Hozzáférés a Resource Managerhez egy Windows VM-beli, rendszer által hozzárendelt felügyelt identitással

  • Cikk

Az Azure-erőforrások felügyelt identitásai a Microsoft Entra ID egyik funkciója. Az Azure-erőforrások felügyelt identitását támogató összes Azure-szolgáltatásra a saját ütemterve vonatkozik. Mielőtt nekikezdene, tekintse át az erőforrásához tartozó felügyelt identitások elérhetőségi állapotát, valamint az ismert problémákat.

Ez az oktatóanyag bemutatja, hogyan érheti el az Azure Resource Manager API-t egy Windows rendszerű virtuális géppel, amelyen engedélyezve van a rendszer által hozzárendelt felügyelt identitás. Az Azure-erőforrások felügyelt identitásait az Azure automatikusan felügyeli, és lehetővé teszi a Microsoft Entra-hitelesítést támogató szolgáltatások hitelesítését anélkül, hogy hitelesítő adatokat kellene beszúrnia a kódba. Az alábbiak végrehajtásának módját ismerheti meg:

  • Hozzáférés engedélyezése virtuális gép számára az Azure Resource Managerben lévő erőforráscsoporthoz
  • Hozzáférési jogkivonat lekérése a VM identitásával, majd az Azure Resource Manager meghívása a használatával

Előfeltételek

  • A felügyelt identitások alapszintű ismerete. Ha még nem ismeri az Azure-erőforrások felügyelt identitására vonatkozó funkciót, tekintse meg ezt az áttekintést.
  • Egy Azure-fiók, regisztráljon egy ingyenes fiókra.
  • "Tulajdonos" engedélyek a megfelelő hatókörben (az előfizetésben vagy az erőforráscsoportban) a szükséges erőforrás-létrehozási és szerepkör-kezelési lépések végrehajtásához. Ha segítségre van szüksége a szerepkör-hozzárendeléssel kapcsolatban, olvassa el az Azure-szerepkörök hozzárendelése az Azure-előfizetés erőforrásaihoz való hozzáférés kezeléséhez című témakört.
  • Olyan Windows rendszerű virtuális gépre is szüksége van, amely engedélyezve van a rendszer által hozzárendelt felügyelt identitásokkal.
    • Ha ehhez az oktatóanyaghoz létre kell hoznia egy virtuális gépet, kövesse a rendszer által hozzárendelt identitással rendelkező virtuális gép létrehozása című cikket

Engedélyezés

A rendszer által hozzárendelt felügyelt identitás engedélyezése egy kattintásos felület. Ezt engedélyezheti a virtuális gép létrehozásakor vagy egy meglévő virtuális gép tulajdonságaiban.

Screenshot shows the System assigned tab for a virtual machine where you can turn on the System assigned status.

Rendszer által hozzárendelt felügyelt identitás engedélyezése új virtuális gépen:

  1. Jelentkezzen be az Azure Portalra

  2. Rendszer által hozzárendelt identitással rendelkező virtuális gép létrehozása

Hozzáférés biztosítása a VM számára a Resource Managerben lévő erőforráscsoporthoz

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Az Azure-erőforrások felügyelt identitásainak használatával az alkalmazás hozzáférési jogkivonatokat kaphat a Microsoft Entra-hitelesítést támogató erőforrások hitelesítéséhez. Az Azure Resource Manager API támogatja a Microsoft Entra-hitelesítést. A virtuális gép identitás-hozzáférését biztosítjuk egy erőforráshoz az Azure Resource Managerben, ebben az esetben egy erőforráscsoporthoz. Az Olvasó szerepkört az erőforráscsoport hatókörében rendeljük hozzá a felügyelt identitáshoz.

