Felügyelt identitások konfigurálása Azure-erőforrásokhoz virtuálisgép-méretezési csoportokon a PowerShell használatával
Az Azure-erőforrások felügyelt identitásai a Microsoft Entra ID egyik funkciója. Az Azure-erőforrások felügyelt identitását támogató összes Azure-szolgáltatásra a saját ütemterve vonatkozik. Mielőtt nekikezdene, tekintse át az erőforrásához tartozó felügyelt identitások elérhetőségi állapotát, valamint az ismert problémákat.
Az Azure-erőforrásokhoz tartozó kezelt identitások az Azure-szolgáltatásokat automatikusan kezelt identitással látják el a Microsoft Entra ID-ban. Ezt az identitást használhatja a Microsoft Entra hitelesítést támogató bármely szolgáltatáshoz történő hitelesítéshez anélkül, hogy a kódjában hitelesítő adatokkal rendelkezne.
Ebben a cikkben a PowerShell használatával megtudhatja, hogyan hajthatja végre az Azure-erőforrások felügyelt identitását egy virtuálisgép-méretezési csoportban:
- A rendszer által hozzárendelt felügyelt identitás engedélyezése és letiltása egy virtuálisgép-méretezési csoportban
- Felhasználó által hozzárendelt felügyelt identitás hozzáadása és eltávolítása egy virtuálisgép-méretezési csoportban
Feljegyzés
Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.
Előfeltételek
Ha nem ismeri az Azure-erőforrások felügyelt identitását, tekintse meg az áttekintési szakaszt. Mindenképpen tekintse át a rendszer által hozzárendelt és a felhasználó által felügyelt hozzárendelt identitás közötti különbséget.
Ha még nincs Azure-fiókja, a folytatás előtt regisztráljon egy ingyenes fiókra.
A jelen cikkben szereplő felügyeleti műveletek végrehajtásához a fióknak a következő Azure-szerepköralapú hozzáférés-vezérlési hozzárendelésekre van szüksége:
Feljegyzés
Nincs szükség további Microsoft Entra-címtárszerepkör-hozzárendelésekre.
- Virtuálisgép-közreműködő virtuálisgép-méretezési csoport létrehozásához, valamint a rendszer által hozzárendelt felügyelt és/vagy felhasználó által hozzárendelt felügyelt identitás engedélyezéséhez és eltávolításához egy virtuálisgép-méretezési csoportból.
- Felügyelt identitás-közreműködői szerepkör a felhasználó által hozzárendelt felügyelt identitás létrehozásához.
- Felügyelt identitáskezelői szerepkör egy felhasználó által hozzárendelt felügyelt identitás hozzárendeléséhez és eltávolításához egy virtuálisgép-méretezési csoportból és azokból.
A példaszkriptek futtatásához két lehetősége van:
- Használja az Azure Cloud Shellt, amelyet a kódblokkok jobb felső sarkában található Kipróbálás gombbal nyithat meg.
- Futtassa helyileg a szkripteket az Azure PowerShell legújabb verziójának telepítésével, majd jelentkezzen be az Azure-ba a használatával
Connect-AzAccount
.
Rendszer által hozzárendelt felügyelt identitás
Ebben a szakaszban megtudhatja, hogyan engedélyezheti és távolíthatja el a rendszer által hozzárendelt felügyelt identitásokat az Azure PowerShell használatával.
Rendszer által hozzárendelt felügyelt identitás engedélyezése egy Azure-beli virtuálisgép-méretezési csoport létrehozása során
Virtuálisgép-méretezési csoport létrehozása a rendszer által hozzárendelt felügyelt identitással:
A New-AzVmssConfig parancsmag referenciacikkében található 1. példában egy rendszer által hozzárendelt felügyelt identitással rendelkező virtuálisgép-méretezési csoportot hozhat létre. Adja hozzá a paramétert
-IdentityType SystemAssigned
aNew-AzVmssConfig
parancsmaghoz:$VMSS = New-AzVmssConfig -Location $Loc -SkuCapacity 2 -SkuName "Standard_A0" -UpgradePolicyMode "Automatic" -NetworkInterfaceConfiguration $NetCfg -IdentityType SystemAssigned`
Rendszer által hozzárendelt felügyelt identitás engedélyezése meglévő Azure-beli virtuálisgép-méretezési csoportban
Ha egy rendszer által hozzárendelt felügyelt identitást kell engedélyeznie egy meglévő Azure-beli virtuálisgép-méretezési csoportban:
Győződjön meg arról, hogy a használt Azure-fiók olyan szerepkörhöz tartozik, amely írási engedélyeket ad a virtuálisgép-méretezési csoporthoz, például a "Virtuálisgép-közreműködőhöz".
