Megosztás a következőn keresztül:


Felügyelt identitások konfigurálása Azure-beli virtuális gépeken (virtuális gépeken)

Az Azure-erőforrások felügyelt identitásai a Microsoft Entra ID egyik funkciója. Az Azure-erőforrások felügyelt identitását támogató összes Azure-szolgáltatásra a saját ütemterve vonatkozik. Mielőtt nekikezdene, tekintse át az erőforrásához tartozó felügyelt identitások elérhetőségi állapotát, valamint az ismert problémákat.

Az Azure-erőforrásokhoz tartozó kezelt identitások az Azure-szolgáltatásokat automatikusan kezelt identitással látják el a Microsoft Entra ID-ban. Ezt az identitást használhatja a Microsoft Entra hitelesítést támogató bármely szolgáltatáshoz történő hitelesítéshez anélkül, hogy a kódjában hitelesítő adatokkal rendelkezne.

További információ az Azure Policy definíciójáról és részleteiről: Felügyelt identitások hozzárendelése az Azure Policy használatával (előzetes verzió).

Ebből a cikkből megtudhatja, hogyan engedélyezheti és tilthatja le a rendszer és a felhasználó által hozzárendelt felügyelt identitásokat egy Azure-beli virtuális géphez (VM) az Azure Portal használatával.

Előfeltételek

Rendszer által hozzárendelt felügyelt identitás

Ebben a szakaszban megtudhatja, hogyan engedélyezheti és tilthatja le a rendszer által hozzárendelt felügyelt identitást a virtuális gépekhez az Azure Portal használatával.

Rendszer által hozzárendelt felügyelt identitás engedélyezése virtuális gép létrehozása során

A rendszer által hozzárendelt felügyelt identitás virtuális gépen való engedélyezéséhez a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

  • Az Identitás szakasz Kezelés lapján váltson a Felügyelt szolgáltatás identitása be állásra.

Képernyőkép a rendszer által hozzárendelt identitás engedélyezéséről a virtuális gép létrehozása során.

A virtuális gép létrehozásához tekintse meg az alábbi rövid útmutatókat:

Rendszer által hozzárendelt felügyelt identitás engedélyezése meglévő virtuális gépen

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

A rendszer által hozzárendelt felügyelt identitás olyan virtuális gépen való engedélyezéséhez, amely eredetileg anélkül lett kiépítve, a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

  1. Jelentkezzen be az Azure Portalra a virtuális gépet tartalmazó Azure-előfizetéshez társított fiókkal.

  2. Lépjen a kívánt virtuális gépre, és válassza az Identitás lehetőséget.

  3. A Rendszer hozzárendelt állapota területen válassza a Be elemet, majd kattintson a Mentés gombra:

    Képernyőkép az

Rendszer által hozzárendelt felügyelt identitás eltávolítása virtuális gépről

A rendszer által hozzárendelt felügyelt identitás virtuális gépről való eltávolításához a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

Ha olyan virtuális gépe van, amely már nem igényel rendszer által hozzárendelt felügyelt identitást:

  1. Jelentkezzen be az Azure Portalra a virtuális gépet tartalmazó Azure-előfizetéshez társított fiókkal.

  2. Lépjen a kívánt virtuális gépre, és válassza az Identitás lehetőséget.

  3. A Hozzárendelt rendszer állapot csoportban válassza a Ki, majd a Mentés gombra:

    Képernyőkép a konfigurációs oldalról.

Felhasználó által hozzárendelt felügyelt identitás

Ebben a szakaszban megtudhatja, hogyan vehet fel és távolíthat el felhasználó által hozzárendelt felügyelt identitást egy virtuális gépről az Azure Portal használatával.

Felhasználó által hozzárendelt identitás hozzárendelése a virtuális gép létrehozása során

Ha felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a virtuálisgép-közreműködői és a felügyelt identitáskezelői szerepkör-hozzárendelésekre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

Az Azure Portal jelenleg nem támogatja a felhasználó által hozzárendelt felügyelt identitás hozzárendelését a virtuális gép létrehozása során. Ehelyett tekintse meg az alábbi virtuális gépek létrehozásának rövid útmutatóit, amelyek először létrehoznak egy virtuális gépet, majd folytassa a következő szakaszban a felhasználó által hozzárendelt felügyelt identitás virtuális géphez való hozzárendelésével kapcsolatos részletekért:

Felhasználó által hozzárendelt felügyelt identitás hozzárendelése meglévő virtuális géphez

Ha felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a virtuálisgép-közreműködői és a felügyelt identitáskezelői szerepkör-hozzárendelésekre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

  1. Jelentkezzen be az Azure Portalra a virtuális gépet tartalmazó Azure-előfizetéshez társított fiókkal.

  2. Lépjen a kívánt virtuális gépre, és kattintson az Identitás, a Hozzárendelt felhasználó, majd a +Hozzáadás elemre.

    Képernyőkép az Identitás lapról, amelyen a Felhasználó ki van jelölve, és a Hozzáadás gomb ki van emelve.

  3. Kattintson a virtuális géphez hozzáadni kívánt felhasználó által hozzárendelt identitásra, majd kattintson a Hozzáadás gombra.

    Képernyőkép egy felhasználó által hozzárendelt felügyelt identitás virtuális géphez való hozzáadásáról.

Felhasználó által hozzárendelt felügyelt identitás eltávolítása virtuális gépről

Ha el szeretne távolítani egy felhasználó által hozzárendelt identitást egy virtuális gépről, a fióknak szüksége van a virtuális gép közreműködői szerepkör-hozzárendelésére. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

  1. Jelentkezzen be az Azure Portalra a virtuális gépet tartalmazó Azure-előfizetéshez társított fiókkal.

  2. Lépjen a kívánt virtuális gépre, és válassza az Identitás, Felhasználó hozzárendelt, a törölni kívánt felhasználó által hozzárendelt felügyelt identitás nevét, majd kattintson az Eltávolítás gombra (kattintson az Igen gombra a megerősítési panelen).

    Képernyőkép a felhasználó által hozzárendelt felügyelt identitás virtuális gépről való eltávolításáról

Következő lépések

Ebben a cikkben az Azure CLI használatával megtudhatja, hogyan hajthatja végre a következő felügyelt identitásokat az Azure-beli erőforrás-műveletekhez egy Azure-beli virtuális gépen:

  • A rendszer által hozzárendelt felügyelt identitás engedélyezése és letiltása egy Azure-beli virtuális gépen
  • Felhasználó által hozzárendelt felügyelt identitás hozzáadása és eltávolítása Egy Azure-beli virtuális gépen

Ha még nincs Azure-fiókja, a folytatás előtt regisztráljon egy ingyenes fiókra.

Előfeltételek

Rendszer által hozzárendelt felügyelt identitás

Ebben a szakaszban megtudhatja, hogyan engedélyezheti és tilthatja le a rendszer által hozzárendelt felügyelt identitást egy Azure-beli virtuális gépen az Azure CLI használatával.

Rendszer által hozzárendelt felügyelt identitás engedélyezése azure-beli virtuális gép létrehozásakor

Ahhoz, hogy azure-beli virtuális gépet hozzon létre, amelyen engedélyezve van a rendszer által hozzárendelt felügyelt identitás, a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

  1. Az az group create paranccsal hozzon létre egy erőforráscsoportot a virtuális gép és az ahhoz kapcsolódó erőforrások elkülönítéséhez és üzembe helyezéséhez. Ezt a lépést kihagyhatja, ha inkább egy meglévő erőforráscsoportot kíván használni:

    az group create --name myResourceGroup --location westus
    
  2. Hozzon létre egy virtuális gépet az az vm create paranccsal. Az alábbi példa létrehoz egy myVM nevű virtuális gépet egy rendszer által hozzárendelt felügyelt identitással, a --assign-identity paraméter kérésének megfelelően, a megadott --role és --scopea . Az --admin-username és --admin-password paraméterek adják meg a virtuális gép bejelentkeztetéséhez tartozó rendszergazdanevet és -jelszót. A környezetnek megfelelően frissítse ezeket az értékeket:

    az vm create --resource-group myResourceGroup --name myVM --image win2016datacenter --generate-ssh-keys --assign-identity --role contributor --scope mySubscription --admin-username azureuser --admin-password myPassword12
    

Rendszer által hozzárendelt felügyelt identitás engedélyezése meglévő Azure-beli virtuális gépen

A rendszer által hozzárendelt felügyelt identitás virtuális gépen való engedélyezéséhez a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

  1. Ha az Azure CLI-t helyi konzolban használja, akkor először az az login paranccsal jelentkezzen be az Azure-ba. Használjon egy fiókot, amely a virtuális gépet tartalmazó Azure-előfizetéshez van társítva.

    az login
    
  2. Használja az az vm identity assign with the identity assign command enable the system-assigned identity to a existing vm:

    az vm identity assign -g myResourceGroup -n myVm
    

Rendszer által hozzárendelt identitás letiltása Azure-beli virtuális gépről

Ha le szeretné tiltani a rendszer által hozzárendelt felügyelt identitást egy virtuális gépen, a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

Ha olyan virtuális gépe van, amelyre már nincs szüksége a rendszer által hozzárendelt identitásra, de továbbra is felhasználó által hozzárendelt identitásra van szüksége, használja a következő parancsot:

az vm update -n myVM -g myResourceGroup --set identity.type='UserAssigned' 

Ha olyan virtuális gépe van, amelynek már nincs szüksége rendszer által hozzárendelt identitásra, és nincs felhasználó által hozzárendelt identitása, használja a következő parancsot:

Feljegyzés

Az érték none megkülönbözteti a kis- és nagybetűk értékét. Kisbetűsnek kell lennie.

az vm update -n myVM -g myResourceGroup --set identity.type="none"

Felhasználó által hozzárendelt felügyelt identitás

Ebben a szakaszban megtudhatja, hogyan vehet fel és távolíthat el felhasználó által hozzárendelt felügyelt identitást egy Azure-beli virtuális gépről az Azure CLI használatával. Ha a felhasználó által hozzárendelt felügyelt identitást egy másik RG-ben hozza létre, mint a virtuális gép. A felügyelt identitás URL-címével kell hozzárendelnie azt a virtuális géphez. Példa:

--identities "/subscriptions/<SUBID>/resourcegroups/<RESROURCEGROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER_ASSIGNED_ID_NAME>"

Felhasználó által hozzárendelt felügyelt identitás hozzárendelése egy Azure-beli virtuális gép létrehozása során

Ha a létrehozása során felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a virtuálisgép-közreműködői és a felügyelt identitáskezelői szerepkör-hozzárendelésekre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

  1. Ezt a lépést kihagyhatja, ha már van egy használni kívánt erőforráscsoportja. Hozzon létre egy erőforráscsoportot a felhasználó által hozzárendelt felügyelt identitás elszigeteléséhez és üzembe helyezéséhez az az group create használatával. Ne felejtse el a <RESOURCE GROUP> és <LOCATION> paraméterek értékeit a saját értékeire cserélni. :

    az group create --name <RESOURCE GROUP> --location <LOCATION>
    
  2. Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást az az identity create paranccsal. A -g paraméter adja meg azt az erőforráscsoportot, amelyben a felhasználó által hozzárendelt felügyelt identitás létre lesz hozva, a -n paraméter pedig annak nevét határozza meg.

    Fontos

    Felhasználó által hozzárendelt felügyelt identitások létrehozásakor a névnek betűvel vagy számmal kell kezdődnie, és tartalmazhat alfanumerikus karaktereket, kötőjeleket (-) és aláhúzásjeleket (_). Ahhoz, hogy a virtuális géphez vagy a virtuálisgép-méretezési csoporthoz való hozzárendelés megfelelően működjön, a név legfeljebb 24 karakter hosszúságú lehet. További információkért lásd a gyakori kérdéseket és az ismert problémákat.

    az identity create -g myResourceGroup -n myUserAssignedIdentity
    

    A válasz az alábbiakhoz hasonlóan tartalmazza a felhasználó által hozzárendelt felügyelt identitás részleteit. A felhasználó által hozzárendelt felügyelt identitáshoz rendelt erőforrás-azonosító értékét a következő lépésben használjuk.

    {
        "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
        "clientSecretUrl": "https://control-westcentralus.identity.azure.net/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<myUserAssignedIdentity>/credentials?tid=5678&oid=9012&aid=aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
        "id": "/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>",
        "location": "westcentralus",
        "name": "<USER ASSIGNED IDENTITY NAME>",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "resourceGroup": "<RESOURCE GROUP>",
        "tags": {},
        "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "type": "Microsoft.ManagedIdentity/userAssignedIdentities"    
    }
    
  3. Hozzon létre egy virtuális gépet az az vm create paranccsal. Az alábbi példa létrehoz egy, a paraméter által --assign-identity megadott új, felhasználó által hozzárendelt identitáshoz társított virtuális gépet a megadott --role és --scopea . Mindenképpen cserélje le a <RESOURCE GROUP>, <VM NAME>, , <PASSWORD><USER NAME>, <USER ASSIGNED IDENTITY NAME>, , <ROLE>és <SUBSCRIPTION> paraméterértékeket a saját értékeire.

    az vm create --resource-group <RESOURCE GROUP> --name <VM NAME> --image <SKU linux image>  --admin-username <USER NAME> --admin-password <PASSWORD> --assign-identity <USER ASSIGNED IDENTITY NAME> --role <ROLE> --scope <SUBSCRIPTION> 
    

Felhasználó által hozzárendelt felügyelt identitás hozzárendelése meglévő Azure-beli virtuális géphez

Ha felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a virtuálisgép-közreműködői és a felügyelt identitáskezelői szerepkör-hozzárendelésekre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

  1. Hozzon létre egy felhasználóhoz rendelt identitást az az identity create paranccsal. A -g paraméter megadja azt az erőforráscsoportot, ahol a felhasználó által hozzárendelt identitás létrejön, és a paraméter megadja a -n nevét. Ne felejtse el a <RESOURCE GROUP> és <USER ASSIGNED IDENTITY NAME> paraméterek értékeit a saját értékeire cserélni:

    Fontos

    A felhasználó által hozzárendelt, speciális karakterekkel (azaz aláhúzásjellel) rendelkező felügyelt identitások létrehozása jelenleg nem támogatott. Használjon alfanumerikus karaktereket. Térjen vissza frissítésekért. További információkért lásd a gyakori kérdéseket és az ismert problémákat

    az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>
    

    A válasz az alábbiakhoz hasonlóan tartalmazza a felhasználó által hozzárendelt felügyelt identitás részleteit.

