Affecter à une identité managée l’accès à une ressource à l’aide de PowerShell

Les identités managées pour les ressources Azure sont une fonctionnalité de Microsoft Entra ID. Les services Azure prenant en charge les identités managées pour ressources Azure sont soumis à leur propre chronologie. Assurez-vous de passer en revue l’état Disponibilité des identités gérées pour votre ressource et les problèmes connus avant de commencer.

Après avoir configuré une ressource Azure avec une identité managée, vous pouvez accorder à cette dernière un accès à une autre ressource, tout comme n’importe quel principal de sécurité. Cet exemple montre comment accorder à l’identité managée d’une machine virtuelle Azure l’accès à un compte de stockage Azure, à l’aide de PowerShell.

Notes

Nous vous recommandons d’utiliser le module Azure Az PowerShell pour interagir avec Azure. Pour commencer, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.

Prérequis

• Si vous n’êtes pas familiarisé avec les identités managées pour ressources Azure, consultez la section Vue d’ensemble. Veillez à consulter la différence entre les identités managées affectées par le système et celles affectées par l’utilisateur .
• Si vous n’avez pas encore de compte Azure, inscrivez-vous à un essai gratuit avant de continuer.
• Pour exécuter les exemples de scripts, vous avez deux options :
  • Utiliser Azure Cloud Shell, que vous pouvez ouvrir en utilisant le bouton Essayer dans le coin supérieur droit des blocs de code.
  • Exécuter les scripts localement en installant la dernière version d’Azure PowerShell, puis en vous connectant à Azure en utilisant Connect-AzAccount.

Utiliser Azure RBAC pour affecter à une identité managée l’accès à une autre ressource

1. Activez l’identité managée sur une ressource Azure, telle qu’une machine virtuelle Azure.

2. Dans cet exemple, nous accordons à une machine virtuelle Azure l’accès à un compte de stockage. Tout d’abord, nous utilisons Get-AzVM pour obtenir le principal de service pour la machine virtuelle nommée myVM, qui a été créé lorsque nous avons activé l’identité managée. Ensuite, utilisez New-AzRoleAssignment pour accorder à la machine virtuelle un accès de type Lecteur vers un compte de stockage appelé myStorageAcct :

   $spID = (Get-AzVM -ResourceGroupName myRG -Name myVM).identity.principalid
   New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Reader" -Scope "/subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/<myStorageAcct>"
   

Étapes suivantes

• Vue d’ensemble de l’identité managée pour les ressources Azure
• Pour activer l’identité managée sur une machine virtuelle Azure, consultez Configurer des identités managées pour ressources Azure sur une machine virtuelle Azure à l’aide de PowerShell.