Kérje le a virtuálisgép-méretezési csoport tulajdonságait a
Get-AzVmss
parancsmag használatával. Ezután a rendszer által hozzárendelt felügyelt identitás engedélyezéséhez használja az-IdentityType
Update-AzVmss parancsmag kapcsolót:Update-AzVmss -ResourceGroupName myResourceGroup -Name -myVmss -IdentityType "SystemAssigned"
A rendszer által hozzárendelt felügyelt identitás letiltása egy Azure-beli virtuálisgép-méretezési csoportból
Ha olyan virtuálisgép-méretezési csoporttal rendelkezik, amelyhez már nincs szüksége a rendszer által hozzárendelt felügyelt identitásra, de továbbra is felhasználó által hozzárendelt felügyelt identitásra van szüksége, használja a következő parancsmagot:
Győződjön meg arról, hogy a fiókja olyan szerepkörhöz tartozik, amely írási engedélyeket biztosít a virtuálisgép-méretezési csoporthoz, például a "Virtuálisgép-közreműködőhöz".
Futtassa a következő parancsmagot:
Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType "UserAssigned"
Ha olyan virtuálisgép-méretezési csoporttal rendelkezik, amelynek már nincs szüksége rendszer által hozzárendelt felügyelt identitásra, és nincs felhasználó által hozzárendelt felügyelt identitása, használja a következő parancsot:
Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType None
Felhasználó által hozzárendelt felügyelt identitás
Ebben a szakaszban megtudhatja, hogyan vehet fel és távolíthat el felhasználó által hozzárendelt felügyelt identitást egy virtuálisgép-méretezési csoportból az Azure PowerShell használatával.
Felhasználó által hozzárendelt felügyelt identitás hozzárendelése azure-beli virtuálisgép-méretezési csoport létrehozásakor
Egy felhasználó által hozzárendelt felügyelt identitással rendelkező új virtuálisgép-méretezési csoport létrehozása jelenleg nem támogatott a PowerShell-lel. Tekintse meg a következő szakaszt, amely bemutatja, hogyan vehet fel felhasználó által hozzárendelt felügyelt identitást egy meglévő virtuálisgép-méretezési csoporthoz. Térjen vissza frissítésekért.
Felhasználó által hozzárendelt felügyelt identitás hozzárendelése egy meglévő Azure-beli virtuálisgép-méretezési csoporthoz
Felhasználó által hozzárendelt felügyelt identitás hozzárendelése egy meglévő Azure-beli virtuálisgép-méretezési csoporthoz:
Győződjön meg arról, hogy a fiókja olyan szerepkörhöz tartozik, amely írási engedélyeket biztosít a virtuálisgép-méretezési csoporthoz, például a "Virtuálisgép-közreműködőhöz".
Kérje le a virtuálisgép-méretezési csoport tulajdonságait a
Get-AzVM
parancsmag használatával. Ezután ha felhasználó által hozzárendelt felügyelt identitást szeretne hozzárendelni a virtuálisgép-méretezési csoporthoz, használja az-IdentityType
Update-AzVmss parancsmagot, és-IdentityID
kapcsolja be. Cserélje le<VM NAME>
a ,<SUBSCRIPTION ID>
,<RESROURCE GROUP>
,<USER ASSIGNED ID1>
aUSER ASSIGNED ID2
saját értékeit.Fontos
Felhasználó által hozzárendelt felügyelt identitások létrehozásakor a névnek betűvel vagy számmal kell kezdődnie, és tartalmazhat alfanumerikus karaktereket, kötőjeleket (-) és aláhúzásjeleket (_). Ahhoz, hogy a virtuális géphez vagy a virtuálisgép-méretezési csoporthoz való hozzárendelés megfelelően működjön, a név legfeljebb 24 karakter hosszúságú lehet. További információkért lásd a gyakori kérdéseket és az ismert problémákat.
Update-AzVmss -ResourceGroupName <RESOURCE GROUP> -Name <VMSS NAME> -IdentityType UserAssigned -IdentityID "<USER ASSIGNED ID1>","<USER ASSIGNED ID2>"
Felhasználó által hozzárendelt felügyelt identitás eltávolítása egy Azure-beli virtuálisgép-méretezési csoportból
Ha a virtuálisgép-méretezési csoport több felhasználó által hozzárendelt felügyelt identitással rendelkezik, a következő parancsok használatával az összeset eltávolíthatja az utolsótól. Ne felejtse el a <RESOURCE GROUP>
és <VIRTUAL MACHINE SCALE SET NAME>
paraméterek értékeit a saját értékeire cserélni. Ez <USER ASSIGNED IDENTITY NAME>
a felhasználó által hozzárendelt felügyelt identitás névtulajdonsága, amelynek a virtuálisgép-méretezési csoportban kell maradnia. Ezek az információk a virtuálisgép-méretezési csoport identitásszakaszában találhatók a következő használatával az vmss show
:
Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType UserAssigned -IdentityID "<USER ASSIGNED IDENTITY NAME>"
Ha a virtuálisgép-méretezési csoport nem rendelkezik rendszer által hozzárendelt felügyelt identitással, és el szeretné távolítani belőle az összes felhasználó által hozzárendelt felügyelt identitást, használja a következő parancsot:
Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType None
Ha a virtuálisgép-méretezési csoport rendszer által hozzárendelt és felhasználó által hozzárendelt felügyelt identitásokkal is rendelkezik, eltávolíthatja a felhasználó által hozzárendelt felügyelt identitásokat úgy, hogy csak a rendszer által hozzárendelt felügyelt identitásra vált.
Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType "SystemAssigned"
Következő lépések
Az Azure-beli virtuális gépek létrehozásának rövid útmutatói: