Hozzáférés az Azure Resource Managerhez egy Linux VM-beli, rendszer által hozzárendelt felügyelt identitással
Az Azure-erőforrások felügyelt identitásai a Microsoft Entra ID egyik funkciója. Az Azure-erőforrások felügyelt identitását támogató összes Azure-szolgáltatásra a saját ütemterve vonatkozik. Mielőtt nekikezdene, tekintse át az erőforrásához tartozó felügyelt identitások elérhetőségi állapotát, valamint az ismert problémákat.
Ez a rövid útmutató bemutatja, hogyan használhatja a rendszer által hozzárendelt felügyelt identitást Linux rendszerű virtuális gép (VM) identitásaként az Azure Resource Manager API eléréséhez. Az Azure-erőforrások felügyelt identitásait az Azure automatikusan felügyeli, és lehetővé teszi a Microsoft Entra-hitelesítést támogató szolgáltatások hitelesítését anélkül, hogy hitelesítő adatokat kellene beszúrnia a kódba. Az alábbiak végrehajtásának módját ismerheti meg:
- Hozzáférés engedélyezése virtuális gép számára az Azure Resource Managerben lévő erőforráscsoporthoz
- Hozzáférési jogkivonat lekérése a VM identitásával, majd az Azure Resource Manager meghívása a használatával
Előfeltételek
- A felügyelt identitások ismerete. Ha nem ismeri a felügyelt identitásokat, tekintse meg ezt az áttekintést.
- Egy Azure-fiók, regisztráljon egy ingyenes fiókra.
- Olyan Linux rendszerű virtuális gépre is szüksége van, amely engedélyezve van a rendszer által hozzárendelt felügyelt identitásokkal. Ha rendelkezik virtuális géppel, de engedélyeznie kell a rendszer által hozzárendelt felügyelt identitásokat , ezt a virtuális gép tulajdonságainak identitásszakaszában teheti meg.
- Ha ehhez az oktatóanyaghoz létre kell hoznia egy virtuális gépet, kövesse a Linux rendszerű virtuális gép létrehozása az Azure Portallal című cikket
Hozzáférés biztosítása
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Ha felügyelt identitásokat használ az Azure-erőforrásokhoz, a kód hozzáférési jogkivonatokat kaphat a Microsoft Entra-hitelesítést támogató erőforrások hitelesítéséhez. Az Azure Resource Manager API támogatja a Microsoft Entra-hitelesítést. Először hozzáférést kell biztosítanunk a virtuális gép identitásához az Azure Resource Manager egy erőforrásához, ebben az esetben az erőforráscsoporthoz, amelyben a virtuális gép található.
Jelentkezzen be az Azure Portalra a rendszergazdai fiókjával.
Navigáljon az Erőforráscsoportok lapra.
Válassza ki azt az erőforráscsoportot , amelyhez hozzáférést szeretne adni a virtuális gép felügyelt identitásához.
A bal oldali panelen válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
Válassza a Hozzáadás, majd a Szerepkör-hozzárendelés hozzáadása lehetőséget.
A Szerepkör lapon válassza az Olvasó lehetőséget. Ez a szerepkör lehetővé teszi az összes erőforrás megtekintését, de nem teszi lehetővé a módosításokat.
A Tagok lapon a Hozzáférés hozzárendelése lapon válassza a Felügyelt identitás lehetőséget. Ezután válassza a + Tagok kijelölése lehetőséget.
Győződjön meg arról, hogy a megfelelő előfizetés szerepel az Előfizetés legördülő listában. Az Erőforráscsoport esetében válassza a Minden erőforráscsoport lehetőséget.
Az Identitás kezelése legördülő menüben válassza a Virtuális gép lehetőséget.
Végül válassza ki a Windows rendszerű virtuális gépet a legördülő listában, és válassza a Mentés lehetőséget.
Hozzáférési jogkivonat lekérése a virtuális gép rendszer által hozzárendelt felügyelt identitásának használatával, majd a Resource Manager meghívása a jogkivonat használatával
A lépések elvégzéséhez szüksége lesz egy SSH-ügyfélre. Windows használata esetén használhatja az SSH-ügyfelet a Linuxos Windows-alrendszer. Amennyiben segítségre van szüksége az SSH-ügyfél kulcsának konfigurálásához, Az SSH-kulcsok és a Windows együttes használata az Azure-ban vagy Nyilvános és titkos SSH-kulcspár létrehozása és használata az Azure-ban Linux rendszerű virtuális gépekhez című cikkekben talál további információt.
A portálon keresse meg a Linux rendszerű virtuális gépet, és az Áttekintés területen válassza a Csatlakozás.
Csatlakozzon a virtuális géphez a választott SSH-ügyféllel.
A terminálablakban
curl
kérést intézhet az Azure-erőforrások végpontjának helyi felügyelt identitásaihoz az Azure Resource Manager hozzáférési jogkivonatának lekéréséhez. Acurl
hozzáférési jogkivonatra vonatkozó kérés alább található.
curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/' -H Metadata:true
Feljegyzés
A paraméter értékének resource
pontosan meg kell egyeznie a Microsoft Entra ID által várt értékkel. Az Azure Resource Manager erőforrás-azonosítójának használatakor a záró perjelet is szerepeltetni kell az URI-ban.
A válasz tartalmazza az Azure Resource Manager eléréséhez szükséges hozzáférési jogkivonatot.
Válasz:
{
"access_token":"eyJ0eXAiOi...",
"refresh_token":"",
"expires_in":"3599",
"expires_on":"1504130527",
"not_before":"1504126627",
"resource":"https://management.azure.com",
"token_type":"Bearer"
}
A jogkivonat segítségével elérheti az Azure Resource Managert, például hogy elolvassa annak az erőforráscsoportnak a részleteit, amelyhez korábban engedélyezte hozzáférést ennek a virtuális gépnek. Cserélje le a , <RESOURCE-GROUP>
és <ACCESS-TOKEN>
a korábban létrehozott értékeket<SUBSCRIPTION-ID>
.
Feljegyzés
Az URL-cím megkülönbözteti a kis-és nagybetűket, ezért pontosan ugyanúgy adja meg, mint ahogy az erőforráscsoportot elnevezte, illetve ügyeljen a „resourceGroup” sztringben a nagy G betű használatára is.
curl https://management.azure.com/subscriptions/<SUBSCRIPTION-ID>/resourceGroups/<RESOURCE-GROUP>?api-version=2016-09-01 -H "Authorization: Bearer <ACCESS-TOKEN>"
A válasz vissza a megadott erőforráscsoport-információkkal:
{
"id":"/subscriptions/98f51385-2edc-4b79-bed9-7718de4cb861/resourceGroups/DevTest",
"name":"DevTest",
"location":"westus",
"properties":
{
"provisioningState":"Succeeded"
}
}
Következő lépések
Ennek a rövid útmutatónak a segítségével megtanulta, hogyan használható a rendszer által hozzárendelt felügyelt identitás az Azure Resource Manager API-hoz való hozzáféréshez. Az Azure Resource Managerrel kapcsolatos további információkért lásd: