Felügyelt identitások konfigurálása Azure-beli virtuális gépeken (virtuális gépeken)
Az Azure-erőforrások felügyelt identitásai a Microsoft Entra ID egyik funkciója. Az Azure-erőforrások felügyelt identitását támogató összes Azure-szolgáltatásra a saját ütemterve vonatkozik. Mielőtt nekikezdene, tekintse át az erőforrásához tartozó felügyelt identitások elérhetőségi állapotát, valamint az ismert problémákat.
Az Azure-erőforrásokhoz tartozó kezelt identitások az Azure-szolgáltatásokat automatikusan kezelt identitással látják el a Microsoft Entra ID-ban. Ezt az identitást használhatja a Microsoft Entra hitelesítést támogató bármely szolgáltatáshoz történő hitelesítéshez anélkül, hogy a kódjában hitelesítő adatokkal rendelkezne.
További információ az Azure Policy definíciójáról és részleteiről: Felügyelt identitások hozzárendelése az Azure Policy használatával (előzetes verzió).
Ebből a cikkből megtudhatja, hogyan engedélyezheti és tilthatja le a rendszer és a felhasználó által hozzárendelt felügyelt identitásokat egy Azure-beli virtuális géphez (VM) az Azure Portal használatával.
Előfeltételek
- Ha nem ismeri az Azure-erőforrások felügyelt identitását, tekintse meg az áttekintési szakaszt.
- Ha még nincs Azure-fiókja, a folytatás előtt regisztráljon egy ingyenes fiókra.
Rendszer által hozzárendelt felügyelt identitás
Ebben a szakaszban megtudhatja, hogyan engedélyezheti és tilthatja le a rendszer által hozzárendelt felügyelt identitást a virtuális gépekhez az Azure Portal használatával.
Rendszer által hozzárendelt felügyelt identitás engedélyezése virtuális gép létrehozása során
A rendszer által hozzárendelt felügyelt identitás virtuális gépen való engedélyezéséhez a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
- Az Identitás szakasz Kezelés lapján váltson a Felügyelt szolgáltatás identitása be állásra.
A virtuális gép létrehozásához tekintse meg az alábbi rövid útmutatókat:
- Windows rendszerű virtuális gép létrehozása az Azure Portallal
- Linux rendszerű virtuális gép létrehozása az Azure Portallal
Rendszer által hozzárendelt felügyelt identitás engedélyezése meglévő virtuális gépen
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
A rendszer által hozzárendelt felügyelt identitás olyan virtuális gépen való engedélyezéséhez, amely eredetileg anélkül lett kiépítve, a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Jelentkezzen be az Azure Portalra a virtuális gépet tartalmazó Azure-előfizetéshez társított fiókkal.
Lépjen a kívánt virtuális gépre, és válassza az Identitás lehetőséget.
A Rendszer hozzárendelt állapota területen válassza a Be elemet, majd kattintson a Mentés gombra:
Rendszer által hozzárendelt felügyelt identitás eltávolítása virtuális gépről
A rendszer által hozzárendelt felügyelt identitás virtuális gépről való eltávolításához a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Ha olyan virtuális gépe van, amely már nem igényel rendszer által hozzárendelt felügyelt identitást:
Jelentkezzen be az Azure Portalra a virtuális gépet tartalmazó Azure-előfizetéshez társított fiókkal.
Lépjen a kívánt virtuális gépre, és válassza az Identitás lehetőséget.
A Hozzárendelt rendszer állapot csoportban válassza a Ki, majd a Mentés gombra:
Felhasználó által hozzárendelt felügyelt identitás
Ebben a szakaszban megtudhatja, hogyan vehet fel és távolíthat el felhasználó által hozzárendelt felügyelt identitást egy virtuális gépről az Azure Portal használatával.
Felhasználó által hozzárendelt identitás hozzárendelése a virtuális gép létrehozása során
Ha felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a virtuálisgép-közreműködői és a felügyelt identitáskezelői szerepkör-hozzárendelésekre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Az Azure Portal jelenleg nem támogatja a felhasználó által hozzárendelt felügyelt identitás hozzárendelését a virtuális gép létrehozása során. Ehelyett tekintse meg az alábbi virtuális gépek létrehozásának rövid útmutatóit, amelyek először létrehoznak egy virtuális gépet, majd folytassa a következő szakaszban a felhasználó által hozzárendelt felügyelt identitás virtuális géphez való hozzárendelésével kapcsolatos részletekért:
- Windows rendszerű virtuális gép létrehozása az Azure Portallal
- Linux rendszerű virtuális gép létrehozása az Azure Portallal
Felhasználó által hozzárendelt felügyelt identitás hozzárendelése meglévő virtuális géphez
Ha felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a virtuálisgép-közreműködői és a felügyelt identitáskezelői szerepkör-hozzárendelésekre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Jelentkezzen be az Azure Portalra a virtuális gépet tartalmazó Azure-előfizetéshez társított fiókkal.
Lépjen a kívánt virtuális gépre, és kattintson az Identitás, a Hozzárendelt felhasználó, majd a +Hozzáadás elemre.
Kattintson a virtuális géphez hozzáadni kívánt felhasználó által hozzárendelt identitásra, majd kattintson a Hozzáadás gombra.
Felhasználó által hozzárendelt felügyelt identitás eltávolítása virtuális gépről
Ha el szeretne távolítani egy felhasználó által hozzárendelt identitást egy virtuális gépről, a fióknak szüksége van a virtuális gép közreműködői szerepkör-hozzárendelésére. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Jelentkezzen be az Azure Portalra a virtuális gépet tartalmazó Azure-előfizetéshez társított fiókkal.
Lépjen a kívánt virtuális gépre, és válassza az Identitás, Felhasználó hozzárendelt, a törölni kívánt felhasználó által hozzárendelt felügyelt identitás nevét, majd kattintson az Eltávolítás gombra (kattintson az Igen gombra a megerősítési panelen).
Következő lépések
- Az Azure Portal használatával adjon hozzáférést egy Azure-beli virtuális gép felügyelt identitásához egy másik Azure-erőforráshoz.
Ebben a cikkben az Azure CLI használatával megtudhatja, hogyan hajthatja végre a következő felügyelt identitásokat az Azure-beli erőforrás-műveletekhez egy Azure-beli virtuális gépen:
- A rendszer által hozzárendelt felügyelt identitás engedélyezése és letiltása egy Azure-beli virtuális gépen
- Felhasználó által hozzárendelt felügyelt identitás hozzáadása és eltávolítása Egy Azure-beli virtuális gépen
Ha még nincs Azure-fiókja, a folytatás előtt regisztráljon egy ingyenes fiókra.
Előfeltételek
- Ha nem ismeri az Azure-erőforrások felügyelt identitását, olvassa el az Azure-erőforrások felügyelt identitásai című témakört. A rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitástípusokról a Felügyelt identitástípusok című témakörben olvashat.
Használja a Bash-környezetet az Azure Cloud Shellben. További információ: A Bash rövid útmutatója az Azure Cloud Shellben.
Ha inkább helyi cli-referenciaparancsokat szeretne futtatni, telepítse az Azure CLI-t. Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.
Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd : Bejelentkezés az Azure CLI-vel.
Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata az Azure CLI-vel.
Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.
Rendszer által hozzárendelt felügyelt identitás
Ebben a szakaszban megtudhatja, hogyan engedélyezheti és tilthatja le a rendszer által hozzárendelt felügyelt identitást egy Azure-beli virtuális gépen az Azure CLI használatával.