    {
      "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
      "clientSecretUrl": "https://control-westcentralus.identity.azure.net/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/credentials?tid=5678&oid=9012&aid=aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
      "id": "/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>",
      "location": "westcentralus",
      "name": "<USER ASSIGNED IDENTITY NAME>",
      "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
      "resourceGroup": "<RESOURCE GROUP>",
      "tags": {},
      "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
      "type": "Microsoft.ManagedIdentity/userAssignedIdentities"    
    }
    
  2. Rendelje hozzá a felhasználó által hozzárendelt identitást a virtuális géphez az az vm identity assign használatával. Ne felejtse el a <RESOURCE GROUP> és <VM NAME> paraméterek értékeit a saját értékeire cserélni. Ez <USER ASSIGNED IDENTITY NAME> a felhasználó által hozzárendelt felügyelt identitás erőforrás-tulajdonsága name az előző lépésben létrehozott módon. Ha a felhasználó által hozzárendelt felügyelt identitást egy másik RG-ben hozta létre, mint a virtuális gép. A felügyelt identitás URL-címét kell használnia.

    az vm identity assign -g <RESOURCE GROUP> -n <VM NAME> --identities <USER ASSIGNED IDENTITY>
    

Felhasználó által hozzárendelt felügyelt identitás eltávolítása egy Azure-beli virtuális gépről

Ha el szeretne távolítani egy felhasználó által hozzárendelt identitást egy virtuális gépről, a fióknak szüksége van a virtuális gép közreműködői szerepkör-hozzárendelésére.

Ha ez az egyetlen, a virtuális géphez hozzárendelt felhasználó által hozzárendelt felügyelt identitás, UserAssigned akkor a rendszer eltávolítja az identitástípus értékét. Ne felejtse el a <RESOURCE GROUP> és <VM NAME> paraméterek értékeit a saját értékeire cserélni. Ez <USER ASSIGNED IDENTITY> lesz a felhasználó által hozzárendelt identitástulajdonság name , amely a virtuális gép identitásszakaszában található a következő használatával az vm identity show:

az vm identity remove -g <RESOURCE GROUP> -n <VM NAME> --identities <USER ASSIGNED IDENTITY>

Ha a virtuális gép nem rendelkezik rendszer által hozzárendelt felügyelt identitással, és el szeretné távolítani belőle az összes felhasználó által hozzárendelt identitást, használja a következő parancsot:

Feljegyzés

Az érték none megkülönbözteti a kis- és nagybetűk értékét. Kisbetűsnek kell lennie.

az vm update -n myVM -g myResourceGroup --set identity.type="none" identity.userAssignedIdentities=null

Ha a virtuális gép rendszer által hozzárendelt és felhasználó által hozzárendelt identitásokkal is rendelkezik, a felhasználó által hozzárendelt összes identitást eltávolíthatja úgy, hogy csak a rendszer által hozzárendelt identitást használja. Használja az alábbi parancsot:

az vm update -n myVM -g myResourceGroup --set identity.type='SystemAssigned' identity.userAssignedIdentities=null 

Következő lépések

Ebben a cikkben a PowerShell használatával megtudhatja, hogyan hajthatja végre a következő felügyelt identitásokat az Azure-beli erőforrás-műveletekhez egy Azure-beli virtuális gépen.

Feljegyzés

Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Előfeltételek

Rendszer által hozzárendelt felügyelt identitás

Ebben a szakaszban bemutatjuk, hogyan engedélyezheti és tilthatja le a rendszer által hozzárendelt felügyelt identitást az Azure PowerShell használatával.

Rendszer által hozzárendelt felügyelt identitás engedélyezése azure-beli virtuális gép létrehozásakor

Ahhoz, hogy azure-beli virtuális gépet hozzon létre, amelyen engedélyezve van a rendszer által hozzárendelt felügyelt identitás, a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

  1. Tekintse meg az alábbi Azure-beli virtuális gépek rövid útmutatóit, és csak a szükséges szakaszokat töltse ki ("Bejelentkezés az Azure-ba", "Erőforráscsoport létrehozása", "Hálózati csoport létrehozása", "Virtuális gép létrehozása").

    A "Virtuális gép létrehozása" szakasz megnyitásakor módosítsa a New-AzVMConfig parancsmag szintaxisát. Adjon hozzá egy paramétert -IdentityType SystemAssigned a virtuális gép üzembe helyezéséhez a rendszer által hozzárendelt identitás engedélyezésével, például:

    $vmConfig = New-AzVMConfig -VMName myVM -IdentityType SystemAssigned ...
    

Rendszer által hozzárendelt felügyelt identitás engedélyezése meglévő Azure-beli virtuális gépen

A rendszer által hozzárendelt felügyelt identitás olyan virtuális gépen való engedélyezéséhez, amely eredetileg anélkül lett kiépítve, a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

  1. Kérje le a virtuálisgép-tulajdonságokat a Get-AzVM parancsmag használatával. Ezután a rendszer által hozzárendelt felügyelt identitás engedélyezéséhez használja az -IdentityType Update-AzVM parancsmag kapcsolót:

    $vm = Get-AzVM -ResourceGroupName myResourceGroup -Name myVM
    Update-AzVM -ResourceGroupName myResourceGroup -VM $vm -IdentityType SystemAssigned
    

Virtuálisgép-rendszer által hozzárendelt identitás hozzáadása egy csoporthoz

Miután engedélyezte a rendszer által hozzárendelt identitást egy virtuális gépen, hozzáadhatja azt egy csoporthoz. Az alábbi eljárás hozzáad egy virtuális gép rendszer által hozzárendelt identitását egy csoporthoz.

  1. Kérje le és jegyezze fel a ObjectID virtuális gép szolgáltatásnévének (a Id visszaadott értékek mezőjében megadott) értékét:

    Get-AzADServicePrincipal -displayname "myVM"
    
  2. Kérje le és jegyezze fel a ObjectID csoport (a Id visszaadott értékek mezőjében megadott) értékét:

    Get-AzADGroup -searchstring "myGroup"
    
  3. Adja hozzá a virtuális gép szolgáltatásnevét a csoporthoz:

    New-MgGroupMember -GroupId "<Id of group>" -DirectoryObjectId "<Id of VM service principal>" 
    

Rendszer által hozzárendelt felügyelt identitás letiltása Azure-beli virtuális gépről

Ha le szeretné tiltani a rendszer által hozzárendelt felügyelt identitást egy virtuális gépen, a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

Ha olyan virtuális gépe van, amelyre már nincs szüksége a rendszer által hozzárendelt felügyelt identitásra, de továbbra is felhasználó által hozzárendelt felügyelt identitásra van szüksége, használja a következő parancsmagot:

  1. A parancsmaggal kérje le a Get-AzVM virtuálisgép-tulajdonságokat, és állítsa a paramétert a -IdentityType következőre UserAssigned:

    $vm = Get-AzVM -ResourceGroupName myResourceGroup -Name myVM
    Update-AzVm -ResourceGroupName myResourceGroup -VM $vm -IdentityType "UserAssigned" -IdentityID "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/<RESROURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>..."
    

