Felügyelt identitások konfigurálása Azure-erőforrásokhoz azure-beli virtuális gépen sablonok használatával

Az Azure-erőforrások felügyelt identitásai a Microsoft Entra ID egyik funkciója. Each of the Azure services that support managed identities for Azure resources are subject to their own timeline. Mielőtt nekikezdene, tekintse át az erőforrásához tartozó felügyelt identitások elérhetőségi állapotát, valamint az ismert problémákat.

Az Azure-erőforrásokhoz tartozó kezelt identitások az Azure-szolgáltatásokat automatikusan kezelt identitással látják el a Microsoft Entra ID-ban. Ezt az identitást használhatja a Microsoft Entra hitelesítést támogató bármely szolgáltatáshoz történő hitelesítéshez anélkül, hogy a kódjában hitelesítő adatokkal rendelkezne.

Ebben a cikkben az Azure Resource Manager üzembehelyezési sablon használatával megtudhatja, hogyan hajthatja végre a következő felügyelt identitásokat az Azure-beli erőforrás-műveletekhez egy Azure-beli virtuális gépen:

Előfeltételek

• Ha nem ismeri az Azure Resource Manager üzembehelyezési sablonját, tekintse meg az áttekintési szakaszt. Mindenképpen tekintse át a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitás közötti különbséget.
• Ha még nincs Azure-fiókja, a folytatás előtt regisztráljon egy ingyenes fiókra.

Azure Resource Manager-sablonok

Az Azure Portalhoz és a szkripteléshez hasonlóan az Azure Resource Manager-sablonok lehetővé teszik egy Azure-erőforráscsoport által definiált új vagy módosított erőforrások üzembe helyezését. A sablonszerkesztéshez és az üzembe helyezéshez több lehetőség is rendelkezésre áll, helyi és portálalapú is, például:

• Egyéni sablon használata az Azure Marketplace-ről, amely lehetővé teszi, hogy teljesen új sablont hozzon létre, vagy egy meglévő általános vagy gyorsútmutató-sablonra alapozza.
• Egy meglévő erőforráscsoportból származik, ha egy sablont exportál az eredeti üzembe helyezésből vagy az üzembe helyezés aktuális állapotából.
• Helyi JSON-szerkesztő (például VS Code) használata, majd feltöltés és üzembe helyezés a PowerShell vagy a parancssori felület használatával.
• A Visual Studio Azure Resource Group projekt használatával sablont hozhat létre és helyezhet üzembe.

A választott beállítástól függetlenül a sablon szintaxisa megegyezik a kezdeti üzembe helyezés és az ismételt üzembe helyezés során. A rendszer vagy a felhasználó által hozzárendelt felügyelt identitás engedélyezése egy új vagy meglévő virtuális gépen ugyanúgy történik. Emellett az Azure Resource Manager alapértelmezés szerint növekményes frissítést végez az üzemelő példányokon.

Rendszer által hozzárendelt felügyelt identitás

Ebben a szakaszban egy rendszer által hozzárendelt felügyelt identitást fog engedélyezni és letiltani egy Azure Resource Manager-sablon használatával.

Rendszer által hozzárendelt felügyelt identitás engedélyezése Azure-beli virtuális gép vagy meglévő virtuális gép létrehozása során

A rendszer által hozzárendelt felügyelt identitás virtuális gépen való engedélyezéséhez a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

1. Akár helyileg, akár az Azure Portalon keresztül jelentkezik be az Azure-ba, használjon egy fiókot, amely a virtuális gépet tartalmazó Azure-előfizetéshez van társítva.