Rendszer által hozzárendelt felügyelt identitás engedélyezése azure-beli virtuális gép létrehozásakor
Ahhoz, hogy azure-beli virtuális gépet hozzon létre, amelyen engedélyezve van a rendszer által hozzárendelt felügyelt identitás, a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Az az group create paranccsal hozzon létre egy erőforráscsoportot a virtuális gép és az ahhoz kapcsolódó erőforrások elkülönítéséhez és üzembe helyezéséhez. Ezt a lépést kihagyhatja, ha inkább egy meglévő erőforráscsoportot kíván használni:
az group create --name myResourceGroup --location westusHozzon létre egy virtuális gépet az az vm create paranccsal. Az alábbi példa létrehoz egy myVM nevű virtuális gépet egy rendszer által hozzárendelt felügyelt identitással, a
--assign-identityparaméter kérésének megfelelően, a megadott--roleés--scopea . Az--admin-usernameés--admin-passwordparaméterek adják meg a virtuális gép bejelentkeztetéséhez tartozó rendszergazdanevet és -jelszót. A környezetnek megfelelően frissítse ezeket az értékeket:az vm create --resource-group myResourceGroup --name myVM --image win2016datacenter --generate-ssh-keys --assign-identity --role contributor --scope mySubscription --admin-username azureuser --admin-password myPassword12
Rendszer által hozzárendelt felügyelt identitás engedélyezése meglévő Azure-beli virtuális gépen
A rendszer által hozzárendelt felügyelt identitás virtuális gépen való engedélyezéséhez a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Ha az Azure CLI-t helyi konzolban használja, akkor először az az login paranccsal jelentkezzen be az Azure-ba. Használjon egy fiókot, amely a virtuális gépet tartalmazó Azure-előfizetéshez van társítva.
az loginHasználja az az vm identity assign with the
identity assigncommand enable the system-assigned identity to a existing vm:az vm identity assign -g myResourceGroup -n myVm
Rendszer által hozzárendelt identitás letiltása Azure-beli virtuális gépről
Ha le szeretné tiltani a rendszer által hozzárendelt felügyelt identitást egy virtuális gépen, a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Ha olyan virtuális gépe van, amelyre már nincs szüksége a rendszer által hozzárendelt identitásra, de továbbra is felhasználó által hozzárendelt identitásra van szüksége, használja a következő parancsot:
az vm update -n myVM -g myResourceGroup --set identity.type='UserAssigned'
Ha olyan virtuális gépe van, amelynek már nincs szüksége rendszer által hozzárendelt identitásra, és nincs felhasználó által hozzárendelt identitása, használja a következő parancsot:
Feljegyzés
Az érték none megkülönbözteti a kis- és nagybetűk értékét. Kisbetűsnek kell lennie.
az vm update -n myVM -g myResourceGroup --set identity.type="none"
Felhasználó által hozzárendelt felügyelt identitás
Ebben a szakaszban megtudhatja, hogyan vehet fel és távolíthat el felhasználó által hozzárendelt felügyelt identitást egy Azure-beli virtuális gépről az Azure CLI használatával. Ha a felhasználó által hozzárendelt felügyelt identitást egy másik RG-ben hozza létre, mint a virtuális gép. A felügyelt identitás URL-címével kell hozzárendelnie azt a virtuális géphez. Példa:
--identities "/subscriptions/<SUBID>/resourcegroups/<RESROURCEGROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER_ASSIGNED_ID_NAME>"
Felhasználó által hozzárendelt felügyelt identitás hozzárendelése egy Azure-beli virtuális gép létrehozása során
Ha a létrehozása során felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a virtuálisgép-közreműködői és a felügyelt identitáskezelői szerepkör-hozzárendelésekre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Ezt a lépést kihagyhatja, ha már van egy használni kívánt erőforráscsoportja. Hozzon létre egy erőforráscsoportot a felhasználó által hozzárendelt felügyelt identitás elszigeteléséhez és üzembe helyezéséhez az az group create használatával. Ne felejtse el a
<RESOURCE GROUP>és<LOCATION>paraméterek értékeit a saját értékeire cserélni. :az group create --name <RESOURCE GROUP> --location <LOCATION>Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást az az identity create paranccsal. A
-gparaméter adja meg azt az erőforráscsoportot, amelyben a felhasználó által hozzárendelt felügyelt identitás létre lesz hozva, a-nparaméter pedig annak nevét határozza meg.Fontos
Felhasználó által hozzárendelt felügyelt identitások létrehozásakor a névnek betűvel vagy számmal kell kezdődnie, és tartalmazhat alfanumerikus karaktereket, kötőjeleket (-) és aláhúzásjeleket (_). Ahhoz, hogy a virtuális géphez vagy a virtuálisgép-méretezési csoporthoz való hozzárendelés megfelelően működjön, a név legfeljebb 24 karakter hosszúságú lehet. További információkért lásd a gyakori kérdéseket és az ismert problémákat.
az identity create -g myResourceGroup -n myUserAssignedIdentityA válasz az alábbiakhoz hasonlóan tartalmazza a felhasználó által hozzárendelt felügyelt identitás részleteit. A felhasználó által hozzárendelt felügyelt identitáshoz rendelt erőforrás-azonosító értékét a következő lépésben használjuk.
{ "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444", "clientSecretUrl": "https://control-westcentralus.identity.azure.net/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<myUserAssignedIdentity>/credentials?tid=5678&oid=9012&aid=aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb", "id": "/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>", "location": "westcentralus", "name": "<USER ASSIGNED IDENTITY NAME>", "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", "resourceGroup": "<RESOURCE GROUP>", "tags": {}, "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee", "type": "Microsoft.ManagedIdentity/userAssignedIdentities" }Hozzon létre egy virtuális gépet az az vm create paranccsal. Az alábbi példa létrehoz egy, a paraméter által
--assign-identitymegadott új, felhasználó által hozzárendelt identitáshoz társított virtuális gépet a megadott--roleés--scopea . Mindenképpen cserélje le a<RESOURCE GROUP>,<VM NAME>, ,<PASSWORD><USER NAME>,<USER ASSIGNED IDENTITY NAME>, ,<ROLE>és<SUBSCRIPTION>paraméterértékeket a saját értékeire.az vm create --resource-group <RESOURCE GROUP> --name <VM NAME> --image <SKU linux image> --admin-username <USER NAME> --admin-password <PASSWORD> --assign-identity <USER ASSIGNED IDENTITY NAME> --role <ROLE> --scope <SUBSCRIPTION>
Felhasználó által hozzárendelt felügyelt identitás hozzárendelése meglévő Azure-beli virtuális géphez
Ha felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a virtuálisgép-közreműködői és a felügyelt identitáskezelői szerepkör-hozzárendelésekre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Hozzon létre egy felhasználóhoz rendelt identitást az az identity create paranccsal. A
-gparaméter megadja azt az erőforráscsoportot, ahol a felhasználó által hozzárendelt identitás létrejön, és a paraméter megadja a-nnevét. Ne felejtse el a<RESOURCE GROUP>és<USER ASSIGNED IDENTITY NAME>paraméterek értékeit a saját értékeire cserélni:Fontos
A felhasználó által hozzárendelt, speciális karakterekkel (azaz aláhúzásjellel) rendelkező felügyelt identitások létrehozása jelenleg nem támogatott. Használjon alfanumerikus karaktereket. Térjen vissza frissítésekért. További információkért lásd a gyakori kérdéseket és az ismert problémákat
az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>A válasz az alábbiakhoz hasonlóan tartalmazza a felhasználó által hozzárendelt felügyelt identitás részleteit.
{ "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444", "clientSecretUrl": "https://control-westcentralus.identity.azure.net/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/credentials?tid=5678&oid=9012&aid=aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb", "id": "/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>", "location": "westcentralus", "name": "<USER ASSIGNED IDENTITY NAME>", "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", "resourceGroup": "<RESOURCE GROUP>", "tags": {}, "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee", "type": "Microsoft.ManagedIdentity/userAssignedIdentities" }Rendelje hozzá a felhasználó által hozzárendelt identitást a virtuális géphez az az vm identity assign használatával. Ne felejtse el a
<RESOURCE GROUP>és<VM NAME>paraméterek értékeit a saját értékeire cserélni. Ez<USER ASSIGNED IDENTITY NAME>a felhasználó által hozzárendelt felügyelt identitás erőforrás-tulajdonságanameaz előző lépésben létrehozott módon. Ha a felhasználó által hozzárendelt felügyelt identitást egy másik RG-ben hozta létre, mint a virtuális gép. A felügyelt identitás URL-címét kell használnia.az vm identity assign -g <RESOURCE GROUP> -n <VM NAME> --identities <USER ASSIGNED IDENTITY>
Felhasználó által hozzárendelt felügyelt identitás eltávolítása egy Azure-beli virtuális gépről
Ha el szeretne távolítani egy felhasználó által hozzárendelt identitást egy virtuális gépről, a fióknak szüksége van a virtuális gép közreműködői szerepkör-hozzárendelésére.
Ha ez az egyetlen, a virtuális géphez hozzárendelt felhasználó által hozzárendelt felügyelt identitás, UserAssigned akkor a rendszer eltávolítja az identitástípus értékét. Ne felejtse el a <RESOURCE GROUP> és <VM NAME> paraméterek értékeit a saját értékeire cserélni. Ez <USER ASSIGNED IDENTITY> lesz a felhasználó által hozzárendelt identitástulajdonság name , amely a virtuális gép identitásszakaszában található a következő használatával az vm identity show:
az vm identity remove -g <RESOURCE GROUP> -n <VM NAME> --identities <USER ASSIGNED IDENTITY>
Ha a virtuális gép nem rendelkezik rendszer által hozzárendelt felügyelt identitással, és el szeretné távolítani belőle az összes felhasználó által hozzárendelt identitást, használja a következő parancsot:
Feljegyzés
Az érték none megkülönbözteti a kis- és nagybetűk értékét. Kisbetűsnek kell lennie.
az vm update -n myVM -g myResourceGroup --set identity.type="none" identity.userAssignedIdentities=null
Ha a virtuális gép rendszer által hozzárendelt és felhasználó által hozzárendelt identitásokkal is rendelkezik, a felhasználó által hozzárendelt összes identitást eltávolíthatja úgy, hogy csak a rendszer által hozzárendelt identitást használja. Használja az alábbi parancsot:
az vm update -n myVM -g myResourceGroup --set identity.type='SystemAssigned' identity.userAssignedIdentities=null
Következő lépések
- Felügyelt identitások az Azure-erőforrásokhoz – áttekintés
- Az Azure-beli virtuális gépek létrehozásának rövid útmutatói:
Ebben a cikkben a PowerShell használatával megtudhatja, hogyan hajthatja végre a következő felügyelt identitásokat az Azure-beli erőforrás-műveletekhez egy Azure-beli virtuális gépen.