Ha olyan virtuális gépe van, amelynek már nincs szüksége rendszer által hozzárendelt felügyelt identitásra, és nincs felhasználó által hozzárendelt felügyelt identitása, használja a következő parancsokat:

$vm = Get-AzVM -ResourceGroupName myResourceGroup -Name myVM
Update-AzVm -ResourceGroupName myResourceGroup -VM $vm -IdentityType None

Felhasználó által hozzárendelt felügyelt identitás

Ebben a szakaszban megtudhatja, hogyan vehet fel és távolíthat el felhasználó által hozzárendelt felügyelt identitást egy virtuális gépről az Azure PowerShell használatával.

Felhasználó által hozzárendelt felügyelt identitás hozzárendelése virtuális géphez a létrehozás során

Ha felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a virtuálisgép-közreműködői és a felügyelt identitáskezelői szerepkör-hozzárendelésekre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

  1. Tekintse meg az alábbi Azure-beli virtuális gépek rövid útmutatóit, és csak a szükséges szakaszokat töltse ki ("Bejelentkezés az Azure-ba", "Erőforráscsoport létrehozása", "Hálózati csoport létrehozása", "Virtuális gép létrehozása").

    A "Virtuális gép létrehozása" szakasz megnyitásakor módosítsa a New-AzVMConfig parancsmag szintaxisát. Adja hozzá a -IdentityType UserAssigned virtuális gép felhasználó által hozzárendelt identitással való kiépítéséhez szükséges paramétereket és -IdentityID paramétereket. Cserélje le <VM NAME>a ,<SUBSCRIPTION ID>, <RESROURCE GROUP>és <USER ASSIGNED IDENTITY NAME> a saját értékeit. Példa:

    $vmConfig = New-AzVMConfig -VMName <VM NAME> -IdentityType UserAssigned -IdentityID "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/<RESROURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>..."
    

Felhasználó által hozzárendelt felügyelt identitás hozzárendelése meglévő Azure-beli virtuális géphez

Ha felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a virtuálisgép-közreműködői és a felügyelt identitáskezelői szerepkör-hozzárendelésekre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

  1. Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást a New-AzUserAssignedIdentity parancsmaggal. Jegyezze fel a Id kimenetet, mert a következő lépésben szüksége lesz ezekre az információkra.

    Fontos

    A felhasználó által hozzárendelt felügyelt identitások létrehozása csak alfanumerikus, aláhúzásjel és kötőjel (0-9 vagy a-z vagy A-Z, _ vagy -) karaktereket támogat. Emellett a névnek 3–128 karakter hosszúságúnak kell lennie ahhoz, hogy a virtuális géphez/VMSS-hez való hozzárendelés megfelelően működjön. További információkért lásd a gyakori kérdéseket és az ismert problémákat

    New-AzUserAssignedIdentity -ResourceGroupName <RESOURCEGROUP> -Name <USER ASSIGNED IDENTITY NAME>
    
  2. Kérje le a virtuálisgép-tulajdonságokat a Get-AzVM parancsmag használatával. Ezután ha felhasználó által hozzárendelt felügyelt identitást szeretne hozzárendelni az Azure-beli virtuális géphez, használja az -IdentityType Update-AzVM parancsmagot, és -IdentityID kapcsolja be. A paraméter értéke az Id előző lépésben feljegyzett érték-IdentityId. Cserélje le <VM NAME>a , <SUBSCRIPTION ID>, <RESROURCE GROUP>és <USER ASSIGNED IDENTITY NAME> a saját értékeit.

    Figyelmeztetés

    A virtuális géphez korábban hozzárendelt, felhasználó által hozzárendelt felügyelt identitások megőrzéséhez kérdezze le a Identity virtuálisgép-objektum tulajdonságát (például $vm.Identity). Ha a rendszer visszaadja a felhasználó által hozzárendelt felügyelt identitásokat, vegye fel őket a következő parancsba a virtuális géphez hozzárendelni kívánt új felhasználó által hozzárendelt felügyelt identitással együtt.

    $vm = Get-AzVM -ResourceGroupName <RESOURCE GROUP> -Name <VM NAME>
    
    # Get the list of existing identity IDs and then append to it
    $identityIds = $vm.Identity.UserAssignedIdentities.Keys
    $uid = "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/<RESROURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>"
    $identityIds = $identityIds + $uid 
    
    # Update the VM with added identity IDs
    Update-AzVM -ResourceGroupName <RESOURCE GROUP> -VM $vm -IdentityType UserAssigned -IdentityID $uid 
    

Felhasználó által hozzárendelt felügyelt identitás eltávolítása egy Azure-beli virtuális gépről

Ha el szeretne távolítani egy felhasználó által hozzárendelt identitást egy virtuális gépről, a fióknak szüksége van a virtuális gép közreműködői szerepkör-hozzárendelésére.

Ha a virtuális gép több, felhasználó által hozzárendelt felügyelt identitással rendelkezik, a következő parancsokkal eltávolíthatja az összeset, az utolsót ki nem. Ne felejtse el a <RESOURCE GROUP> és <VM NAME> paraméterek értékeit a saját értékeire cserélni. Ez <USER ASSIGNED IDENTITY NAME> a felhasználó által hozzárendelt felügyelt identitás névtulajdonság, amelynek a virtuális gépen kell maradnia. Ez az információ egy lekérdezéssel felderíthető a Identity virtuálisgép-objektum tulajdonságának kereséséhez. Például $vm.Identity:

$vm = Get-AzVm -ResourceGroupName myResourceGroup -Name myVm
Update-AzVm -ResourceGroupName myResourceGroup -VirtualMachine $vm -IdentityType UserAssigned -IdentityID <USER ASSIGNED IDENTITY NAME>

Ha a virtuális gép nem rendelkezik rendszer által hozzárendelt felügyelt identitással, és el szeretné távolítani belőle az összes felhasználó által hozzárendelt felügyelt identitást, használja a következő parancsot:

$vm = Get-AzVm -ResourceGroupName myResourceGroup -Name myVm
Update-AzVm -ResourceGroupName myResourceGroup -VM $vm -IdentityType None

Ha a virtuális gép rendszer által hozzárendelt és felhasználó által hozzárendelt felügyelt identitásokkal is rendelkezik, eltávolíthatja a felhasználó által hozzárendelt felügyelt identitásokat úgy, hogy csak a rendszer által hozzárendelt felügyelt identitásokat használja.

$vm = Get-AzVm -ResourceGroupName myResourceGroup -Name myVm
Update-AzVm -ResourceGroupName myResourceGroup -VirtualMachine $vm -IdentityType "SystemAssigned"

Következő lépések

Ebben a cikkben az Azure Resource Manager üzembehelyezési sablon használatával megtudhatja, hogyan hajthatja végre a következő felügyelt identitásokat az Azure-beli erőforrás-műveletekhez egy Azure-beli virtuális gépen:

Előfeltételek

Azure Resource Manager-sablonok

Az Azure Portalhoz és a szkripteléshez hasonlóan az Azure Resource Manager-sablonok lehetővé teszik egy Azure-erőforráscsoport által definiált új vagy módosított erőforrások üzembe helyezését. A sablonszerkesztéshez és az üzembe helyezéshez több lehetőség is rendelkezésre áll, helyi és portálalapú is, például:

A választott beállítástól függetlenül a sablon szintaxisa megegyezik a kezdeti üzembe helyezés és az ismételt üzembe helyezés során. A rendszer vagy a felhasználó által hozzárendelt felügyelt identitás engedélyezése egy új vagy meglévő virtuális gépen ugyanúgy történik. Emellett az Azure Resource Manager alapértelmezés szerint növekményes frissítést végez az üzemelő példányokon.

Rendszer által hozzárendelt felügyelt identitás

Ebben a szakaszban egy rendszer által hozzárendelt felügyelt identitást fog engedélyezni és letiltani egy Azure Resource Manager-sablon használatával.

Rendszer által hozzárendelt felügyelt identitás engedélyezése Azure-beli virtuális gép vagy meglévő virtuális gép létrehozása során

A rendszer által hozzárendelt felügyelt identitás virtuális gépen való engedélyezéséhez a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

  1. Akár helyileg, akár az Azure Portalon keresztül jelentkezik be az Azure-ba, használjon egy fiókot, amely a virtuális gépet tartalmazó Azure-előfizetéshez van társítva.

  2. A rendszer által hozzárendelt felügyelt identitás engedélyezéséhez töltse be a sablont egy szerkesztőbe, keresse meg a szakaszon belül resources az Microsoft.Compute/virtualMachines érdeklődésre számot tartó erőforrást, és adja hozzá a "identity" tulajdonságot a "type": "Microsoft.Compute/virtualMachines" tulajdonságtal azonos szinten. Alkalmazza a következő szintaxist:

    "identity": {
        "type": "SystemAssigned"
    },
    
  3. Ha elkészült, a következő szakaszokat kell hozzáadni a resource sablon szakaszához, és az alábbihoz hasonlónak kell lennie:

     "resources": [
         {
             //other resource provider properties...
             "apiVersion": "2018-06-01",
             "type": "Microsoft.Compute/virtualMachines",
             "name": "[variables('vmName')]",
             "location": "[resourceGroup().location]",
             "identity": {
                 "type": "SystemAssigned",
                 }                        
         }
     ]
    

Szerepkör hozzárendelése a virtuális gép rendszer által hozzárendelt felügyelt identitásához

Miután engedélyezte a rendszer által hozzárendelt felügyelt identitást a virtuális gépen, érdemes lehet egy olyan szerepkört biztosítani neki, mint például olvasói hozzáférést ahhoz az erőforráscsoporthoz, amelyben létrejött. Ebben a lépésben részletes információkat talál az Azure-szerepkörök hozzárendelése Azure Resource Manager-sablonok használatával című cikkben.

Rendszer által hozzárendelt felügyelt identitás letiltása Egy Azure-beli virtuális gépről

A rendszer által hozzárendelt felügyelt identitás virtuális gépről való eltávolításához a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

  1. Akár helyileg, akár az Azure Portalon keresztül jelentkezik be az Azure-ba, használjon egy fiókot, amely a virtuális gépet tartalmazó Azure-előfizetéshez van társítva.

  2. Töltse be a sablont egy szerkesztőbe , és keresse meg a szakaszon belül a Microsoft.Compute/virtualMachines fontos erőforrást resources . Ha olyan virtuális gépe van, amely csak rendszer által hozzárendelt felügyelt identitással rendelkezik, letilthatja azt az identitástípus Nonemódosításával.

    Microsoft.Compute/virtualMachines API 2018-06-01-es verzió

    Ha a virtuális gép rendszer- és felhasználó által hozzárendelt felügyelt identitásokkal is rendelkezik, távolítsa el SystemAssigned az identitástípust, és tartsa meg UserAssigned a userAssignedIdentities szótár értékeit.

    Microsoft.Compute/virtualMachines API 2018-06-01-es verzió

    Ha az 2017-12-01 Ön apiVersion és a virtuális gép egyaránt rendelkezik rendszer- és felhasználó által hozzárendelt felügyelt identitásokkal, távolítsa el SystemAssigned az identitástípust, és tartsa meg UserAssigned a identityIds felhasználó által hozzárendelt felügyelt identitások tömbjével együtt.

Az alábbi példa bemutatja, hogyan távolíthat el egy rendszer által hozzárendelt felügyelt identitást egy felhasználó által hozzárendelt felügyelt identitás nélküli virtuális gépről:

{
    "apiVersion": "2018-06-01",
    "type": "Microsoft.Compute/virtualMachines",
    "name": "[parameters('vmName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "None"
    }
}

Felhasználó által hozzárendelt felügyelt identitás

Ebben a szakaszban egy felhasználó által hozzárendelt felügyelt identitást rendel egy Azure-beli virtuális géphez Azure Resource Manager-sablonnal.

Feljegyzés

Ha felhasználó által hozzárendelt felügyelt identitást szeretne létrehozni egy Azure Resource Manager-sablonnal, olvassa el a felhasználó által hozzárendelt felügyelt identitás létrehozása című témakört.

Felhasználó által hozzárendelt felügyelt identitás hozzárendelése azure-beli virtuális géphez

Ha felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a Felügyelt identitáskezelő szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

  1. resources Az elem alatt adja hozzá a következő bejegyzést a felhasználó által hozzárendelt felügyelt identitás virtuális géphez való hozzárendeléséhez. Mindenképpen cserélje le <USERASSIGNEDIDENTITY> a létrehozott, felhasználó által hozzárendelt felügyelt identitás nevét.

    Microsoft.Compute/virtualMachines API 2018-06-01-es verzió

    apiVersion Ha igen2018-06-01, a felhasználó által hozzárendelt felügyelt identitások szótárformátumban userAssignedIdentities vannak tárolva, és az <USERASSIGNEDIDENTITYNAME> értéket a sablon szakaszában meghatározott változóban variables kell tárolni.

     {
         "apiVersion": "2018-06-01",
         "type": "Microsoft.Compute/virtualMachines",
         "name": "[variables('vmName')]",
         "location": "[resourceGroup().location]",
         "identity": {
             "type": "userAssigned",
             "userAssignedIdentities": {
                 "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {}
             }
         }
     }
    

    Microsoft.Compute/virtualMachines API 2017-12-01-es verzió

    Ha igen apiVersion 2017-12-01, a felhasználó által hozzárendelt felügyelt identitásokat a identityIds tömb tárolja, az <USERASSIGNEDIDENTITYNAME> értéket pedig a variables sablon szakaszában meghatározott változóban kell tárolni.

