre. El parámetro-gespecifica el grupo de recursos donde se creó la identidad administrada asignada por el usuario.Reemplace los valores de parámetro
<USER ASSIGNED IDENTITY NAME>y<RESOURCE GROUP>por sus propios valores.az identity delete -n <USER ASSIGNED IDENTITY NAME> -g <RESOURCE GROUP>Al eliminar una identidad administrada asignada por el usuario, no se eliminará la referencia de ningún recurso al que se haya asignado. Elimine esos del recurso en sí. Por ejemplo, para una máquina virtual o un conjunto de escalado de máquinas virtuales, use el
az vm/vmss identity removecomando .
Contenido relacionado
Para obtener una lista completa de comandos de identidad de la CLI de Azure, consulte az identity.