Feljegyzés
Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.
Előfeltételek
- Ha nem ismeri az Azure-erőforrások felügyelt identitását, tekintse meg az áttekintési szakaszt. Mindenképpen tekintse át a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitás közötti különbséget.
- Ha még nincs Azure-fiókja, a folytatás előtt regisztráljon egy ingyenes fiókra.
- A példaszkriptek futtatásához két lehetősége van:
- Használja az Azure Cloud Shellt, amelyet a kódblokkok jobb felső sarkában található Kipróbálás gombbal nyithat meg.
- Futtassa helyileg a szkripteket az Azure PowerShell legújabb verziójának telepítésével, majd jelentkezzen be az Azure-ba a használatával
Connect-AzAccount.
Rendszer által hozzárendelt felügyelt identitás
Ebben a szakaszban bemutatjuk, hogyan engedélyezheti és tilthatja le a rendszer által hozzárendelt felügyelt identitást az Azure PowerShell használatával.
Rendszer által hozzárendelt felügyelt identitás engedélyezése azure-beli virtuális gép létrehozásakor
Ahhoz, hogy azure-beli virtuális gépet hozzon létre, amelyen engedélyezve van a rendszer által hozzárendelt felügyelt identitás, a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Tekintse meg az alábbi Azure-beli virtuális gépek rövid útmutatóit, és csak a szükséges szakaszokat töltse ki ("Bejelentkezés az Azure-ba", "Erőforráscsoport létrehozása", "Hálózati csoport létrehozása", "Virtuális gép létrehozása").
A "Virtuális gép létrehozása" szakasz megnyitásakor módosítsa a New-AzVMConfig parancsmag szintaxisát. Adjon hozzá egy paramétert
-IdentityType SystemAssigneda virtuális gép üzembe helyezéséhez a rendszer által hozzárendelt identitás engedélyezésével, például:$vmConfig = New-AzVMConfig -VMName myVM -IdentityType SystemAssigned ...
Rendszer által hozzárendelt felügyelt identitás engedélyezése meglévő Azure-beli virtuális gépen
A rendszer által hozzárendelt felügyelt identitás olyan virtuális gépen való engedélyezéséhez, amely eredetileg anélkül lett kiépítve, a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Kérje le a virtuálisgép-tulajdonságokat a
Get-AzVMparancsmag használatával. Ezután a rendszer által hozzárendelt felügyelt identitás engedélyezéséhez használja az-IdentityTypeUpdate-AzVM parancsmag kapcsolót:$vm = Get-AzVM -ResourceGroupName myResourceGroup -Name myVM Update-AzVM -ResourceGroupName myResourceGroup -VM $vm -IdentityType SystemAssigned
Virtuálisgép-rendszer által hozzárendelt identitás hozzáadása egy csoporthoz
Miután engedélyezte a rendszer által hozzárendelt identitást egy virtuális gépen, hozzáadhatja azt egy csoporthoz. Az alábbi eljárás hozzáad egy virtuális gép rendszer által hozzárendelt identitását egy csoporthoz.
Kérje le és jegyezze fel a
ObjectIDvirtuális gép szolgáltatásnévének (aIdvisszaadott értékek mezőjében megadott) értékét:Get-AzADServicePrincipal -displayname "myVM"Kérje le és jegyezze fel a
ObjectIDcsoport (aIdvisszaadott értékek mezőjében megadott) értékét:Get-AzADGroup -searchstring "myGroup"Adja hozzá a virtuális gép szolgáltatásnevét a csoporthoz:
New-MgGroupMember -GroupId "<Id of group>" -DirectoryObjectId "<Id of VM service principal>"
Rendszer által hozzárendelt felügyelt identitás letiltása Azure-beli virtuális gépről
Ha le szeretné tiltani a rendszer által hozzárendelt felügyelt identitást egy virtuális gépen, a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Ha olyan virtuális gépe van, amelyre már nincs szüksége a rendszer által hozzárendelt felügyelt identitásra, de továbbra is felhasználó által hozzárendelt felügyelt identitásra van szüksége, használja a következő parancsmagot:
A parancsmaggal kérje le a
Get-AzVMvirtuálisgép-tulajdonságokat, és állítsa a paramétert a-IdentityTypekövetkezőreUserAssigned:$vm = Get-AzVM -ResourceGroupName myResourceGroup -Name myVM Update-AzVm -ResourceGroupName myResourceGroup -VM $vm -IdentityType "UserAssigned" -IdentityID "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/<RESROURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>..."
Ha olyan virtuális gépe van, amelynek már nincs szüksége rendszer által hozzárendelt felügyelt identitásra, és nincs felhasználó által hozzárendelt felügyelt identitása, használja a következő parancsokat:
$vm = Get-AzVM -ResourceGroupName myResourceGroup -Name myVM
Update-AzVm -ResourceGroupName myResourceGroup -VM $vm -IdentityType None
Felhasználó által hozzárendelt felügyelt identitás
Ebben a szakaszban megtudhatja, hogyan vehet fel és távolíthat el felhasználó által hozzárendelt felügyelt identitást egy virtuális gépről az Azure PowerShell használatával.
Felhasználó által hozzárendelt felügyelt identitás hozzárendelése virtuális géphez a létrehozás során
Ha felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a virtuálisgép-közreműködői és a felügyelt identitáskezelői szerepkör-hozzárendelésekre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Tekintse meg az alábbi Azure-beli virtuális gépek rövid útmutatóit, és csak a szükséges szakaszokat töltse ki ("Bejelentkezés az Azure-ba", "Erőforráscsoport létrehozása", "Hálózati csoport létrehozása", "Virtuális gép létrehozása").
A "Virtuális gép létrehozása" szakasz megnyitásakor módosítsa a
New-AzVMConfigparancsmag szintaxisát. Adja hozzá a-IdentityType UserAssignedvirtuális gép felhasználó által hozzárendelt identitással való kiépítéséhez szükséges paramétereket és-IdentityIDparamétereket. Cserélje le<VM NAME>a ,<SUBSCRIPTION ID>,<RESROURCE GROUP>és<USER ASSIGNED IDENTITY NAME>a saját értékeit. Példa:$vmConfig = New-AzVMConfig -VMName <VM NAME> -IdentityType UserAssigned -IdentityID "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/<RESROURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>..."
Felhasználó által hozzárendelt felügyelt identitás hozzárendelése meglévő Azure-beli virtuális géphez
Ha felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a virtuálisgép-közreműködői és a felügyelt identitáskezelői szerepkör-hozzárendelésekre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást a New-AzUserAssignedIdentity parancsmaggal. Jegyezze fel a
Idkimenetet, mert a következő lépésben szüksége lesz ezekre az információkra.Fontos
A felhasználó által hozzárendelt felügyelt identitások létrehozása csak alfanumerikus, aláhúzásjel és kötőjel (0-9 vagy a-z vagy A-Z, _ vagy -) karaktereket támogat. Emellett a névnek 3–128 karakter hosszúságúnak kell lennie ahhoz, hogy a virtuális géphez/VMSS-hez való hozzárendelés megfelelően működjön. További információkért lásd a gyakori kérdéseket és az ismert problémákat
New-AzUserAssignedIdentity -ResourceGroupName <RESOURCEGROUP> -Name <USER ASSIGNED IDENTITY NAME>Kérje le a virtuálisgép-tulajdonságokat a
Get-AzVMparancsmag használatával. Ezután ha felhasználó által hozzárendelt felügyelt identitást szeretne hozzárendelni az Azure-beli virtuális géphez, használja az-IdentityTypeUpdate-AzVM parancsmagot, és-IdentityIDkapcsolja be. A paraméter értéke azIdelőző lépésben feljegyzett érték-IdentityId. Cserélje le<VM NAME>a ,<SUBSCRIPTION ID>,<RESROURCE GROUP>és<USER ASSIGNED IDENTITY NAME>a saját értékeit.Figyelmeztetés
A virtuális géphez korábban hozzárendelt, felhasználó által hozzárendelt felügyelt identitások megőrzéséhez kérdezze le a
Identityvirtuálisgép-objektum tulajdonságát (például$vm.Identity). Ha a rendszer visszaadja a felhasználó által hozzárendelt felügyelt identitásokat, vegye fel őket a következő parancsba a virtuális géphez hozzárendelni kívánt új felhasználó által hozzárendelt felügyelt identitással együtt.$vm = Get-AzVM -ResourceGroupName <RESOURCE GROUP> -Name <VM NAME> # Get the list of existing identity IDs and then append to it $identityIds = $vm.Identity.UserAssignedIdentities.Keys $uid = "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/<RESROURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>" $identityIds = $identityIds + $uid # Update the VM with added identity IDs Update-AzVM -ResourceGroupName <RESOURCE GROUP> -VM $vm -IdentityType UserAssigned -IdentityID $uid
Felhasználó által hozzárendelt felügyelt identitás eltávolítása egy Azure-beli virtuális gépről
Ha el szeretne távolítani egy felhasználó által hozzárendelt identitást egy virtuális gépről, a fióknak szüksége van a virtuális gép közreműködői szerepkör-hozzárendelésére.
Ha a virtuális gép több, felhasználó által hozzárendelt felügyelt identitással rendelkezik, a következő parancsokkal eltávolíthatja az összeset, az utolsót ki nem. Ne felejtse el a <RESOURCE GROUP> és <VM NAME> paraméterek értékeit a saját értékeire cserélni. Ez <USER ASSIGNED IDENTITY NAME> a felhasználó által hozzárendelt felügyelt identitás névtulajdonság, amelynek a virtuális gépen kell maradnia. Ez az információ egy lekérdezéssel felderíthető a Identity virtuálisgép-objektum tulajdonságának kereséséhez. Például $vm.Identity:
$vm = Get-AzVm -ResourceGroupName myResourceGroup -Name myVm
Update-AzVm -ResourceGroupName myResourceGroup -VirtualMachine $vm -IdentityType UserAssigned -IdentityID <USER ASSIGNED IDENTITY NAME>
Ha a virtuális gép nem rendelkezik rendszer által hozzárendelt felügyelt identitással, és el szeretné távolítani belőle az összes felhasználó által hozzárendelt felügyelt identitást, használja a következő parancsot:
$vm = Get-AzVm -ResourceGroupName myResourceGroup -Name myVm
Update-AzVm -ResourceGroupName myResourceGroup -VM $vm -IdentityType None
Ha a virtuális gép rendszer által hozzárendelt és felhasználó által hozzárendelt felügyelt identitásokkal is rendelkezik, eltávolíthatja a felhasználó által hozzárendelt felügyelt identitásokat úgy, hogy csak a rendszer által hozzárendelt felügyelt identitásokat használja.
$vm = Get-AzVm -ResourceGroupName myResourceGroup -Name myVm
Update-AzVm -ResourceGroupName myResourceGroup -VirtualMachine $vm -IdentityType "SystemAssigned"
Következő lépések
Az Azure-beli virtuális gépek létrehozásának rövid útmutatói:
Ebben a cikkben az Azure Resource Manager üzembehelyezési sablon használatával megtudhatja, hogyan hajthatja végre a következő felügyelt identitásokat az Azure-beli erőforrás-műveletekhez egy Azure-beli virtuális gépen:
Előfeltételek
- Ha nem ismeri az Azure Resource Manager üzembehelyezési sablonját, tekintse meg az áttekintési szakaszt. Mindenképpen tekintse át a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitás közötti különbséget.
- Ha még nincs Azure-fiókja, a folytatás előtt regisztráljon egy ingyenes fiókra.
Azure Resource Manager-sablonok
Az Azure Portalhoz és a szkripteléshez hasonlóan az Azure Resource Manager-sablonok lehetővé teszik egy Azure-erőforráscsoport által definiált új vagy módosított erőforrások üzembe helyezését. A sablonszerkesztéshez és az üzembe helyezéshez több lehetőség is rendelkezésre áll, helyi és portálalapú is, például:
- Egyéni sablon használata az Azure Marketplace-ről, amely lehetővé teszi, hogy teljesen új sablont hozzon létre, vagy egy meglévő általános vagy gyorsútmutató-sablonra alapozza.
- Egy meglévő erőforráscsoportból származik, ha egy sablont exportál az eredeti üzembe helyezésből vagy az üzembe helyezés aktuális állapotából.
- Helyi JSON-szerkesztő (például VS Code) használata, majd feltöltés és üzembe helyezés a PowerShell vagy a parancssori felület használatával.
- A Visual Studio Azure Resource Group projekt használatával sablont hozhat létre és helyezhet üzembe.
A választott beállítástól függetlenül a sablon szintaxisa megegyezik a kezdeti üzembe helyezés és az ismételt üzembe helyezés során. A rendszer vagy a felhasználó által hozzárendelt felügyelt identitás engedélyezése egy új vagy meglévő virtuális gépen ugyanúgy történik. Emellett az Azure Resource Manager alapértelmezés szerint növekményes frissítést végez az üzemelő példányokon.
Rendszer által hozzárendelt felügyelt identitás
Ebben a szakaszban egy rendszer által hozzárendelt felügyelt identitást fog engedélyezni és letiltani egy Azure Resource Manager-sablon használatával.
Rendszer által hozzárendelt felügyelt identitás engedélyezése Azure-beli virtuális gép vagy meglévő virtuális gép létrehozása során
A rendszer által hozzárendelt felügyelt identitás virtuális gépen való engedélyezéséhez a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Akár helyileg, akár az Azure Portalon keresztül jelentkezik be az Azure-ba, használjon egy fiókot, amely a virtuális gépet tartalmazó Azure-előfizetéshez van társítva.
A rendszer által hozzárendelt felügyelt identitás engedélyezéséhez töltse be a sablont egy szerkesztőbe, keresse meg a szakaszon belül
resourcesazMicrosoft.Compute/virtualMachinesérdeklődésre számot tartó erőforrást, és adja hozzá a"identity"tulajdonságot a"type": "Microsoft.Compute/virtualMachines"tulajdonságtal azonos szinten. Alkalmazza a következő szintaxist:"identity": { "type": "SystemAssigned" },Ha elkészült, a következő szakaszokat kell hozzáadni a
resourcesablon szakaszához, és az alábbihoz hasonlónak kell lennie:"resources": [ { //other resource provider properties... "apiVersion": "2018-06-01", "type": "Microsoft.Compute/virtualMachines", "name": "[variables('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "SystemAssigned", } } ]
Szerepkör hozzárendelése a virtuális gép rendszer által hozzárendelt felügyelt identitásához
Miután engedélyezte a rendszer által hozzárendelt felügyelt identitást a virtuális gépen, érdemes lehet egy olyan szerepkört biztosítani neki, mint például olvasói hozzáférést ahhoz az erőforráscsoporthoz, amelyben létrejött. Ebben a lépésben részletes információkat talál az Azure-szerepkörök hozzárendelése Azure Resource Manager-sablonok használatával című cikkben.
Rendszer által hozzárendelt felügyelt identitás letiltása Egy Azure-beli virtuális gépről
A rendszer által hozzárendelt felügyelt identitás virtuális gépről való eltávolításához a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Akár helyileg, akár az Azure Portalon keresztül jelentkezik be az Azure-ba, használjon egy fiókot, amely a virtuális gépet tartalmazó Azure-előfizetéshez van társítva.
Töltse be a sablont egy szerkesztőbe , és keresse meg a szakaszon belül a
Microsoft.Compute/virtualMachinesfontos erőforrástresources. Ha olyan virtuális gépe van, amely csak rendszer által hozzárendelt felügyelt identitással rendelkezik, letilthatja azt az identitástípusNonemódosításával.Microsoft.Compute/virtualMachines API 2018-06-01-es verzió
Ha a virtuális gép rendszer- és felhasználó által hozzárendelt felügyelt identitásokkal is rendelkezik, távolítsa el
SystemAssignedaz identitástípust, és tartsa megUserAssignedauserAssignedIdentitiesszótár értékeit.Microsoft.Compute/virtualMachines API 2018-06-01-es verzió
Ha az
2017-12-01ÖnapiVersionés a virtuális gép egyaránt rendelkezik rendszer- és felhasználó által hozzárendelt felügyelt identitásokkal, távolítsa elSystemAssignedaz identitástípust, és tartsa megUserAssignedaidentityIdsfelhasználó által hozzárendelt felügyelt identitások tömbjével együtt.