2. A rendszer által hozzárendelt felügyelt identitás engedélyezéséhez töltse be a sablont egy szerkesztőbe, keresse meg a szakaszon belül resources az Microsoft.Compute/virtualMachines érdeklődésre számot tartó erőforrást, és adja hozzá a "identity" tulajdonságot a "type": "Microsoft.Compute/virtualMachines" tulajdonságtal azonos szinten. Use the following syntax:

   "identity": {
       "type": "SystemAssigned"
   },
   

3. Ha elkészült, a következő szakaszokat kell hozzáadni a resource sablon szakaszához, és az alábbihoz hasonlónak kell lennie:

    "resources": [
        {
            //other resource provider properties...
            "apiVersion": "2018-06-01",
            "type": "Microsoft.Compute/virtualMachines",
            "name": "[variables('vmName')]",
            "location": "[resourceGroup().location]",
            "identity": {
                "type": "SystemAssigned",
                }                        
        }
    ]
   

Szerepkör hozzárendelése a virtuális gép rendszer által hozzárendelt felügyelt identitásához

Miután engedélyezte a rendszer által hozzárendelt felügyelt identitást a virtuális gépen, érdemes lehet egy olyan szerepkört biztosítani neki, mint például olvasói hozzáférést ahhoz az erőforráscsoporthoz, amelyben létrejött. Ebben a lépésben részletes információkat talál az Azure-szerepkörök hozzárendelése Azure Resource Manager-sablonok használatával című cikkben.

Rendszer által hozzárendelt felügyelt identitás letiltása Egy Azure-beli virtuális gépről

A rendszer által hozzárendelt felügyelt identitás virtuális gépről való eltávolításához a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

1. Akár helyileg, akár az Azure Portalon keresztül jelentkezik be az Azure-ba, használjon egy fiókot, amely a virtuális gépet tartalmazó Azure-előfizetéshez van társítva.

2. Töltse be a sablont egy szerkesztőbe , és keresse meg a szakaszon belül a Microsoft.Compute/virtualMachines fontos erőforrást resources . Ha olyan virtuális gépe van, amely csak rendszer által hozzárendelt felügyelt identitással rendelkezik, letilthatja azt az identitástípus Nonemódosításával.

   Microsoft.Compute/virtualMachines API 2018-06-01-es verzió

   Ha a virtuális gép rendszer- és felhasználó által hozzárendelt felügyelt identitásokkal is rendelkezik, távolítsa el SystemAssigned az identitástípust, és tartsa meg UserAssigned a userAssignedIdentities szótár értékeit.

   Microsoft.Compute/virtualMachines API 2018-06-01-es verzió

   Ha az 2017-12-01 Ön apiVersion és a virtuális gép egyaránt rendelkezik rendszer- és felhasználó által hozzárendelt felügyelt identitásokkal, távolítsa el SystemAssigned az identitástípust, és tartsa meg UserAssigned a identityIds felhasználó által hozzárendelt felügyelt identitások tömbjével együtt.

Az alábbi példa bemutatja, hogyan távolíthat el egy rendszer által hozzárendelt felügyelt identitást egy felhasználó által hozzárendelt felügyelt identitás nélküli virtuális gépről:

{
    "apiVersion": "2018-06-01",
    "type": "Microsoft.Compute/virtualMachines",
    "name": "[parameters('vmName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "None"
    }
}

Felhasználó által hozzárendelt felügyelt identitás

Ebben a szakaszban egy felhasználó által hozzárendelt felügyelt identitást rendel egy Azure-beli virtuális géphez Azure Resource Manager-sablonnal.

Megjegyzés:

Ha felhasználó által hozzárendelt felügyelt identitást szeretne létrehozni egy Azure Resource Manager-sablonnal, olvassa el a felhasználó által hozzárendelt felügyelt identitás létrehozása című témakört.

Felhasználó által hozzárendelt felügyelt identitás hozzárendelése azure-beli virtuális géphez

Ha felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a Felügyelt identitáskezelő szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

1. resources Az elem alatt adja hozzá a következő bejegyzést a felhasználó által hozzárendelt felügyelt identitás virtuális géphez való hozzárendeléséhez. Mindenképpen cserélje le <USERASSIGNEDIDENTITY> a létrehozott, felhasználó által hozzárendelt felügyelt identitás nevét.

   Microsoft.Compute/virtualMachines API 2018-06-01-es verzió

   apiVersion Ha igen2018-06-01, a felhasználó által hozzárendelt felügyelt identitások szótárformátumban userAssignedIdentities vannak tárolva, és az <USERASSIGNEDIDENTITYNAME> értéket a sablon szakaszában meghatározott változóban variables kell tárolni.

