Felügyelt identitások konfigurálása Azure-erőforrásokhoz azure-beli virtuális gépen a PowerShell használatával

Az Azure-erőforrások felügyelt identitásai a Microsoft Entra ID egyik funkciója. Each of the Azure services that support managed identities for Azure resources are subject to their own timeline. Mielőtt nekikezdene, tekintse át az erőforrásához tartozó felügyelt identitások elérhetőségi állapotát, valamint az ismert problémákat.

Az Azure-erőforrásokhoz tartozó kezelt identitások az Azure-szolgáltatásokat automatikusan kezelt identitással látják el a Microsoft Entra ID-ban. Ezt az identitást használhatja a Microsoft Entra hitelesítést támogató bármely szolgáltatáshoz történő hitelesítéshez anélkül, hogy a kódjában hitelesítő adatokkal rendelkezne.

Ebben a cikkben a PowerShell használatával megtudhatja, hogyan hajthatja végre a következő felügyelt identitásokat az Azure-beli erőforrás-műveletekhez egy Azure-beli virtuális gépen.

Megjegyzés:

We recommend that you use the Azure Az PowerShell module to interact with Azure. See Install Azure PowerShell to get started. To learn how to migrate to the Az PowerShell module, see Migrate Azure PowerShell from AzureRM to Az.

Előfeltételek

• Ha nem ismeri az Azure-erőforrások felügyelt identitását, tekintse meg az áttekintési szakaszt. Mindenképpen tekintse át a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitás közötti különbséget.
• Ha még nincs Azure-fiókja, a folytatás előtt regisztráljon egy ingyenes fiókra.
• A példaszkriptek futtatásához két lehetősége van:
  • Használja az Azure Cloud Shellt, amelyet a kódblokkok jobb felső sarkában található Kipróbálás gombbal nyithat meg.
  • Futtassa helyileg a szkripteket az Azure PowerShell legújabb verziójának telepítésével, majd jelentkezzen be az Azure-ba a használatávalConnect-AzAccount.

Rendszer által hozzárendelt felügyelt identitás

Ebben a szakaszban bemutatjuk, hogyan engedélyezheti és tilthatja le a rendszer által hozzárendelt felügyelt identitást az Azure PowerShell használatával.

Rendszer által hozzárendelt felügyelt identitás engedélyezése azure-beli virtuális gép létrehozásakor

Ahhoz, hogy azure-beli virtuális gépet hozzon létre, amelyen engedélyezve van a rendszer által hozzárendelt felügyelt identitás, a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

1. Tekintse meg az alábbi Azure-beli virtuális gépek rövid útmutatóit, és csak a szükséges szakaszokat töltse ki ("Bejelentkezés az Azure-ba", "Erőforráscsoport létrehozása", "Hálózati csoport létrehozása", "Virtuális gép létrehozása").

   A "Virtuális gép létrehozása" szakasz megnyitásakor módosítsa a New-AzVMConfig parancsmag szintaxisát. Adjon hozzá egy paramétert -IdentityType SystemAssigned a virtuális gép üzembe helyezéséhez a rendszer által hozzárendelt identitás engedélyezésével, például:

   $vmConfig = New-AzVMConfig -VMName myVM -IdentityType SystemAssigned ...
   

   • Windows rendszerű virtuális gép létrehozása a PowerShell használatával
   • Linux rendszerű virtuális gép létrehozása a PowerShell használatával

Rendszer által hozzárendelt felügyelt identitás engedélyezése meglévő Azure-beli virtuális gépen

A rendszer által hozzárendelt felügyelt identitás olyan virtuális gépen való engedélyezéséhez, amely eredetileg anélkül lett kiépítve, a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

1. Kérje le a virtuálisgép-tulajdonságokat a Get-AzVM parancsmag használatával. Ezután a rendszer által hozzárendelt felügyelt identitás engedélyezéséhez használja az -IdentityTypeUpdate-AzVM parancsmag kapcsolót:

   $vm = Get-AzVM -ResourceGroupName myResourceGroup -Name myVM
   Update-AzVM -ResourceGroupName myResourceGroup -VM $vm -IdentityType SystemAssigned
   

Virtuálisgép-rendszer által hozzárendelt identitás hozzáadása egy csoporthoz

Miután engedélyezte a rendszer által hozzárendelt identitást egy virtuális gépen, hozzáadhatja azt egy csoporthoz. Az alábbi eljárás hozzáad egy virtuális gép rendszer által hozzárendelt identitását egy csoporthoz.

1. Kérje le és jegyezze fel a ObjectID virtuális gép szolgáltatásnévének (a Id visszaadott értékek mezőjében megadott) értékét:

   Get-AzADServicePrincipal -displayname "myVM"
   

2. Kérje le és jegyezze fel a ObjectID csoport (a Id visszaadott értékek mezőjében megadott) értékét:

   Get-AzADGroup -searchstring "myGroup"
   

3. Adja hozzá a virtuális gép szolgáltatásnevét a csoporthoz:

   New-MgGroupMember -GroupId "<Id of group>" -DirectoryObjectId "<Id of VM service principal>" 
   

Rendszer által hozzárendelt felügyelt identitás letiltása Azure-beli virtuális gépről

Ha le szeretné tiltani a rendszer által hozzárendelt felügyelt identitást egy virtuális gépen, a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

Ha olyan virtuális gépe van, amelyre már nincs szüksége a rendszer által hozzárendelt felügyelt identitásra, de továbbra is felhasználó által hozzárendelt felügyelt identitásra van szüksége, használja a következő parancsmagot:

1. A parancsmaggal kérje le a Get-AzVM virtuálisgép-tulajdonságokat, és állítsa a paramétert a -IdentityType következőre UserAssigned:

   $vm = Get-AzVM -ResourceGroupName myResourceGroup -Name myVM
   Update-AzVm -ResourceGroupName myResourceGroup -VM $vm -IdentityType "UserAssigned" -IdentityID "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/<RESROURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>..."
   

Ha olyan virtuális gépe van, amelynek már nincs szüksége rendszer által hozzárendelt felügyelt identitásra, és nincs felhasználó által hozzárendelt felügyelt identitása, használja a következő parancsokat:

$vm = Get-AzVM -ResourceGroupName myResourceGroup -Name myVM
Update-AzVm -ResourceGroupName myResourceGroup -VM $vm -IdentityType None

Felhasználó által hozzárendelt felügyelt identitás

Ebben a szakaszban megtudhatja, hogyan vehet fel és távolíthat el felhasználó által hozzárendelt felügyelt identitást egy virtuális gépről az Azure PowerShell használatával.

Felhasználó által hozzárendelt felügyelt identitás hozzárendelése virtuális géphez a létrehozás során

Ha felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a virtuálisgép-közreműködői és a felügyelt identitáskezelői szerepkör-hozzárendelésekre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

1. Tekintse meg az alábbi Azure-beli virtuális gépek rövid útmutatóit, és csak a szükséges szakaszokat töltse ki ("Bejelentkezés az Azure-ba", "Erőforráscsoport létrehozása", "Hálózati csoport létrehozása", "Virtuális gép létrehozása").

   A "Virtuális gép létrehozása" szakasz megnyitásakor módosítsa a New-AzVMConfig parancsmag szintaxisát. Adja hozzá a -IdentityType UserAssigned virtuális gép felhasználó által hozzárendelt identitással való kiépítéséhez szükséges paramétereket és -IdentityID paramétereket. Cserélje le <VM NAME>a ,<SUBSCRIPTION ID>, <RESROURCE GROUP>és <USER ASSIGNED IDENTITY NAME> a saját értékeit. Például:

   $vmConfig = New-AzVMConfig -VMName <VM NAME> -IdentityType UserAssigned -IdentityID "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/<RESROURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>..."
   

   • Windows rendszerű virtuális gép létrehozása a PowerShell használatával
   • Linux rendszerű virtuális gép létrehozása a PowerShell használatával

Felhasználó által hozzárendelt felügyelt identitás hozzárendelése meglévő Azure-beli virtuális géphez

Ha felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a virtuálisgép-közreműködői és a felügyelt identitáskezelői szerepkör-hozzárendelésekre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

1. Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást a New-AzUserAssignedIdentity parancsmaggal. Jegyezze fel a Id kimenetet, mert a következő lépésben szüksége lesz ezekre az információkra.

   Fontos

   A felhasználó által hozzárendelt felügyelt identitások létrehozása csak alfanumerikus, aláhúzásjel és kötőjel (0-9 vagy a-z vagy A-Z, _ vagy -) karaktereket támogat. Emellett a névnek 3–128 karakter hosszúságúnak kell lennie ahhoz, hogy a virtuális géphez/VMSS-hez való hozzárendelés megfelelően működjön. További információkért lásd a gyakori kérdéseket és az ismert problémákat

   New-AzUserAssignedIdentity -ResourceGroupName <RESOURCEGROUP> -Name <USER ASSIGNED IDENTITY NAME>
   

2. Kérje le a virtuálisgép-tulajdonságokat a Get-AzVM parancsmag használatával. Ezután ha felhasználó által hozzárendelt felügyelt identitást szeretne hozzárendelni az Azure-beli virtuális géphez, használja az -IdentityType Update-AzVM parancsmagot, és -IdentityID kapcsolja be. A paraméter értéke az Id előző lépésben feljegyzett érték-IdentityId. Cserélje le <VM NAME>a , <SUBSCRIPTION ID>, <RESROURCE GROUP>és <USER ASSIGNED IDENTITY NAME> a saját értékeit.

   Figyelmeztetés

   A virtuális géphez korábban hozzárendelt, felhasználó által hozzárendelt felügyelt identitások megőrzéséhez kérdezze le a Identity virtuálisgép-objektum tulajdonságát (például $vm.Identity). Ha a rendszer visszaadja a felhasználó által hozzárendelt felügyelt identitásokat, vegye fel őket a következő parancsba a virtuális géphez hozzárendelni kívánt új felhasználó által hozzárendelt felügyelt identitással együtt.

   $vm = Get-AzVM -ResourceGroupName <RESOURCE GROUP> -Name <VM NAME>
   Update-AzVM -ResourceGroupName <RESOURCE GROUP> -VM $vm -IdentityType UserAssigned -IdentityID "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/<RESROURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>"
   

Felhasználó által hozzárendelt felügyelt identitás eltávolítása egy Azure-beli virtuális gépről

Ha el szeretne távolítani egy felhasználó által hozzárendelt identitást egy virtuális gépről, a fióknak szüksége van a virtuális gép közreműködői szerepkör-hozzárendelésére.

Ha a virtuális gép több, felhasználó által hozzárendelt felügyelt identitással rendelkezik, a következő parancsokkal eltávolíthatja az összeset, az utolsót ki nem. Ne felejtse el a <RESOURCE GROUP> és <VM NAME> paraméterek értékeit a saját értékeire cserélni. Ez <USER ASSIGNED IDENTITY NAME> a felhasználó által hozzárendelt felügyelt identitás névtulajdonság, amelynek a virtuális gépen kell maradnia. Ez az információ egy lekérdezéssel felderíthető a Identity virtuálisgép-objektum tulajdonságának kereséséhez. Például $vm.Identity:

$vm = Get-AzVm -ResourceGroupName myResourceGroup -Name myVm
Update-AzVm -ResourceGroupName myResourceGroup -VirtualMachine $vm -IdentityType UserAssigned -IdentityID <USER ASSIGNED IDENTITY NAME>

Ha a virtuális gép nem rendelkezik rendszer által hozzárendelt felügyelt identitással, és el szeretné távolítani belőle az összes felhasználó által hozzárendelt felügyelt identitást, használja a következő parancsot:

$vm = Get-AzVm -ResourceGroupName myResourceGroup -Name myVm
Update-AzVm -ResourceGroupName myResourceGroup -VM $vm -IdentityType None

Ha a virtuális gép rendszer által hozzárendelt és felhasználó által hozzárendelt felügyelt identitásokkal is rendelkezik, eltávolíthatja a felhasználó által hozzárendelt felügyelt identitásokat úgy, hogy csak a rendszer által hozzárendelt felügyelt identitásokat használja.

$vm = Get-AzVm -ResourceGroupName myResourceGroup -Name myVm
Update-AzVm -ResourceGroupName myResourceGroup -VirtualMachine $vm -IdentityType "SystemAssigned"

További lépések

• Felügyelt identitások az Azure-erőforrásokhoz – áttekintés

• Az Azure-beli virtuális gépek létrehozásának rövid útmutatói:

  • Windows rendszerű virtuális gép létrehozása a PowerShell használatával
  • Linux rendszerű virtuális gép létrehozása a PowerShell-lel