Felügyelt identitások használata Azure-erőforrásokhoz azure-beli virtuális gépen bejelentkezéshez
Az Azure-erőforrások felügyelt identitásai a Microsoft Entra ID egyik funkciója. Each of the Azure services that support managed identities for Azure resources are subject to their own timeline. Mielőtt nekikezdene, tekintse át az erőforrásához tartozó felügyelt identitások elérhetőségi állapotát, valamint az ismert problémákat.
Ez a cikk PowerShell- és CLI-szkript példákat tartalmaz az Azure-erőforrások szolgáltatásnévhez tartozó felügyelt identitások használatával történő bejelentkezéshez, valamint útmutatást nyújt olyan fontos témakörökhöz, mint a hibakezelés.
Megjegyzés:
We recommend that you use the Azure Az PowerShell module to interact with Azure. See Install Azure PowerShell to get started. To learn how to migrate to the Az PowerShell module, see Migrate Azure PowerShell from AzureRM to Az.
Előfeltételek
- Ha még nem ismeri az Azure-erőforrások felügyelt identitására vonatkozó funkciót, tekintse meg ezt az áttekintést. Ha még nincs Azure-fiókja, a folytatás előtt regisztráljon egy ingyenes fiókra.
Ha a cikkben szereplő Azure PowerShell- vagy Azure CLI-példákat szeretné használni, mindenképpen telepítse az Azure PowerShell vagy az Azure CLI legújabb verzióját.
Fontos
- A cikkben szereplő összes példaszkript feltételezi, hogy a parancssori ügyfél egy olyan virtuális gépen fut, amelyen engedélyezve van az Azure-erőforrások felügyelt identitása. Az Azure Portal virtuális gépének "Csatlakozás" funkciójával távolról csatlakozhat a virtuális géphez. Az Azure-erőforrások felügyelt identitásainak virtuális gépen való engedélyezésével kapcsolatos részletekért lásd : Felügyelt identitások konfigurálása Azure-erőforrásokhoz egy virtuális gépen az Azure Portal használatával, vagy az egyik változatcikk (PowerShell, parancssori felület, sablon vagy Azure SDK használata).
- Az erőforrás-hozzáférés során előforduló hibák elkerülése érdekében a virtuális gép felügyelt identitásának legalább "Olvasó" hozzáférést kell biztosítani a megfelelő hatókörben (a virtuális gépen vagy annál magasabb szinten), hogy engedélyezze az Azure Resource Manager-műveleteket a virtuális gépen. A részletekért tekintse meg az Azure-erőforrások felügyelt identitásainak hozzárendelése erőforráshoz való hozzáférését az Azure Portal használatával .
Áttekintés
Az Azure-erőforrások felügyelt identitásai szolgáltatásnév objektumotbiztosítanak, amely akkor jön létre, ha engedélyezi a felügyelt identitásokat az Azure-erőforrások számára a virtuális gépen. A szolgáltatásnév hozzáférést kaphat az Azure-erőforrásokhoz, és szkriptek/parancssori ügyfelek használhatják identitásként a bejelentkezéshez és az erőforrás-hozzáféréshez. A biztonságos erőforrások saját identitással való eléréséhez a szkriptügyfélnek hagyományosan a következőkre van szüksége:
- a Microsoft Entra-azonosítóval bizalmas/webes ügyfélalkalmazásként regisztrálva és jóváhagyva
- jelentkezzen be a szolgáltatásnév alatt az alkalmazás hitelesítő adataival (amelyek valószínűleg a szkriptbe vannak beágyazva)
Az Azure-erőforrások felügyelt identitásaival a szkriptügyfélnek sem kell többé tennie, mivel az Azure-erőforrások szolgáltatásnév felügyelt identitásai alatt tud bejelentkezni.
Azure CLI
Az alábbi szkript bemutatja, hogyan:
Jelentkezzen be a Microsoft Entra-azonosítóba a virtuális gép felügyelt identitása alatt az Azure-erőforrások szolgáltatásnévhez
Hívja meg az Azure Resource Managert, és kérje le a virtuális gép szolgáltatásnév-azonosítóját. A parancssori felület gondoskodik a jogkivonatok beszerzésének/használatának automatikus kezeléséről. Mindenképpen cserélje le a virtuális gép nevét a következőre
<VM-NAME>
: .az login --identity $spID=$(az resource list -n <VM-NAME> --query [*].identity.principalId --out tsv) echo The managed identity for Azure resources service principal ID is $spID
Azure PowerShell
Az alábbi szkript bemutatja, hogyan:
Jelentkezzen be a Microsoft Entra-azonosítóba a virtuális gép felügyelt identitása alatt az Azure-erőforrások szolgáltatásnévhez
Hívja meg az Azure Resource Manager-parancsmagot a virtuális gép adatainak lekéréséhez. A PowerShell gondoskodik a jogkivonatok automatikus használatáról.
Add-AzAccount -identity # Call Azure Resource Manager to get the service principal ID for the VM's managed identity for Azure resources. $vmInfoPs = Get-AzVM -ResourceGroupName <RESOURCE-GROUP> -Name <VM-NAME> $spID = $vmInfoPs.Identity.PrincipalId echo "The managed identity for Azure resources service principal ID is $spID"
Erőforrás-azonosítók az Azure-szolgáltatásokhoz
Tekintse meg a Microsoft Entra-hitelesítést támogató Azure-szolgáltatásokat azon erőforrások listájához, amelyek támogatják a Microsoft Entra-azonosítót, és amelyeket felügyelt identitásokkal teszteltek az Azure-erőforrásokhoz és azok erőforrás-azonosítóihoz.
Hibakezelési útmutató
Az alábbiakhoz hasonló válaszok azt jelezhetik, hogy a virtuális gép felügyelt identitása az Azure-erőforrásokhoz nincs megfelelően konfigurálva:
- PowerShell: Invoke-WebRequest: Nem lehet csatlakozni a távoli kiszolgálóhoz
- CLI: MSI: Nem sikerült lekérni egy jogkivonatot
http://localhost:50342/oauth2/token
"HTTP Csatlakozás ionPool(host='localhost", port=50342) hibával.
Ha ezek közül a hibák egyike jelenik meg, térjen vissza az Azure-beli virtuális géphez az Azure Portalon , és lépjen az Identitás lapra, és győződjön meg arról, hogy a hozzárendelt rendszer "Igen" értékre van állítva.
További lépések
- Ha azure-beli virtuális gépen szeretné engedélyezni az Azure-erőforrások felügyelt identitásait, olvassa el Az Azure-beli virtuális gépek felügyelt identitásainak konfigurálása Azure-beli virtuális gépen a PowerShell használatával, illetve Felügyelt identitások konfigurálása Azure-erőforrásokhoz Azure-beli virtuális gépen az Azure CLI használatával című témakört.