Az alábbi példa bemutatja, hogyan távolíthat el egy rendszer által hozzárendelt felügyelt identitást egy felhasználó által hozzárendelt felügyelt identitás nélküli virtuális gépről:
{
"apiVersion": "2018-06-01",
"type": "Microsoft.Compute/virtualMachines",
"name": "[parameters('vmName')]",
"location": "[resourceGroup().location]",
"identity": {
"type": "None"
}
}
Felhasználó által hozzárendelt felügyelt identitás
Ebben a szakaszban egy felhasználó által hozzárendelt felügyelt identitást rendel egy Azure-beli virtuális géphez Azure Resource Manager-sablonnal.
Feljegyzés
Ha felhasználó által hozzárendelt felügyelt identitást szeretne létrehozni egy Azure Resource Manager-sablonnal, olvassa el a felhasználó által hozzárendelt felügyelt identitás létrehozása című témakört.
Felhasználó által hozzárendelt felügyelt identitás hozzárendelése azure-beli virtuális géphez
Ha felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a Felügyelt identitáskezelő szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
resourcesAz elem alatt adja hozzá a következő bejegyzést a felhasználó által hozzárendelt felügyelt identitás virtuális géphez való hozzárendeléséhez. Mindenképpen cserélje le<USERASSIGNEDIDENTITY>a létrehozott, felhasználó által hozzárendelt felügyelt identitás nevét.Microsoft.Compute/virtualMachines API 2018-06-01-es verzió
apiVersionHa igen2018-06-01, a felhasználó által hozzárendelt felügyelt identitások szótárformátumbanuserAssignedIdentitiesvannak tárolva, és az<USERASSIGNEDIDENTITYNAME>értéket a sablon szakaszában meghatározott változóbanvariableskell tárolni.{ "apiVersion": "2018-06-01", "type": "Microsoft.Compute/virtualMachines", "name": "[variables('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "userAssigned", "userAssignedIdentities": { "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {} } } }Microsoft.Compute/virtualMachines API 2017-12-01-es verzió
Ha igen
apiVersion2017-12-01, a felhasználó által hozzárendelt felügyelt identitásokat aidentityIdstömb tárolja, az<USERASSIGNEDIDENTITYNAME>értéket pedig avariablessablon szakaszában meghatározott változóban kell tárolni.{ "apiVersion": "2017-12-01", "type": "Microsoft.Compute/virtualMachines", "name": "[variables('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "userAssigned", "identityIds": [ "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]" ] } }Ha elkészült, a következő szakaszokat kell hozzáadni a
resourcesablon szakaszához, és az alábbihoz hasonlónak kell lennie:Microsoft.Compute/virtualMachines API 2018-06-01-es verzió
"resources": [ { //other resource provider properties... "apiVersion": "2018-06-01", "type": "Microsoft.Compute/virtualMachines", "name": "[variables('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "userAssigned", "userAssignedIdentities": { "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {} } } } ]Microsoft.Compute/virtualMachines API 2017-12-01-es verzió
"resources": [ { //other resource provider properties... "apiVersion": "2017-12-01", "type": "Microsoft.Compute/virtualMachines", "name": "[variables('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "userAssigned", "identityIds": [ "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]" ] } } ]
Felhasználó által hozzárendelt felügyelt identitás eltávolítása egy Azure-beli virtuális gépről
Ha el szeretne távolítani egy felhasználó által hozzárendelt identitást egy virtuális gépről, a fióknak szüksége van a virtuális gép közreműködői szerepkör-hozzárendelésére. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Akár helyileg, akár az Azure Portalon keresztül jelentkezik be az Azure-ba, használjon egy fiókot, amely a virtuális gépet tartalmazó Azure-előfizetéshez van társítva.
Töltse be a sablont egy szerkesztőbe , és keresse meg a szakaszon belül a
Microsoft.Compute/virtualMachinesfontos erőforrástresources. Ha olyan virtuális géppel rendelkezik, amely csak felhasználó által hozzárendelt felügyelt identitással rendelkezik, letilthatja azt az identitástípusNonemódosításával.Az alábbi példa bemutatja, hogyan távolíthat el minden felhasználó által hozzárendelt felügyelt identitást egy rendszer által hozzárendelt felügyelt identitást nem tartalmazó virtuális gépről:
{ "apiVersion": "2018-06-01", "type": "Microsoft.Compute/virtualMachines", "name": "[parameters('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "None" }, }Microsoft.Compute/virtualMachines API 2018-06-01-es verzió
Ha egyetlen felhasználó által hozzárendelt felügyelt identitást szeretne eltávolítani egy virtuális gépről, távolítsa el azt a
useraAssignedIdentitiesszótárból.Ha rendszer által hozzárendelt felügyelt identitással rendelkezik, tartsa az
typeérték alattidentity.Microsoft.Compute/virtualMachines API 2017-12-01-es verzió
Ha egyetlen felhasználó által hozzárendelt felügyelt identitást szeretne eltávolítani egy virtuális gépről, távolítsa el azt a
identityIdstömbből.Ha rendszer által hozzárendelt felügyelt identitással rendelkezik, tartsa az
typeérték alattidentity.
Következő lépések
Ebben a cikkben az Azure Resource Manager REST-végpontjára irányuló hívások curl használatával megtudhatja, hogyan hajthatja végre a következő felügyelt identitásokat az Azure-beli erőforrás-műveletekhez egy Azure-beli virtuális gépen:
- A rendszer által hozzárendelt felügyelt identitás engedélyezése és letiltása egy Azure-beli virtuális gépen
- Felhasználó által hozzárendelt felügyelt identitás hozzáadása és eltávolítása Egy Azure-beli virtuális gépen
Ha még nincs Azure-fiókja, a folytatás előtt regisztráljon egy ingyenes fiókra.
Előfeltételek
- Ha nem ismeri az Azure-erőforrások felügyelt identitását, olvassa el az Azure-erőforrások felügyelt identitásai című témakört. A rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitástípusokról a Felügyelt identitástípusok című témakörben olvashat.
Használja a Bash-környezetet az Azure Cloud Shellben. További információ: A Bash rövid útmutatója az Azure Cloud Shellben.
Ha inkább helyi cli-referenciaparancsokat szeretne futtatni, telepítse az Azure CLI-t. Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.
Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd : Bejelentkezés az Azure CLI-vel.
Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata az Azure CLI-vel.
Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.
Rendszer által hozzárendelt felügyelt identitás
Ebben a szakaszban megtudhatja, hogyan engedélyezheti és tilthatja le a rendszer által hozzárendelt felügyelt identitást egy Azure-beli virtuális gépen a CURL használatával az Azure Resource Manager REST-végpontjának hívásához.
Rendszer által hozzárendelt felügyelt identitás engedélyezése azure-beli virtuális gép létrehozásakor
Ahhoz, hogy azure-beli virtuális gépet hozzon létre, amelyen engedélyezve van a rendszer által hozzárendelt felügyelt identitás, a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Az az group create paranccsal hozzon létre egy erőforráscsoportot a virtuális gép és az ahhoz kapcsolódó erőforrások elkülönítéséhez és üzembe helyezéséhez. Ezt a lépést kihagyhatja, ha inkább egy meglévő erőforráscsoportot kíván használni:
az group create --name myResourceGroup --location westusHozzon létre egy hálózati adaptert a virtuális géphez:
az network nic create -g myResourceGroup --vnet-name myVnet --subnet mySubnet -n myNicKérje le a Tulajdonos hozzáférési jogkivonatát, amelyet az Engedélyezés fejléc következő lépésében fog használni a virtuális gép rendszer által hozzárendelt felügyelt identitással való létrehozásához.