    {
        "apiVersion": "2017-12-01",
        "type": "Microsoft.Compute/virtualMachines",
        "name": "[variables('vmName')]",
        "location": "[resourceGroup().location]",
        "identity": {
            "type": "userAssigned",
            "identityIds": [
                "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]"
            ]
        }
    }
    
  2. Ha elkészült, a következő szakaszokat kell hozzáadni a resource sablon szakaszához, és az alábbihoz hasonlónak kell lennie:

    Microsoft.Compute/virtualMachines API 2018-06-01-es verzió

      "resources": [
         {
             //other resource provider properties...
             "apiVersion": "2018-06-01",
             "type": "Microsoft.Compute/virtualMachines",
             "name": "[variables('vmName')]",
             "location": "[resourceGroup().location]",
             "identity": {
                 "type": "userAssigned",
                 "userAssignedIdentities": {
                    "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {}
                 }
             }
         }
     ] 
    

    Microsoft.Compute/virtualMachines API 2017-12-01-es verzió

    "resources": [
         {
             //other resource provider properties...
             "apiVersion": "2017-12-01",
             "type": "Microsoft.Compute/virtualMachines",
             "name": "[variables('vmName')]",
             "location": "[resourceGroup().location]",
             "identity": {
                 "type": "userAssigned",
                 "identityIds": [
                    "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]"
                 ]
             }
         }
    ]
    

Felhasználó által hozzárendelt felügyelt identitás eltávolítása egy Azure-beli virtuális gépről

Ha el szeretne távolítani egy felhasználó által hozzárendelt identitást egy virtuális gépről, a fióknak szüksége van a virtuális gép közreműködői szerepkör-hozzárendelésére. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

  1. Akár helyileg, akár az Azure Portalon keresztül jelentkezik be az Azure-ba, használjon egy fiókot, amely a virtuális gépet tartalmazó Azure-előfizetéshez van társítva.

  2. Töltse be a sablont egy szerkesztőbe , és keresse meg a szakaszon belül a Microsoft.Compute/virtualMachines fontos erőforrást resources . Ha olyan virtuális géppel rendelkezik, amely csak felhasználó által hozzárendelt felügyelt identitással rendelkezik, letilthatja azt az identitástípus Nonemódosításával.

    Az alábbi példa bemutatja, hogyan távolíthat el minden felhasználó által hozzárendelt felügyelt identitást egy rendszer által hozzárendelt felügyelt identitást nem tartalmazó virtuális gépről:

     {
       "apiVersion": "2018-06-01",
       "type": "Microsoft.Compute/virtualMachines",
       "name": "[parameters('vmName')]",
       "location": "[resourceGroup().location]",
       "identity": {
           "type": "None"
           },
     }
    

    Microsoft.Compute/virtualMachines API 2018-06-01-es verzió

    Ha egyetlen felhasználó által hozzárendelt felügyelt identitást szeretne eltávolítani egy virtuális gépről, távolítsa el azt a useraAssignedIdentities szótárból.

    Ha rendszer által hozzárendelt felügyelt identitással rendelkezik, tartsa az type érték alatt identity .

    Microsoft.Compute/virtualMachines API 2017-12-01-es verzió

    Ha egyetlen felhasználó által hozzárendelt felügyelt identitást szeretne eltávolítani egy virtuális gépről, távolítsa el azt a identityIds tömbből.

    Ha rendszer által hozzárendelt felügyelt identitással rendelkezik, tartsa az type érték alatt identity .

Következő lépések

Ebben a cikkben az Azure Resource Manager REST-végpontjára irányuló hívások curl használatával megtudhatja, hogyan hajthatja végre a következő felügyelt identitásokat az Azure-beli erőforrás-műveletekhez egy Azure-beli virtuális gépen:

  • A rendszer által hozzárendelt felügyelt identitás engedélyezése és letiltása egy Azure-beli virtuális gépen
  • Felhasználó által hozzárendelt felügyelt identitás hozzáadása és eltávolítása Egy Azure-beli virtuális gépen

Ha még nincs Azure-fiókja, a folytatás előtt regisztráljon egy ingyenes fiókra.

Előfeltételek

Rendszer által hozzárendelt felügyelt identitás

Ebben a szakaszban megtudhatja, hogyan engedélyezheti és tilthatja le a rendszer által hozzárendelt felügyelt identitást egy Azure-beli virtuális gépen a CURL használatával az Azure Resource Manager REST-végpontjának hívásához.

Rendszer által hozzárendelt felügyelt identitás engedélyezése azure-beli virtuális gép létrehozásakor

Ahhoz, hogy azure-beli virtuális gépet hozzon létre, amelyen engedélyezve van a rendszer által hozzárendelt felügyelt identitás, a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

  1. Az az group create paranccsal hozzon létre egy erőforráscsoportot a virtuális gép és az ahhoz kapcsolódó erőforrások elkülönítéséhez és üzembe helyezéséhez. Ezt a lépést kihagyhatja, ha inkább egy meglévő erőforráscsoportot kíván használni:

    az group create --name myResourceGroup --location westus
    
  2. Hozzon létre egy hálózati adaptert a virtuális géphez:

     az network nic create -g myResourceGroup --vnet-name myVnet --subnet mySubnet -n myNic
    
  3. Kérje le a Tulajdonos hozzáférési jogkivonatát, amelyet az Engedélyezés fejléc következő lépésében fog használni a virtuális gép rendszer által hozzárendelt felügyelt identitással való létrehozásához.

    az account get-access-token
    
  4. Az Azure Cloud Shell használatával hozzon létre egy virtuális gépet a CURL használatával az Azure Resource Manager REST-végpontjának meghívásához. Az alábbi példa egy myVM nevű virtuális gépet hoz létre egy rendszer által hozzárendelt felügyelt identitással, amelyet az érték "identity":{"type":"SystemAssigned"}azonosít a kérelem törzsében. Cserélje le <ACCESS TOKEN> az előző lépésben kapott értékre, amikor tulajdonosi hozzáférési jogkivonatot és a <SUBSCRIPTION ID> környezetnek megfelelő értéket kért.

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PUT -d '{"location":"westus","name":"myVM","identity":{"type":"SystemAssigned"},"properties":{"hardwareProfile":{"vmSize":"Standard_D2_v2"},"storageProfile":{"imageReference":{"sku":"2016-Datacenter","publisher":"MicrosoftWindowsServer","version":"latest","offer":"WindowsServer"},"osDisk":{"caching":"ReadWrite","managedDisk":{"storageAccountType":"StandardSSD_LRS"},"name":"myVM3osdisk","createOption":"FromImage"},"dataDisks":[{"diskSizeGB":1023,"createOption":"Empty","lun":0},{"diskSizeGB":1023,"createOption":"Empty","lun":1}]},"osProfile":{"adminUsername":"azureuser","computerName":"myVM","adminPassword":"<SECURE PASSWORD STRING>"},"networkProfile":{"networkInterfaces":[{"id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myNic","properties":{"primary":true}}]}}}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"
    
    PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1
    

    Kérelemfejlécek

    Kérelem fejléce Leírás
    Tartalomtípus Szükséges. Állítsa application/json értékre.
    Engedélyezés Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot.

