Felügyelt identitások konfigurálása Azure-erőforrásokhoz azure-beli virtuálisgép-skálán sablon használatával
Az Azure-erőforrások felügyelt identitásai a Microsoft Entra ID egyik funkciója. Each of the Azure services that support managed identities for Azure resources are subject to their own timeline. Mielőtt nekikezdene, tekintse át az erőforrásához tartozó felügyelt identitások elérhetőségi állapotát, valamint az ismert problémákat.
Az Azure-erőforrásokhoz tartozó kezelt identitások az Azure-szolgáltatásokat automatikusan kezelt identitással látják el a Microsoft Entra ID-ban. Ezt az identitást használhatja a Microsoft Entra hitelesítést támogató bármely szolgáltatáshoz történő hitelesítéshez anélkül, hogy a kódjában hitelesítő adatokkal rendelkezne.
Ebből a cikkből megtudhatja, hogyan hajthatja végre a következő felügyelt identitásokat az Azure-erőforrások műveleteihez egy Azure-beli virtuálisgép-méretezési csoporton az Azure Resource Manager üzembehelyezési sablon használatával:
- A rendszer által hozzárendelt felügyelt identitás engedélyezése és letiltása egy Azure-beli virtuálisgép-méretezési csoportban
- Felhasználó által hozzárendelt felügyelt identitás hozzáadása és eltávolítása egy Azure-beli virtuálisgép-méretezési csoportban
Előfeltételek
Ha nem ismeri az Azure-erőforrások felügyelt identitását, tekintse meg az áttekintési szakaszt. Mindenképpen tekintse át a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitás közötti különbséget.
Ha még nincs Azure-fiókja, a folytatás előtt regisztráljon egy ingyenes fiókra.
A jelen cikkben szereplő felügyeleti műveletek végrehajtásához a fióknak a következő Azure-szerepköralapú hozzáférés-vezérlési hozzárendelésekre van szüksége:
Megjegyzés:
Nincs szükség további Microsoft Entra-címtárszerepkör-hozzárendelésekre.
- Virtuálisgép-közreműködő virtuálisgép-méretezési csoport létrehozásához, valamint rendszer- és/vagy felhasználó által hozzárendelt felügyelt identitás engedélyezéséhez és eltávolításához egy virtuálisgép-méretezési csoportból.
- Felügyelt identitás-közreműködői szerepkör a felhasználó által hozzárendelt felügyelt identitás létrehozásához.
- Felügyelt identitáskezelői szerepkör egy felhasználó által hozzárendelt felügyelt identitás hozzárendeléséhez és eltávolításához egy virtuálisgép-méretezési csoportból és azokból.
Azure Resource Manager-sablonok
Az Azure Portalhoz és a szkripteléshez hasonlóan az Azure Resource Manager-sablonok is lehetővé teszik az Azure-erőforráscsoport által meghatározott új vagy módosított erőforrások üzembe helyezését. A sablonszerkesztéshez és az üzembe helyezéshez több lehetőség is rendelkezésre áll, helyi és portálalapú is, például:
- Egyéni sablon használata az Azure Marketplace-ről, amely lehetővé teszi, hogy teljesen új sablont hozzon létre, vagy egy meglévő általános vagy gyorsútmutató-sablonra alapozza.
- Egy meglévő erőforráscsoportból származik, ha egy sablont exportál az eredeti üzembe helyezésből vagy az üzembe helyezés aktuális állapotából.
- Helyi JSON-szerkesztő (például VS Code) használata, majd feltöltés és üzembe helyezés a PowerShell vagy a parancssori felület használatával.
- A Visual Studio Azure Resource Group projekt használatával sablont hozhat létre és helyezhet üzembe.
A választott beállítástól függetlenül a sablon szintaxisa megegyezik a kezdeti üzembe helyezés és az ismételt üzembe helyezés során. Az Azure-erőforrások felügyelt identitásainak engedélyezése egy új vagy meglévő virtuális gépen ugyanúgy történik. Emellett az Azure Resource Manager alapértelmezés szerint növekményes frissítést végez az üzemelő példányokon.
Rendszer által hozzárendelt felügyelt identitás
Ebben a szakaszban egy Azure Resource Manager-sablonnal engedélyezheti és letilthatja a rendszer által hozzárendelt felügyelt identitást.