az account get-access-tokenAz Azure Cloud Shell használatával hozzon létre egy virtuális gépet a CURL használatával az Azure Resource Manager REST-végpontjának meghívásához. Az alábbi példa egy myVM nevű virtuális gépet hoz létre egy rendszer által hozzárendelt felügyelt identitással, amelyet az érték
"identity":{"type":"SystemAssigned"}azonosít a kérelem törzsében. Cserélje le<ACCESS TOKEN>az előző lépésben kapott értékre, amikor tulajdonosi hozzáférési jogkivonatot és a<SUBSCRIPTION ID>környezetnek megfelelő értéket kért.curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PUT -d '{"location":"westus","name":"myVM","identity":{"type":"SystemAssigned"},"properties":{"hardwareProfile":{"vmSize":"Standard_D2_v2"},"storageProfile":{"imageReference":{"sku":"2016-Datacenter","publisher":"MicrosoftWindowsServer","version":"latest","offer":"WindowsServer"},"osDisk":{"caching":"ReadWrite","managedDisk":{"storageAccountType":"StandardSSD_LRS"},"name":"myVM3osdisk","createOption":"FromImage"},"dataDisks":[{"diskSizeGB":1023,"createOption":"Empty","lun":0},{"diskSizeGB":1023,"createOption":"Empty","lun":1}]},"osProfile":{"adminUsername":"azureuser","computerName":"myVM","adminPassword":"<SECURE PASSWORD STRING>"},"networkProfile":{"networkInterfaces":[{"id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myNic","properties":{"primary":true}}]}}}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1Kérelemfejlécek
Kérelem fejléce Leírás Tartalomtípus Szükséges. Állítsa application/jsonértékre.Engedélyezés Szükséges. Állítson be érvényes Bearerhozzáférési jogkivonatot.Kérelem törzse
{ "location":"westus", "name":"myVM", "identity":{ "type":"SystemAssigned" }, "properties":{ "hardwareProfile":{ "vmSize":"Standard_D2_v2" }, "storageProfile":{ "imageReference":{ "sku":"2016-Datacenter", "publisher":"MicrosoftWindowsServer", "version":"latest", "offer":"WindowsServer" }, "osDisk":{ "caching":"ReadWrite", "managedDisk":{ "storageAccountType":"StandardSSD_LRS" }, "name":"myVM3osdisk", "createOption":"FromImage" }, "dataDisks":[ { "diskSizeGB":1023, "createOption":"Empty", "lun":0 }, { "diskSizeGB":1023, "createOption":"Empty", "lun":1 } ] }, "osProfile":{ "adminUsername":"azureuser", "computerName":"myVM", "adminPassword":"myPassword12" }, "networkProfile":{ "networkInterfaces":[ { "id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myNic", "properties":{ "primary":true } } ] } } }
Rendszer által hozzárendelt identitás engedélyezése meglévő Azure-beli virtuális gépen
A rendszer által hozzárendelt felügyelt identitás olyan virtuális gépen való engedélyezéséhez, amely eredetileg anélkül lett kiépítve, a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Kérje le a Tulajdonos hozzáférési jogkivonatát, amelyet az Engedélyezés fejléc következő lépésében fog használni a virtuális gép rendszer által hozzárendelt felügyelt identitással való létrehozásához.
az account get-access-tokenA következő CURL-paranccsal hívja meg az Azure Resource Manager REST-végpontot, hogy engedélyezze a rendszer által hozzárendelt felügyelt identitást a virtuális gépen, amint azt a kérelem törzsében egy myVM nevű virtuális gép értéke
{"identity":{"type":"SystemAssigned"}azonosítja. Cserélje le<ACCESS TOKEN>az előző lépésben kapott értékre, amikor tulajdonosi hozzáférési jogkivonatot és a<SUBSCRIPTION ID>környezetnek megfelelő értéket kért.Fontos
Annak érdekében, hogy ne töröljön a virtuális géphez hozzárendelt, felhasználó által hozzárendelt felügyelt identitásokat, a következő CURL-paranccsal kell listáznia a felhasználó által hozzárendelt felügyelt identitásokat:
curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachines/<VM NAME>?api-version=2018-06-01' -H "Authorization: Bearer <ACCESS TOKEN>". Ha a válaszban szereplő értékbenidentityazonosított felhasználó által hozzárendelt felügyelt identitások vannak hozzárendelve a virtuális géphez, ugorjon a 3. lépésre, amely bemutatja, hogyan őrizheti meg a felhasználó által hozzárendelt felügyelt identitásokat, miközben engedélyezi a rendszer által hozzárendelt felügyelt identitást a virtuális gépen.curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"SystemAssigned"}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1Kérelemfejlécek
Kérelem fejléce Leírás Tartalomtípus Szükséges. Állítsa application/jsonértékre.Engedélyezés Szükséges. Állítson be érvényes Bearerhozzáférési jogkivonatot.Kérelem törzse
{ "identity":{ "type":"SystemAssigned" } }A rendszer által hozzárendelt felügyelt identitások meglévő felhasználó által hozzárendelt felügyelt identitásokkal rendelkező virtuális gépen való engedélyezéséhez hozzá kell adnia
SystemAssignedaztypeértéket.Ha például a virtuális gép rendelkezik a felhasználó által hozzárendelt felügyelt identitásokkal
ID1, ésID2hozzá van rendelve, és rendszer által hozzárendelt felügyelt identitást szeretne hozzáadni a virtuális géphez, használja a következő CURL-hívást. Cserélje le és<SUBSCRIPTION ID>cserélje le<ACCESS TOKEN>a környezetének megfelelő értékeket.Az API-verzió
2018-06-01a felhasználó által hozzárendelt felügyelt identitásokat szótárformátumban tárolja,userAssignedIdentitiesszemben azidentityIdsAPI-verzióban használt tömbformátum értékével2017-12-01.API 2018-06-01-ES VERZIÓJA
curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"SystemAssigned, UserAssigned", "userAssignedIdentities":{"/subscriptions/<<SUBSCRIPTION ID>>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{},"/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":{}}}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1Kérelemfejlécek
Kérelem fejléce Leírás Tartalomtípus Szükséges. Állítsa application/jsonértékre.Engedélyezés Szükséges. Állítson be érvényes Bearerhozzáférési jogkivonatot.Kérelem törzse
{ "identity":{ "type":"SystemAssigned, UserAssigned", "userAssignedIdentities":{ "/subscriptions/<<SUBSCRIPTION ID>>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{ }, "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":{ } } } }API 2017-12-01-ES VERZIÓJA
curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01' -X PATCH -d '{"identity":{"type":"SystemAssigned, UserAssigned", "identityIds":["/subscriptions/<<SUBSCRIPTION ID>>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1","/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2"]}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01 HTTP/1.1Kérelemfejlécek
Kérelem fejléce Leírás Tartalomtípus Szükséges. Állítsa application/jsonértékre.Engedélyezés Szükséges. Állítson be érvényes Bearerhozzáférési jogkivonatot.Kérelem törzse
{ "identity":{ "type":"SystemAssigned, UserAssigned", "identityIds":[ "/subscriptions/<<SUBSCRIPTION ID>>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1", "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2" ] } }
Rendszer által hozzárendelt felügyelt identitás letiltása Azure-beli virtuális gépről
Ha le szeretné tiltani a rendszer által hozzárendelt felügyelt identitást egy virtuális gépen, a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Kérje le a Tulajdonos hozzáférési jogkivonatát, amelyet az Engedélyezés fejléc következő lépésében fog használni a virtuális gép rendszer által hozzárendelt felügyelt identitással való létrehozásához.
az account get-access-tokenFrissítse a virtuális gépet a CURL használatával, hogy meghívja az Azure Resource Manager REST-végpontot a rendszer által hozzárendelt felügyelt identitás letiltásához. Az alábbi példa letiltja a rendszer által hozzárendelt felügyelt identitást a kérelem törzsében a myVM nevű virtuális gép értéke
{"identity":{"type":"None"}}alapján. Cserélje le<ACCESS TOKEN>az előző lépésben kapott értékre, amikor tulajdonosi hozzáférési jogkivonatot és a<SUBSCRIPTION ID>környezetnek megfelelő értéket kért.Fontos
Annak érdekében, hogy ne töröljön a virtuális géphez hozzárendelt, felhasználó által hozzárendelt felügyelt identitásokat, a következő CURL-paranccsal kell listáznia a felhasználó által hozzárendelt felügyelt identitásokat:
curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachines/<VM NAME>?api-version=2018-06-01' -H "Authorization: Bearer <ACCESS TOKEN>". Ha a válaszban szereplő értékbenidentityazonosított felhasználó által hozzárendelt felügyelt identitások vannak hozzárendelve a virtuális géphez, ugorjon a 3. lépésre, amely bemutatja, hogyan őrizheti meg a felhasználó által hozzárendelt felügyelt identitásokat, miközben letiltja a rendszer által hozzárendelt felügyelt identitást a virtuális gépen.curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"None"}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1Kérelemfejlécek
Kérelem fejléce Leírás Tartalomtípus Szükséges. Állítsa application/jsonértékre.Engedélyezés Szükséges. Állítson be érvényes Bearerhozzáférési jogkivonatot.Kérelem törzse
{ "identity":{ "type":"None" } }Ha felhasználó által hozzárendelt felügyelt identitásokkal rendelkező virtuális gépről szeretné eltávolítani a rendszer által hozzárendelt felügyelt identitást, távolítsa el
SystemAssignedaz{"identity":{"type:" "}}értéket az érték és auserAssignedIdentitiesszótár értékeinek megőrzéseUserAssignedmellett, ha az API 2018-06-01-es verzióját használja. Ha az API 2017-12-01-es vagy korábbi verzióját használja, tartsa meg aidentityIdstömböt.