  1. Jelentkezzen be az Azure Portalra a rendszergazdai fiókjával.
  2. Navigáljon az Erőforráscsoportok lapra.
  3. Válassza ki azt az erőforráscsoportot , amelyhez hozzáférést szeretne adni a virtuális gép felügyelt identitásához.
  4. A bal oldali panelen válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
  5. Válassza a Hozzáadás, majd a Szerepkör-hozzárendelés hozzáadása lehetőséget.
  6. A Szerepkör lapon válassza az Olvasó lehetőséget. Ez a szerepkör lehetővé teszi az összes erőforrás megtekintését, de nem teszi lehetővé a módosításokat.
  7. A Tagok lapon a Hozzáférés hozzárendelése lapon válassza a Felügyelt identitás lehetőséget. Ezután válassza a + Tagok kijelölése lehetőséget.
  8. Győződjön meg arról, hogy a megfelelő előfizetés szerepel az Előfizetés legördülő listában. Az Erőforráscsoport esetében válassza a Minden erőforráscsoport lehetőséget.
  9. Az Identitás kezelése legördülő menüben válassza a Virtuális gép lehetőséget.
  10. Végül válassza ki a Windows rendszerű virtuális gépet a legördülő listában, és válassza a Mentés lehetőséget.

Hozzáférési jogkivonat lekérése a virtuális gép rendszer által hozzárendelt felügyelt identitásának használatával, majd az Azure Resource Manager meghívása a jogkivonat használatával

Ebben a részben a PowerShellt kell használnia. Ha a PowerShell nincs telepítve, innen letöltheti.

  1. A portálon lépjen a Virtuális gépek elemre, és nyissa meg a Windows rendszerű virtuális gépet, és az Áttekintés területen válassza a Csatlakozás.

  2. A Felhasználónév és a Jelszó mezőbe azt a felhasználónevet és jelszót írja be, amelyet a Windows VM létrehozásakor adott meg.

  3. Most, hogy létrehozott egy távoli asztali Csatlakozás iont a virtuális géppel, nyissa meg a PowerShellt a távoli munkamenetben.

  4. Az Invoke-WebRequest parancsmaggal kérést intézhet az Azure-erőforrások helyi felügyelt identitásának végpontjához, hogy lekérjen egy hozzáférési jogkivonatot az Azure Resource Managerhez.

       $response = Invoke-WebRequest -Uri 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/' -Method GET -Headers @{Metadata="true"}

    Feljegyzés

    Az "erőforrás" paraméter értékének pontosan meg kell egyeznie a Microsoft Entra ID által várt értékkel. Az Azure Resource Manager erőforrás-azonosítójának használatakor a záró perjelet is szerepeltetni kell az URI-ban.

    Ezután nyerje ki a teljes választ, amelyet egy JavaScript Object Notation (JSON) formátumú sztringként tárol a $response objektum.

    $content = $response.Content | ConvertFrom-Json

    Ezután nyerje ki a hozzáférési jogkivonatot a válaszból.

    $ArmToken = $content.access_token

    Végül hívja meg az Azure Resource Managert a hozzáférési jogkivonattal. Ebben a példában az Invoke-WebRequest parancsmaggal is meghívjuk az Azure Resource Managert, és belefoglaljuk a hozzáférési jogkivonatot az Engedélyezés fejlécbe.

    (Invoke-WebRequest -Uri https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>?api-version=2016-06-01 -Method GET -ContentType "application/json" -Headers @{ Authorization ="Bearer $ArmToken"}).content

    Feljegyzés

    Az URL megkülönbözteti a kis- és nagybetűket, ezért ellenőrizze, hogy pontosan ugyanúgy írja be a kis- és nagybetűket, mint az erőforráscsoport elnevezésekor, illetve hogy a „resourceGroups” kifejezésben nagy legyen a „G” betű.

    A következő parancs adja vissza az erőforráscsoport adatait:

    {"id":"/subscriptions/98f51385-2edc-4b79-bed9-7718de4cb861/resourceGroups/DevTest","name":"DevTest","location":"westus","properties":{"provisioningState":"Succeeded"}}

Következő lépések

Ennek a rövid útmutatónak a segítségével megtanulta, hogyan használható a rendszer által hozzárendelt felügyelt identitás az Azure Resource Manager API-hoz való hozzáféréshez. További információ az Azure Resource Managerről:

Azure Resource Manager