Felügyelt identitások konfigurálása Azure-erőforrásokhoz virtuálisgép-méretezési csoportokon a PowerShell használatával

Az Azure-erőforrások felügyelt identitásai a Microsoft Entra ID egyik funkciója. Az Azure-erőforrások felügyelt identitását támogató összes Azure-szolgáltatásra a saját ütemterve vonatkozik. Mielőtt nekikezdene, tekintse át az erőforrásához tartozó felügyelt identitások elérhetőségi állapotát, valamint az ismert problémákat.

Az Azure-erőforrásokhoz tartozó kezelt identitások az Azure-szolgáltatásokat automatikusan kezelt identitással látják el a Microsoft Entra ID-ban. Ezt az identitást használhatja a Microsoft Entra hitelesítést támogató bármely szolgáltatáshoz történő hitelesítéshez anélkül, hogy a kódjában hitelesítő adatokkal rendelkezne.

Ebben a cikkben a PowerShell használatával megtudhatja, hogyan hajthatja végre az Azure-erőforrások felügyelt identitását egy virtuálisgép-méretezési csoportban:

• A rendszer által hozzárendelt felügyelt identitás engedélyezése és letiltása egy virtuálisgép-méretezési csoportban
• Felhasználó által hozzárendelt felügyelt identitás hozzáadása és eltávolítása egy virtuálisgép-méretezési csoportban

Feljegyzés

Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Előfeltételek

• Ha nem ismeri az Azure-erőforrások felügyelt identitását, tekintse meg az áttekintési szakaszt. Mindenképpen tekintse át a rendszer által hozzárendelt és a felhasználó által felügyelt hozzárendelt identitás közötti különbséget.

• Ha még nincs Azure-fiókja, a folytatás előtt regisztráljon egy ingyenes fiókra.

• A jelen cikkben szereplő felügyeleti műveletek végrehajtásához a fióknak a következő Azure-szerepköralapú hozzáférés-vezérlési hozzárendelésekre van szüksége:

  Feljegyzés

  Nincs szükség további Microsoft Entra-címtárszerepkör-hozzárendelésekre.

  • Virtuálisgép-közreműködő virtuálisgép-méretezési csoport létrehozásához, valamint a rendszer által hozzárendelt felügyelt és/vagy felhasználó által hozzárendelt felügyelt identitás engedélyezéséhez és eltávolításához egy virtuálisgép-méretezési csoportból.
  • Felügyelt identitás-közreműködői szerepkör a felhasználó által hozzárendelt felügyelt identitás létrehozásához.
  • Felügyelt identitáskezelői szerepkör egy felhasználó által hozzárendelt felügyelt identitás hozzárendeléséhez és eltávolításához egy virtuálisgép-méretezési csoportból és azokból.

• A példaszkriptek futtatásához két lehetősége van:

  • Használja az Azure Cloud Shellt, amelyet a kódblokkok jobb felső sarkában található Kipróbálás gombbal nyithat meg.
  • Futtassa helyileg a szkripteket az Azure PowerShell legújabb verziójának telepítésével, majd jelentkezzen be az Azure-ba a használatávalConnect-AzAccount.

Rendszer által hozzárendelt felügyelt identitás

Ebben a szakaszban megtudhatja, hogyan engedélyezheti és távolíthatja el a rendszer által hozzárendelt felügyelt identitásokat az Azure PowerShell használatával.

Rendszer által hozzárendelt felügyelt identitás engedélyezése egy Azure-beli virtuálisgép-méretezési csoport létrehozása során

Virtuálisgép-méretezési csoport létrehozása a rendszer által hozzárendelt felügyelt identitással:

1. A New-AzVmssConfig parancsmag referenciacikkében található 1. példában egy rendszer által hozzárendelt felügyelt identitással rendelkező virtuálisgép-méretezési csoportot hozhat létre. Adja hozzá a paramétert -IdentityType SystemAssigned a New-AzVmssConfig parancsmaghoz:

   $VMSS = New-AzVmssConfig -Location $Loc -SkuCapacity 2 -SkuName "Standard_A0" -UpgradePolicyMode "Automatic" -NetworkInterfaceConfiguration $NetCfg -IdentityType SystemAssigned`
   

Rendszer által hozzárendelt felügyelt identitás engedélyezése meglévő Azure-beli virtuálisgép-méretezési csoportban

Ha egy rendszer által hozzárendelt felügyelt identitást kell engedélyeznie egy meglévő Azure-beli virtuálisgép-méretezési csoportban:

1. Győződjön meg arról, hogy a használt Azure-fiók olyan szerepkörhöz tartozik, amely írási engedélyeket ad a virtuálisgép-méretezési csoporthoz, például a "Virtuálisgép-közreműködőhöz".

2. Kérje le a virtuálisgép-méretezési csoport tulajdonságait a Get-AzVmss parancsmag használatával. Ezután a rendszer által hozzárendelt felügyelt identitás engedélyezéséhez használja az -IdentityTypeUpdate-AzVmss parancsmag kapcsolót:

   Update-AzVmss -ResourceGroupName myResourceGroup -Name -myVmss -IdentityType "SystemAssigned"
   

A rendszer által hozzárendelt felügyelt identitás letiltása egy Azure-beli virtuálisgép-méretezési csoportból

Ha olyan virtuálisgép-méretezési csoporttal rendelkezik, amelyhez már nincs szüksége a rendszer által hozzárendelt felügyelt identitásra, de továbbra is felhasználó által hozzárendelt felügyelt identitásra van szüksége, használja a következő parancsmagot:

1. Győződjön meg arról, hogy a fiókja olyan szerepkörhöz tartozik, amely írási engedélyeket biztosít a virtuálisgép-méretezési csoporthoz, például a "Virtuálisgép-közreműködőhöz".

2. Futtassa a következő parancsmagot:

   Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType "UserAssigned"
   

3. Ha olyan virtuálisgép-méretezési csoporttal rendelkezik, amelynek már nincs szüksége rendszer által hozzárendelt felügyelt identitásra, és nincs felhasználó által hozzárendelt felügyelt identitása, használja a következő parancsot:

   Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType None
   

Felhasználó által hozzárendelt felügyelt identitás

Ebben a szakaszban megtudhatja, hogyan vehet fel és távolíthat el felhasználó által hozzárendelt felügyelt identitást egy virtuálisgép-méretezési csoportból az Azure PowerShell használatával.

Felhasználó által hozzárendelt felügyelt identitás hozzárendelése azure-beli virtuálisgép-méretezési csoport létrehozásakor

Egy felhasználó által hozzárendelt felügyelt identitással rendelkező új virtuálisgép-méretezési csoport létrehozása jelenleg nem támogatott a PowerShell-lel. Tekintse meg a következő szakaszt, amely bemutatja, hogyan vehet fel felhasználó által hozzárendelt felügyelt identitást egy meglévő virtuálisgép-méretezési csoporthoz. Térjen vissza frissítésekért.

Felhasználó által hozzárendelt felügyelt identitás hozzárendelése egy meglévő Azure-beli virtuálisgép-méretezési csoporthoz

Felhasználó által hozzárendelt felügyelt identitás hozzárendelése egy meglévő Azure-beli virtuálisgép-méretezési csoporthoz:

1. Győződjön meg arról, hogy a fiókja olyan szerepkörhöz tartozik, amely írási engedélyeket biztosít a virtuálisgép-méretezési csoporthoz, például a "Virtuálisgép-közreműködőhöz".

2. Kérje le a virtuálisgép-méretezési csoport tulajdonságait a Get-AzVM parancsmag használatával. Ezután ha felhasználó által hozzárendelt felügyelt identitást szeretne hozzárendelni a virtuálisgép-méretezési csoporthoz, használja az -IdentityType Update-AzVmss parancsmagot, és -IdentityID kapcsolja be. Cserélje le <VM NAME>a , <SUBSCRIPTION ID>, <RESROURCE GROUP>, <USER ASSIGNED ID1>a USER ASSIGNED ID2 saját értékeit.

   Fontos

   Felhasználó által hozzárendelt felügyelt identitások létrehozásakor a névnek betűvel vagy számmal kell kezdődnie, és tartalmazhat alfanumerikus karaktereket, kötőjeleket (-) és aláhúzásjeleket (_). Ahhoz, hogy a virtuális géphez vagy a virtuálisgép-méretezési csoporthoz való hozzárendelés megfelelően működjön, a név legfeljebb 24 karakter hosszúságú lehet. További információkért lásd a gyakori kérdéseket és az ismert problémákat.

   Update-AzVmss -ResourceGroupName <RESOURCE GROUP> -Name <VMSS NAME> -IdentityType UserAssigned -IdentityID "<USER ASSIGNED ID1>","<USER ASSIGNED ID2>"
   

Felhasználó által hozzárendelt felügyelt identitás eltávolítása egy Azure-beli virtuálisgép-méretezési csoportból

Ha a virtuálisgép-méretezési csoport több felhasználó által hozzárendelt felügyelt identitással rendelkezik, a következő parancsok használatával az összeset eltávolíthatja az utolsótól. Ne felejtse el a <RESOURCE GROUP> és <VIRTUAL MACHINE SCALE SET NAME> paraméterek értékeit a saját értékeire cserélni. Ez <USER ASSIGNED IDENTITY NAME> a felhasználó által hozzárendelt felügyelt identitás névtulajdonsága, amelynek a virtuálisgép-méretezési csoportban kell maradnia. Ezek az információk a virtuálisgép-méretezési csoport identitásszakaszában találhatók a következő használatával az vmss show:

Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType UserAssigned -IdentityID "<USER ASSIGNED IDENTITY NAME>"

Ha a virtuálisgép-méretezési csoport nem rendelkezik rendszer által hozzárendelt felügyelt identitással, és el szeretné távolítani belőle az összes felhasználó által hozzárendelt felügyelt identitást, használja a következő parancsot:

Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType None

Ha a virtuálisgép-méretezési csoport rendszer által hozzárendelt és felhasználó által hozzárendelt felügyelt identitásokkal is rendelkezik, eltávolíthatja a felhasználó által hozzárendelt felügyelt identitásokat úgy, hogy csak a rendszer által hozzárendelt felügyelt identitásra vált.

Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType "SystemAssigned"

Következő lépések

• Felügyelt identitások az Azure-erőforrásokhoz – áttekintés

• Az Azure-beli virtuális gépek létrehozásának rövid útmutatói:

  • Windows rendszerű virtuális gép létrehozása a PowerShell használatával
  • Linux rendszerű virtuális gép létrehozása a PowerShell-lel