Rendszer által hozzárendelt felügyelt identitás engedélyezése virtuálisgép-méretezési csoport vagy meglévő virtuálisgép-méretezési csoport létrehozásakor
Akár helyileg, akár az Azure Portalon keresztül jelentkezik be az Azure-ba, használjon egy fiókot, amely a virtuálisgép-méretezési csoportot tartalmazó Azure-előfizetéshez van társítva.
A rendszer által hozzárendelt felügyelt identitás engedélyezéséhez töltse be a sablont egy szerkesztőbe, keresse meg az erőforrást az
Microsoft.Compute/virtualMachinesScaleSets
erőforrások szakaszban, és adja hozzá aidentity
tulajdonságot a"type": "Microsoft.Compute/virtualMachinesScaleSets"
tulajdonságtal azonos szinten. Use the following syntax:"identity": { "type": "SystemAssigned" }
Ha elkészült, a következő szakaszokat kell hozzáadnia a sablon erőforrásszakaszához, és az alábbi példához hasonlónak kell lennie:
"resources": [ { //other resource provider properties... "apiVersion": "2018-06-01", "type": "Microsoft.Compute/virtualMachineScaleSets", "name": "[variables('vmssName')]", "location": "[resourceGroup().location]", "identity": { "type": "SystemAssigned", }, "properties": { //other resource provider properties... "virtualMachineProfile": { //other virtual machine profile properties... } } } ]
Rendszer által hozzárendelt felügyelt identitás letiltása egy Azure-beli virtuálisgép-méretezési csoportból
Ha olyan virtuálisgép-méretezési csoporttal rendelkezik, amely már nem igényel rendszer által hozzárendelt felügyelt identitást:
Akár helyileg, akár az Azure Portalon keresztül jelentkezik be az Azure-ba, használjon egy fiókot, amely a virtuálisgép-méretezési csoportot tartalmazó Azure-előfizetéshez van társítva.
Töltse be a sablont egy szerkesztőbe , és keresse meg a szakaszon belül a
Microsoft.Compute/virtualMachineScaleSets
fontos erőforrástresources
. Ha olyan virtuális gépe van, amely csak rendszer által hozzárendelt felügyelt identitással rendelkezik, letilthatja azt az identitástípusNone
módosításával.Microsoft.Compute/virtualMachineScaleSets API 2018-06-01-es verzió
Ha az apiVersion és
2018-06-01
a virtuális gép rendszer- és felhasználó által hozzárendelt felügyelt identitásokkal is rendelkezik, távolítsa elSystemAssigned
az identitástípust, és tartsa megUserAssigned
a userAssignedIdentities szótár értékeit.Microsoft.Compute/virtualMachineScaleSets API 2018-06-01-es verzió
Ha az apiVersion és
2017-12-01
a virtuálisgép-méretezési csoport rendszer- és felhasználó által hozzárendelt felügyelt identitásokkal is rendelkezik, távolítsa elSystemAssigned
az identitástípust, és tartsa megUserAssigned
aidentityIds
felhasználó által hozzárendelt felügyelt identitások tömbjével együtt.Az alábbi példa bemutatja, hogyan távolíthat el egy rendszer által hozzárendelt felügyelt identitást egy felhasználó által hozzárendelt felügyelt identitás nélküli virtuálisgép-méretezési csoportból:
{ "name": "[variables('vmssName')]", "apiVersion": "2018-06-01", "location": "[parameters(Location')]", "identity": { "type": "None" } }
Felhasználó által hozzárendelt felügyelt identitás
Ebben a szakaszban egy felhasználó által hozzárendelt felügyelt identitást rendel egy virtuálisgép-méretezési csoporthoz az Azure Resource Manager-sablon használatával.
Megjegyzés:
Ha felhasználó által hozzárendelt felügyelt identitást szeretne létrehozni egy Azure Resource Manager-sablonnal, olvassa el a felhasználó által hozzárendelt felügyelt identitás létrehozása című témakört.