    Kérelem törzse

      {
        "location":"westus",
        "name":"myVM",
        "identity":{
           "type":"SystemAssigned"
        },
        "properties":{
           "hardwareProfile":{
              "vmSize":"Standard_D2_v2"
           },
           "storageProfile":{
              "imageReference":{
                 "sku":"2016-Datacenter",
                 "publisher":"MicrosoftWindowsServer",
                 "version":"latest",
                 "offer":"WindowsServer"
              },
              "osDisk":{
                 "caching":"ReadWrite",
                 "managedDisk":{
                    "storageAccountType":"StandardSSD_LRS"
                 },
                 "name":"myVM3osdisk",
                 "createOption":"FromImage"
              },
              "dataDisks":[
                 {
                    "diskSizeGB":1023,
                    "createOption":"Empty",
                    "lun":0
                 },
                 {
                    "diskSizeGB":1023,
                    "createOption":"Empty",
                    "lun":1
                 }
              ]
           },
           "osProfile":{
              "adminUsername":"azureuser",
              "computerName":"myVM",
              "adminPassword":"myPassword12"
           },
           "networkProfile":{
              "networkInterfaces":[
                 {
                    "id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myNic",
                    "properties":{
                       "primary":true
                    }
                 }
              ]
           }
        }
     }  
    

Rendszer által hozzárendelt identitás engedélyezése meglévő Azure-beli virtuális gépen

A rendszer által hozzárendelt felügyelt identitás olyan virtuális gépen való engedélyezéséhez, amely eredetileg anélkül lett kiépítve, a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

  1. Kérje le a Tulajdonos hozzáférési jogkivonatát, amelyet az Engedélyezés fejléc következő lépésében fog használni a virtuális gép rendszer által hozzárendelt felügyelt identitással való létrehozásához.

    az account get-access-token
    
  2. A következő CURL-paranccsal hívja meg az Azure Resource Manager REST-végpontot, hogy engedélyezze a rendszer által hozzárendelt felügyelt identitást a virtuális gépen, amint azt a kérelem törzsében egy myVM nevű virtuális gép értéke {"identity":{"type":"SystemAssigned"} azonosítja. Cserélje le <ACCESS TOKEN> az előző lépésben kapott értékre, amikor tulajdonosi hozzáférési jogkivonatot és a <SUBSCRIPTION ID> környezetnek megfelelő értéket kért.

    Fontos

    Annak érdekében, hogy ne töröljön a virtuális géphez hozzárendelt, felhasználó által hozzárendelt felügyelt identitásokat, a következő CURL-paranccsal kell listáznia a felhasználó által hozzárendelt felügyelt identitásokat: curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachines/<VM NAME>?api-version=2018-06-01' -H "Authorization: Bearer <ACCESS TOKEN>". Ha a válaszban szereplő értékben identity azonosított felhasználó által hozzárendelt felügyelt identitások vannak hozzárendelve a virtuális géphez, ugorjon a 3. lépésre, amely bemutatja, hogyan őrizheti meg a felhasználó által hozzárendelt felügyelt identitásokat, miközben engedélyezi a rendszer által hozzárendelt felügyelt identitást a virtuális gépen.

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"SystemAssigned"}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"
    
    PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1
    

    Kérelemfejlécek

    Kérelem fejléce Leírás
    Tartalomtípus Szükséges. Állítsa application/json értékre.
    Engedélyezés Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot.

    Kérelem törzse

     {  
        "identity":{  
           "type":"SystemAssigned"
        }
     }
    
  3. A rendszer által hozzárendelt felügyelt identitások meglévő felhasználó által hozzárendelt felügyelt identitásokkal rendelkező virtuális gépen való engedélyezéséhez hozzá kell adnia SystemAssigned az type értéket.

    Ha például a virtuális gép rendelkezik a felhasználó által hozzárendelt felügyelt identitásokkal ID1 , és ID2 hozzá van rendelve, és rendszer által hozzárendelt felügyelt identitást szeretne hozzáadni a virtuális géphez, használja a következő CURL-hívást. Cserélje le és <SUBSCRIPTION ID> cserélje le <ACCESS TOKEN> a környezetének megfelelő értékeket.

    Az API-verzió 2018-06-01 a felhasználó által hozzárendelt felügyelt identitásokat szótárformátumban tárolja, userAssignedIdentities szemben az identityIds API-verzióban használt tömbformátum értékével 2017-12-01.

    API 2018-06-01-ES VERZIÓJA

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"SystemAssigned, UserAssigned", "userAssignedIdentities":{"/subscriptions/<<SUBSCRIPTION ID>>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{},"/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":{}}}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"
    
    PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1
    

    Kérelemfejlécek

    Kérelem fejléce Leírás
    Tartalomtípus Szükséges. Állítsa application/json értékre.
    Engedélyezés Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot.

    Kérelem törzse

     {  
        "identity":{  
           "type":"SystemAssigned, UserAssigned",
           "userAssignedIdentities":{  
              "/subscriptions/<<SUBSCRIPTION ID>>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{  
    
              },
              "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":{  
    
              }
           }
        }
     }
    

    API 2017-12-01-ES VERZIÓJA

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01' -X PATCH -d '{"identity":{"type":"SystemAssigned, UserAssigned", "identityIds":["/subscriptions/<<SUBSCRIPTION ID>>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1","/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2"]}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"
    
    PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01 HTTP/1.1
    

    Kérelemfejlécek

    Kérelem fejléce Leírás
    Tartalomtípus Szükséges. Állítsa application/json értékre.
    Engedélyezés Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot.

    Kérelem törzse

     {  
        "identity":{  
           "type":"SystemAssigned, UserAssigned",
           "identityIds":[  
              "/subscriptions/<<SUBSCRIPTION ID>>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1",
              "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2"
           ]
        }
     }
    

Rendszer által hozzárendelt felügyelt identitás letiltása Azure-beli virtuális gépről

Ha le szeretné tiltani a rendszer által hozzárendelt felügyelt identitást egy virtuális gépen, a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

  1. Kérje le a Tulajdonos hozzáférési jogkivonatát, amelyet az Engedélyezés fejléc következő lépésében fog használni a virtuális gép rendszer által hozzárendelt felügyelt identitással való létrehozásához.

    az account get-access-token
    
  2. Frissítse a virtuális gépet a CURL használatával, hogy meghívja az Azure Resource Manager REST-végpontot a rendszer által hozzárendelt felügyelt identitás letiltásához. Az alábbi példa letiltja a rendszer által hozzárendelt felügyelt identitást a kérelem törzsében a myVM nevű virtuális gép értéke {"identity":{"type":"None"}} alapján. Cserélje le <ACCESS TOKEN> az előző lépésben kapott értékre, amikor tulajdonosi hozzáférési jogkivonatot és a <SUBSCRIPTION ID> környezetnek megfelelő értéket kért.

    Fontos

    Annak érdekében, hogy ne töröljön a virtuális géphez hozzárendelt, felhasználó által hozzárendelt felügyelt identitásokat, a következő CURL-paranccsal kell listáznia a felhasználó által hozzárendelt felügyelt identitásokat: curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachines/<VM NAME>?api-version=2018-06-01' -H "Authorization: Bearer <ACCESS TOKEN>". Ha a válaszban szereplő értékben identity azonosított felhasználó által hozzárendelt felügyelt identitások vannak hozzárendelve a virtuális géphez, ugorjon a 3. lépésre, amely bemutatja, hogyan őrizheti meg a felhasználó által hozzárendelt felügyelt identitásokat, miközben letiltja a rendszer által hozzárendelt felügyelt identitást a virtuális gépen.