Felhasználó által hozzárendelt felügyelt identitás
Ebben a szakaszban megtudhatja, hogyan adhat hozzá és távolíthat el felhasználó által hozzárendelt felügyelt identitást egy Azure-beli virtuális gépen a CURL használatával az Azure Resource Manager REST-végpontjának hívásához.
Felhasználó által hozzárendelt felügyelt identitás hozzárendelése egy Azure-beli virtuális gép létrehozása során
Ha felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a virtuálisgép-közreműködői és a felügyelt identitáskezelői szerepkör-hozzárendelésekre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Kérje le a Tulajdonos hozzáférési jogkivonatát, amelyet az Engedélyezés fejléc következő lépésében fog használni a virtuális gép rendszer által hozzárendelt felügyelt identitással való létrehozásához.
az account get-access-tokenHozzon létre egy hálózati adaptert a virtuális géphez:
az network nic create -g myResourceGroup --vnet-name myVnet --subnet mySubnet -n myNicKérje le a Tulajdonos hozzáférési jogkivonatát, amelyet az Engedélyezés fejléc következő lépésében fog használni a virtuális gép rendszer által hozzárendelt felügyelt identitással való létrehozásához.
az account get-access-tokenHozzon létre egy felhasználó által hozzárendelt felügyelt identitást az itt található utasításokat követve: Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást.
Hozzon létre egy virtuális gépet a CURL használatával az Azure Resource Manager REST-végpontjának meghívásához. Az alábbi példa egy myVM nevű virtuális gépet hoz létre a myResourceGroup erőforráscsoportban egy felhasználó által hozzárendelt felügyelt identitással
ID1, amelyet az érték"identity":{"type":"UserAssigned"}azonosít a kérelem törzsében. Cserélje le<ACCESS TOKEN>az előző lépésben kapott értékre, amikor tulajdonosi hozzáférési jogkivonatot és a<SUBSCRIPTION ID>környezetnek megfelelő értéket kért.API 2018-06-01-ES VERZIÓJA
curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PUT -d '{"location":"westus","name":"myVM","identity":{"type":"UserAssigned","identityIds":["/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"]},"properties":{"hardwareProfile":{"vmSize":"Standard_D2_v2"},"storageProfile":{"imageReference":{"sku":"2016-Datacenter","publisher":"MicrosoftWindowsServer","version":"latest","offer":"WindowsServer"},"osDisk":{"caching":"ReadWrite","managedDisk":{"storageAccountType":"StandardSSD_LRS"},"name":"myVM3osdisk","createOption":"FromImage"},"dataDisks":[{"diskSizeGB":1023,"createOption":"Empty","lun":0},{"diskSizeGB":1023,"createOption":"Empty","lun":1}]},"osProfile":{"adminUsername":"azureuser","computerName":"myVM","adminPassword":"myPassword12"},"networkProfile":{"networkInterfaces":[{"id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myNic","properties":{"primary":true}}]}}}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1Kérelemfejlécek
Kérelem fejléce Leírás Tartalomtípus Szükséges. Állítsa application/jsonértékre.Engedélyezés Szükséges. Állítson be érvényes Bearerhozzáférési jogkivonatot.Kérelem törzse
{ "location":"westus", "name":"myVM", "identity":{ "type":"UserAssigned", "identityIds":[ "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1" ] }, "properties":{ "hardwareProfile":{ "vmSize":"Standard_D2_v2" }, "storageProfile":{ "imageReference":{ "sku":"2016-Datacenter", "publisher":"MicrosoftWindowsServer", "version":"latest", "offer":"WindowsServer" }, "osDisk":{ "caching":"ReadWrite", "managedDisk":{ "storageAccountType":"StandardSSD_LRS" }, "name":"myVM3osdisk", "createOption":"FromImage" }, "dataDisks":[ { "diskSizeGB":1023, "createOption":"Empty", "lun":0 }, { "diskSizeGB":1023, "createOption":"Empty", "lun":1 } ] }, "osProfile":{ "adminUsername":"azureuser", "computerName":"myVM", "adminPassword":"myPassword12" }, "networkProfile":{ "networkInterfaces":[ { "id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myNic", "properties":{ "primary":true } } ] } } }API 2017-12-01-ES VERZIÓJA
curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01' -X PUT -d '{"location":"westus","name":"myVM","identity":{"type":"UserAssigned","identityIds":["/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"]},"properties":{"hardwareProfile":{"vmSize":"Standard_D2_v2"},"storageProfile":{"imageReference":{"sku":"2016-Datacenter","publisher":"MicrosoftWindowsServer","version":"latest","offer":"WindowsServer"},"osDisk":{"caching":"ReadWrite","managedDisk":{"storageAccountType":"StandardSSD_LRS"},"name":"myVM3osdisk","createOption":"FromImage"},"dataDisks":[{"diskSizeGB":1023,"createOption":"Empty","lun":0},{"diskSizeGB":1023,"createOption":"Empty","lun":1}]},"osProfile":{"adminUsername":"azureuser","computerName":"myVM","adminPassword":"myPassword12"},"networkProfile":{"networkInterfaces":[{"id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myNic","properties":{"primary":true}}]}}}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01 HTTP/1.1Kérelemfejlécek
Kérelem fejléce Leírás Tartalomtípus Szükséges. Állítsa application/jsonértékre.Engedélyezés Szükséges. Állítson be érvényes Bearerhozzáférési jogkivonatot.Kérelem törzse
{ "location":"westus", "name":"myVM", "identity":{ "type":"UserAssigned", "identityIds":[ "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1" ] }, "properties":{ "hardwareProfile":{ "vmSize":"Standard_D2_v2" }, "storageProfile":{ "imageReference":{ "sku":"2016-Datacenter", "publisher":"MicrosoftWindowsServer", "version":"latest", "offer":"WindowsServer" }, "osDisk":{ "caching":"ReadWrite", "managedDisk":{ "storageAccountType":"StandardSSD_LRS" }, "name":"myVM3osdisk", "createOption":"FromImage" }, "dataDisks":[ { "diskSizeGB":1023, "createOption":"Empty", "lun":0 }, { "diskSizeGB":1023, "createOption":"Empty", "lun":1 } ] }, "osProfile":{ "adminUsername":"azureuser", "computerName":"myVM", "adminPassword":"myPassword12" }, "networkProfile":{ "networkInterfaces":[ { "id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myNic", "properties":{ "primary":true } } ] } } }
Felhasználó által hozzárendelt felügyelt identitás hozzárendelése meglévő Azure-beli virtuális géphez
Ha felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a virtuálisgép-közreműködői és a felügyelt identitáskezelői szerepkör-hozzárendelésekre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Kérje le a Tulajdonos hozzáférési jogkivonatát, amelyet az Engedélyezés fejléc következő lépésében fog használni a virtuális gép rendszer által hozzárendelt felügyelt identitással való létrehozásához.
az account get-access-tokenHozzon létre egy felhasználó által hozzárendelt felügyelt identitást az itt található utasítások alapján, hozzon létre egy felhasználó által hozzárendelt felügyelt identitást.
Annak érdekében, hogy ne törölje a virtuális géphez rendelt meglévő felhasználó- vagy rendszer által hozzárendelt felügyelt identitásokat, az alábbi CURL-paranccsal kell listáznia a virtuális géphez rendelt identitástípusokat. Ha rendelkezik a virtuálisgép-méretezési csoporthoz hozzárendelt felügyelt identitásokkal, azok az
identityérték alatt jelennek meg.curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachines/<VM NAME>?api-version=2018-06-01' -H "Authorization: Bearer <ACCESS TOKEN>"GET https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachines/<VM NAME>?api-version=2018-06-01 HTTP/1.1Kérelemfejlécek
Kérelem fejléce Leírás Engedélyezés Szükséges. Állítson be érvényes Bearerhozzáférési jogkivonatot.Ha a válaszban szereplő értékben
identityazonosított felhasználó vagy rendszer által hozzárendelt felügyelt identitás van hozzárendelve a virtuális géphez, ugorjon az 5. lépésre, amely bemutatja, hogyan őrizheti meg a rendszer által hozzárendelt felügyelt identitást, miközben hozzáad egy felhasználó által hozzárendelt felügyelt identitást a virtuális gépen.Ha nincs hozzárendelve felhasználó által hozzárendelt felügyelt identitás a virtuális géphez, az alábbi CURL-paranccsal hívja meg az Azure Resource Manager REST-végpontot, hogy hozzárendelje az első felhasználó által hozzárendelt felügyelt identitást a virtuális géphez.