Felhasználó által hozzárendelt felügyelt identitás hozzárendelése virtuálisgép-méretezési csoporthoz
resources
Az elem alatt adja hozzá a következő bejegyzést egy felhasználó által hozzárendelt felügyelt identitás hozzárendeléséhez a virtuálisgép-méretezési csoporthoz. Mindenképpen cserélje le<USERASSIGNEDIDENTITY>
a létrehozott, felhasználó által hozzárendelt felügyelt identitás nevét.Microsoft.Compute/virtualMachineScaleSets API 2018-06-01-es verzió
Ha az apiVersion az
2018-06-01
, a felhasználó által hozzárendelt felügyelt identitások szótárformátumbanuserAssignedIdentities
vannak tárolva, és az<USERASSIGNEDIDENTITYNAME>
értéket a sablon szakaszában meghatározott változóbanvariables
kell tárolni.{ "name": "[variables('vmssName')]", "apiVersion": "2018-06-01", "location": "[parameters(Location')]", "identity": { "type": "userAssigned", "userAssignedIdentities": { "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {} } } }
Microsoft.Compute/virtualMachineScaleSets API 2017-12-01-es verzió
Ha az Ön
apiVersion
vagy2017-12-01
korábbi, a felhasználó által hozzárendelt felügyelt identitások aidentityIds
tömbben vannak tárolva, és az<USERASSIGNEDIDENTITYNAME>
értéket a sablon változók szakaszában meghatározott változóban kell tárolni.{ "name": "[variables('vmssName')]", "apiVersion": "2017-03-30", "location": "[parameters(Location')]", "identity": { "type": "userAssigned", "identityIds": [ "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITY>'))]" ] } }
Ha elkészült, a sablonnak a következőhöz hasonlóan kell kinéznie:
Microsoft.Compute/virtualMachineScaleSets API 2018-06-01-es verzió
"resources": [ { //other resource provider properties... "apiVersion": "2018-06-01", "type": "Microsoft.Compute/virtualMachineScaleSets", "name": "[variables('vmssName')]", "location": "[resourceGroup().location]", "identity": { "type": "UserAssigned", "userAssignedIdentities": { "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {} } }, "properties": { //other virtual machine properties... "virtualMachineProfile": { //other virtual machine profile properties... } } } ]
Microsoft.Compute/virtualMachines API 2017-12-01-es verzió
"resources": [ { //other resource provider properties... "apiVersion": "2017-12-01", "type": "Microsoft.Compute/virtualMachineScaleSets", "name": "[variables('vmssName')]", "location": "[resourceGroup().location]", "identity": { "type": "UserAssigned", "identityIds": [ "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]" ] }, "properties": { //other virtual machine properties... "virtualMachineProfile": { //other virtual machine profile properties... } } } ]
Felhasználó által hozzárendelt felügyelt identitás eltávolítása azure-beli virtuálisgép-méretezési csoportból
Ha olyan virtuálisgép-méretezési csoporttal rendelkezik, amely már nem igényel felhasználó által hozzárendelt felügyelt identitást:
Akár helyileg, akár az Azure Portalon keresztül jelentkezik be az Azure-ba, használjon egy fiókot, amely a virtuálisgép-méretezési csoportot tartalmazó Azure-előfizetéshez van társítva.
Töltse be a sablont egy szerkesztőbe , és keresse meg a szakaszon belül a
Microsoft.Compute/virtualMachineScaleSets
fontos erőforrástresources
. Ha olyan virtuálisgép-méretezési csoporttal rendelkezik, amely csak felhasználó által hozzárendelt felügyelt identitással rendelkezik, letilthatja azt az identitástípusNone
módosításával.Az alábbi példa bemutatja, hogyan távolíthat el minden felhasználó által hozzárendelt felügyelt identitást egy rendszer által hozzárendelt felügyelt identitást nem tartalmazó virtuális gépről:
{ "name": "[variables('vmssName')]", "apiVersion": "2018-06-01", "location": "[parameters(Location')]", "identity": { "type": "None" } }
Microsoft.Compute/virtualMachineScaleSets API 2018-06-01-es verzió
Ha egyetlen felhasználó által hozzárendelt felügyelt identitást szeretne eltávolítani egy virtuálisgép-méretezési csoportból, távolítsa el azt a
userAssignedIdentities
szótárból.Ha rendszer által hozzárendelt identitással rendelkezik, tartsa meg az
type
érték alattidentity
.Microsoft.Compute/virtualMachineScaleSets API 2017-12-01-es verzió
Ha egyetlen felhasználó által hozzárendelt felügyelt identitást szeretne eltávolítani egy virtuálisgép-méretezési csoportból, távolítsa el azt a
identityIds
tömbből.Ha rendszer által hozzárendelt felügyelt identitással rendelkezik, tartsa az
type
érték alattidentity
.