    {
        "apiVersion": "2018-06-01",
        "type": "Microsoft.Compute/virtualMachines",
        "name": "[variables('vmName')]",
        "location": "[resourceGroup().location]",
        "identity": {
            "type": "userAssigned",
            "userAssignedIdentities": {
                "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {}
            }
        }
    }
   

   Microsoft.Compute/virtualMachines API 2017-12-01-es verzió

   Ha igen apiVersion2017-12-01, a felhasználó által hozzárendelt felügyelt identitásokat a identityIds tömb tárolja, az <USERASSIGNEDIDENTITYNAME> értéket pedig a variables sablon szakaszában meghatározott változóban kell tárolni.

   {
       "apiVersion": "2017-12-01",
       "type": "Microsoft.Compute/virtualMachines",
       "name": "[variables('vmName')]",
       "location": "[resourceGroup().location]",
       "identity": {
           "type": "userAssigned",
           "identityIds": [
               "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]"
           ]
       }
   }
   

2. Ha elkészült, a következő szakaszokat kell hozzáadni a resource sablon szakaszához, és az alábbihoz hasonlónak kell lennie:

   Microsoft.Compute/virtualMachines API 2018-06-01-es verzió

     "resources": [
        {
            //other resource provider properties...
            "apiVersion": "2018-06-01",
            "type": "Microsoft.Compute/virtualMachines",
            "name": "[variables('vmName')]",
            "location": "[resourceGroup().location]",
            "identity": {
                "type": "userAssigned",
                "userAssignedIdentities": {
                   "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {}
                }
            }
        }
    ] 
   

   Microsoft.Compute/virtualMachines API 2017-12-01-es verzió

   "resources": [
        {
            //other resource provider properties...
            "apiVersion": "2017-12-01",
            "type": "Microsoft.Compute/virtualMachines",
            "name": "[variables('vmName')]",
            "location": "[resourceGroup().location]",
            "identity": {
                "type": "userAssigned",
                "identityIds": [
                   "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]"
                ]
            }
        }
   ]
   

Felhasználó által hozzárendelt felügyelt identitás eltávolítása egy Azure-beli virtuális gépről

Ha el szeretne távolítani egy felhasználó által hozzárendelt identitást egy virtuális gépről, a fióknak szüksége van a virtuális gép közreműködői szerepkör-hozzárendelésére. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

1. Akár helyileg, akár az Azure Portalon keresztül jelentkezik be az Azure-ba, használjon egy fiókot, amely a virtuális gépet tartalmazó Azure-előfizetéshez van társítva.

2. Töltse be a sablont egy szerkesztőbe , és keresse meg a szakaszon belül a Microsoft.Compute/virtualMachines fontos erőforrást resources . Ha olyan virtuális géppel rendelkezik, amely csak felhasználó által hozzárendelt felügyelt identitással rendelkezik, letilthatja azt az identitástípus Nonemódosításával.

   Az alábbi példa bemutatja, hogyan távolíthat el minden felhasználó által hozzárendelt felügyelt identitást egy rendszer által hozzárendelt felügyelt identitást nem tartalmazó virtuális gépről:

    {
      "apiVersion": "2018-06-01",
      "type": "Microsoft.Compute/virtualMachines",
      "name": "[parameters('vmName')]",
      "location": "[resourceGroup().location]",
      "identity": {
          "type": "None"
          },
    }
   

   Microsoft.Compute/virtualMachines API 2018-06-01-es verzió

   Ha egyetlen felhasználó által hozzárendelt felügyelt identitást szeretne eltávolítani egy virtuális gépről, távolítsa el azt a useraAssignedIdentities szótárból.

   Ha rendszer által hozzárendelt felügyelt identitással rendelkezik, tartsa az type érték alatt identity .

   Microsoft.Compute/virtualMachines API 2017-12-01-es verzió

   Ha egyetlen felhasználó által hozzárendelt felügyelt identitást szeretne eltávolítani egy virtuális gépről, távolítsa el azt a identityIds tömbből.

   Ha rendszer által hozzárendelt felügyelt identitással rendelkezik, tartsa az type érték alatt identity .

További lépések

• Az Azure-erőforrások felügyelt identitásainak áttekintése.