Az alábbi példa egy felhasználó által hozzárendelt felügyelt identitást
ID1rendel hozzá egy myVM nevű virtuális géphez a myResourceGroup erőforráscsoportban. Cserélje le<ACCESS TOKEN>az előző lépésben kapott értékre, amikor tulajdonosi hozzáférési jogkivonatot és a<SUBSCRIPTION ID>környezetnek megfelelő értéket kért.API 2018-06-01-ES VERZIÓJA
curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"UserAssigned", "userAssignedIdentities":{"/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{}}}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1Kérelemfejlécek
Kérelem fejléce Leírás Tartalomtípus Szükséges. Állítsa application/jsonértékre.Engedélyezés Szükséges. Állítson be érvényes Bearerhozzáférési jogkivonatot.Kérelem törzse
{ "identity":{ "type":"UserAssigned", "userAssignedIdentities":{ "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{ } } } }API 2017-12-01-ES VERZIÓJA
curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01' -X PATCH -d '{"identity":{"type":"userAssigned", "identityIds":["/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"]}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01 HTTP/1.1Kérelemfejlécek
Kérelem fejléce Leírás Tartalomtípus Szükséges. Állítsa application/jsonértékre.Engedélyezés Szükséges. Állítson be érvényes Bearerhozzáférési jogkivonatot.Kérelem törzse
{ "identity":{ "type":"userAssigned", "identityIds":[ "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1" ] } }Ha rendelkezik a virtuális géphez hozzárendelt, felhasználóhoz vagy rendszer által hozzárendelt felügyelt identitással:
API 2018-06-01-ES VERZIÓJA
Adja hozzá a felhasználó által hozzárendelt felügyelt identitást a szótár értékéhez
userAssignedIdentities.Ha például rendelkezik rendszer által hozzárendelt felügyelt identitással és a virtuális géphez jelenleg hozzárendelt felhasználó által hozzárendelt felügyelt identitással
ID1, és hozzá szeretné adni a felhasználó által hozzárendelt felügyelt identitástID2:curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"SystemAssigned, UserAssigned", "userAssignedIdentities":{"/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{},"/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":{}}}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1Kérelemfejlécek
Kérelem fejléce Leírás Tartalomtípus Szükséges. Állítsa application/jsonértékre.Engedélyezés Szükséges. Állítson be érvényes Bearerhozzáférési jogkivonatot.Kérelem törzse
{ "identity":{ "type":"SystemAssigned, UserAssigned", "userAssignedIdentities":{ "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{ }, "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":{ } } } }API 2017-12-01-ES VERZIÓJA
Megtarthatja a felhasználó által hozzárendelt felügyelt identitásokat, amelyeket meg szeretne tartani a
identityIdstömbértékben, miközben hozzáadja az új, felhasználó által hozzárendelt felügyelt identitást.Ha például rendelkezik rendszer által hozzárendelt felügyelt identitással és a virtuális géphez jelenleg hozzárendelt felhasználó által hozzárendelt felügyelt identitással
ID1, és hozzá szeretné adni a felhasználó által hozzárendelt felügyelt identitástID2:curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01' -X PATCH -d '{"identity":{"type":"SystemAssigned,UserAssigned", "identityIds":["/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1","/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2"]}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01 HTTP/1.1Kérelemfejlécek
Kérelem fejléce Leírás Tartalomtípus Szükséges. Állítsa application/jsonértékre.Engedélyezés Szükséges. Állítson be érvényes Bearerhozzáférési jogkivonatot.Kérelem törzse
{ "identity":{ "type":"SystemAssigned,UserAssigned", "identityIds":[ "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1", "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2" ] } }
Felhasználó által hozzárendelt felügyelt identitás eltávolítása egy Azure-beli virtuális gépről
Ha el szeretne távolítani egy felhasználó által hozzárendelt identitást egy virtuális gépről, a fióknak szüksége van a virtuális gép közreműködői szerepkör-hozzárendelésére.
Kérje le a Tulajdonos hozzáférési jogkivonatát, amelyet az Engedélyezés fejléc következő lépésében fog használni a virtuális gép rendszer által hozzárendelt felügyelt identitással való létrehozásához.
az account get-access-tokenAnnak érdekében, hogy ne törölje a virtuális géphez hozzárendelni kívánt meglévő, felhasználó által hozzárendelt felügyelt identitásokat, vagy távolítsa el a rendszer által hozzárendelt felügyelt identitást, a felügyelt identitásokat a következő CURL-paranccsal kell listáznia:
curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachines/<VM NAME>?api-version=2018-06-01' -H "Authorization: Bearer <ACCESS TOKEN>"GET https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachines/<VM NAME>?api-version=2018-06-01 HTTP/1.1Kérelemfejlécek
Kérelem fejléce Leírás Tartalomtípus Szükséges. Állítsa application/jsonértékre.Engedélyezés Szükséges. Állítson be érvényes Bearerhozzáférési jogkivonatot.Ha a virtuális géphez hozzárendelt felügyelt identitások szerepelnek a válaszban az
identityértékben.Ha például felhasználó által hozzárendelt felügyelt identitásokkal rendelkezik
ID1, ésID2a virtuális géphez van hozzárendelve, és csak a hozzárendelt és a rendszer által hozzárendelt identitást szeretnéID1megőrizni:API 2018-06-01-ES VERZIÓJA
Adja hozzá
nulla felhasználó által hozzárendelt felügyelt identitáshoz, amelyet el szeretne távolítani:curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"SystemAssigned, UserAssigned", "userAssignedIdentities":{"/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":null}}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1Kérelemfejlécek
Kérelem fejléce Leírás Tartalomtípus Szükséges. Állítsa application/jsonértékre.Engedélyezés Szükséges. Állítson be érvényes Bearerhozzáférési jogkivonatot.Kérelem törzse
{ "identity":{ "type":"SystemAssigned, UserAssigned", "userAssignedIdentities":{ "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":null } } }API 2017-12-01-ES VERZIÓJA
Csak a felhasználó által hozzárendelt felügyelt identitás(ok) megőrzése a
identityIdstömbben:curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01' -X PATCH -d '{"identity":{"type":"SystemAssigned, UserAssigned", "identityIds":["/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"]}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01 HTTP/1.1Kérelemfejlécek
Kérelem fejléce Leírás Tartalomtípus Szükséges. Állítsa application/jsonértékre.Engedélyezés Szükséges. Állítson be érvényes Bearerhozzáférési jogkivonatot.Kérelem törzse
{ "identity":{ "type":"SystemAssigned, UserAssigned", "identityIds":[ "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1" ] } }
Ha a virtuális gép rendszer által hozzárendelt és felhasználó által hozzárendelt felügyelt identitásokkal is rendelkezik, az összes felhasználó által hozzárendelt felügyelt identitást eltávolíthatja úgy, hogy csak a rendszer által hozzárendelt felügyelt identitás használatára vált az alábbi paranccsal:
curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"SystemAssigned"}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"
PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1
Kérelemfejlécek
| Kérelem fejléce | Leírás |
|---|---|
| Tartalomtípus | Szükséges. Állítsa application/json értékre. |
| Engedélyezés | Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot. |
Kérelem törzse
{
"identity":{
"type":"SystemAssigned"
}
}
Ha a virtuális gép csak felhasználó által hozzárendelt felügyelt identitásokkal rendelkezik, és az összeset el szeretné távolítani, használja a következő parancsot:
curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"None"}}' -H "Content-Type: application/json" -H Authorization:"Bearer <ACCESS TOKEN>"
PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1
Kérelemfejlécek
| Kérelem fejléce | Leírás |
|---|---|
| Tartalomtípus | Szükséges. Állítsa application/json értékre. |
| Engedélyezés | Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot. |
Kérelem törzse
{
"identity":{
"type":"None"
}
}
Következő lépések
A felhasználó által hozzárendelt felügyelt identitások REST használatával történő létrehozásáról, listázásáról és törléséről a következő témakörben tájékozódhat:
Ebből a cikkből megtudhatja, hogyan engedélyezheti és távolíthatja el az Azure-erőforrások felügyelt identitását egy Azure-beli virtuális géphez egy Azure SDK használatával.
Előfeltételek
- Ha még nem ismeri az Azure-erőforrások felügyelt identitására vonatkozó funkciót, tekintse meg ezt az áttekintést. Ha még nincs Azure-fiókja, a folytatás előtt regisztráljon egy ingyenes fiókra.
Azure-erőforrások felügyelt identitásaival rendelkező Azure SDK-k támogatása
Azure-támogatás több programozási platformot isAzure SDK-k. Ezek közül több frissült, hogy támogassa az Azure-erőforrások felügyelt identitásait, és megfelelő mintákat biztosítson a használat bemutatásához. Ez a lista más támogatás hozzáadásakor frissül:
Következő lépések
- Az Azure-beli virtuális gépek identitásának konfigurálása című témakör kapcsolódó cikkeiből megtudhatja, hogyan használhatja az Azure Portalt, a PowerShellt, a parancssori felületet és az erőforrássablonokat is.