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"None"}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"
    
    PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1
    

    Kérelemfejlécek

    Kérelem fejléce Leírás
    Tartalomtípus Szükséges. Állítsa application/json értékre.
    Engedélyezés Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot.

    Kérelem törzse

     {  
        "identity":{  
           "type":"None"
        }
     }
    

    Ha felhasználó által hozzárendelt felügyelt identitásokkal rendelkező virtuális gépről szeretné eltávolítani a rendszer által hozzárendelt felügyelt identitást, távolítsa el SystemAssigned az {"identity":{"type:" "}} értéket az érték és a userAssignedIdentities szótár értékeinek megőrzése UserAssigned mellett, ha az API 2018-06-01-es verzióját használja. Ha az API 2017-12-01-es vagy korábbi verzióját használja, tartsa meg a identityIds tömböt.

Felhasználó által hozzárendelt felügyelt identitás

Ebben a szakaszban megtudhatja, hogyan adhat hozzá és távolíthat el felhasználó által hozzárendelt felügyelt identitást egy Azure-beli virtuális gépen a CURL használatával az Azure Resource Manager REST-végpontjának hívásához.

Felhasználó által hozzárendelt felügyelt identitás hozzárendelése egy Azure-beli virtuális gép létrehozása során

Ha felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a virtuálisgép-közreműködői és a felügyelt identitáskezelői szerepkör-hozzárendelésekre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

  1. Kérje le a Tulajdonos hozzáférési jogkivonatát, amelyet az Engedélyezés fejléc következő lépésében fog használni a virtuális gép rendszer által hozzárendelt felügyelt identitással való létrehozásához.

    az account get-access-token
    
  2. Hozzon létre egy hálózati adaptert a virtuális géphez:

     az network nic create -g myResourceGroup --vnet-name myVnet --subnet mySubnet -n myNic
    
  3. Kérje le a Tulajdonos hozzáférési jogkivonatát, amelyet az Engedélyezés fejléc következő lépésében fog használni a virtuális gép rendszer által hozzárendelt felügyelt identitással való létrehozásához.

    az account get-access-token
    
  4. Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást az itt található utasításokat követve: Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást.

  5. Hozzon létre egy virtuális gépet a CURL használatával az Azure Resource Manager REST-végpontjának meghívásához. Az alábbi példa egy myVM nevű virtuális gépet hoz létre a myResourceGroup erőforráscsoportban egy felhasználó által hozzárendelt felügyelt identitássalID1, amelyet az érték "identity":{"type":"UserAssigned"}azonosít a kérelem törzsében. Cserélje le <ACCESS TOKEN> az előző lépésben kapott értékre, amikor tulajdonosi hozzáférési jogkivonatot és a <SUBSCRIPTION ID> környezetnek megfelelő értéket kért.

    API 2018-06-01-ES VERZIÓJA

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PUT -d '{"location":"westus","name":"myVM","identity":{"type":"UserAssigned","identityIds":["/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"]},"properties":{"hardwareProfile":{"vmSize":"Standard_D2_v2"},"storageProfile":{"imageReference":{"sku":"2016-Datacenter","publisher":"MicrosoftWindowsServer","version":"latest","offer":"WindowsServer"},"osDisk":{"caching":"ReadWrite","managedDisk":{"storageAccountType":"StandardSSD_LRS"},"name":"myVM3osdisk","createOption":"FromImage"},"dataDisks":[{"diskSizeGB":1023,"createOption":"Empty","lun":0},{"diskSizeGB":1023,"createOption":"Empty","lun":1}]},"osProfile":{"adminUsername":"azureuser","computerName":"myVM","adminPassword":"myPassword12"},"networkProfile":{"networkInterfaces":[{"id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myNic","properties":{"primary":true}}]}}}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"
    
    PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1
    

    Kérelemfejlécek

    Kérelem fejléce Leírás
    Tartalomtípus Szükséges. Állítsa application/json értékre.
    Engedélyezés Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot.

    Kérelem törzse

     {  
        "location":"westus",
        "name":"myVM",
        "identity":{  
           "type":"UserAssigned",
           "identityIds":[  
              "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"
           ]
        },
        "properties":{  
           "hardwareProfile":{  
              "vmSize":"Standard_D2_v2"
           },
           "storageProfile":{  
              "imageReference":{  
                 "sku":"2016-Datacenter",
                 "publisher":"MicrosoftWindowsServer",
                 "version":"latest",
                 "offer":"WindowsServer"
              },
              "osDisk":{  
                 "caching":"ReadWrite",
                 "managedDisk":{  
                    "storageAccountType":"StandardSSD_LRS"
                 },
                 "name":"myVM3osdisk",
                 "createOption":"FromImage"
              },
              "dataDisks":[  
                 {  
                    "diskSizeGB":1023,
                    "createOption":"Empty",
                    "lun":0
                 },
                 {  
                    "diskSizeGB":1023,
                    "createOption":"Empty",
                    "lun":1
                 }
              ]
           },
           "osProfile":{  
              "adminUsername":"azureuser",
              "computerName":"myVM",
              "adminPassword":"myPassword12"
           },
           "networkProfile":{  
              "networkInterfaces":[  
                 {  
                    "id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myNic",
                    "properties":{  
                       "primary":true
                    }
                 }
              ]
           }
        }
     }
    
    

    API 2017-12-01-ES VERZIÓJA

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01' -X PUT -d '{"location":"westus","name":"myVM","identity":{"type":"UserAssigned","identityIds":["/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"]},"properties":{"hardwareProfile":{"vmSize":"Standard_D2_v2"},"storageProfile":{"imageReference":{"sku":"2016-Datacenter","publisher":"MicrosoftWindowsServer","version":"latest","offer":"WindowsServer"},"osDisk":{"caching":"ReadWrite","managedDisk":{"storageAccountType":"StandardSSD_LRS"},"name":"myVM3osdisk","createOption":"FromImage"},"dataDisks":[{"diskSizeGB":1023,"createOption":"Empty","lun":0},{"diskSizeGB":1023,"createOption":"Empty","lun":1}]},"osProfile":{"adminUsername":"azureuser","computerName":"myVM","adminPassword":"myPassword12"},"networkProfile":{"networkInterfaces":[{"id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myNic","properties":{"primary":true}}]}}}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"
    
    PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01 HTTP/1.1
    

    Kérelemfejlécek

    Kérelem fejléce Leírás
    Tartalomtípus Szükséges. Állítsa application/json értékre.
    Engedélyezés Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot.

    Kérelem törzse

     {
        "location":"westus",
        "name":"myVM",
        "identity":{
           "type":"UserAssigned",
           "identityIds":[
              "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"
           ]
        },
        "properties":{
           "hardwareProfile":{
              "vmSize":"Standard_D2_v2"
           },
           "storageProfile":{
              "imageReference":{
                 "sku":"2016-Datacenter",
                 "publisher":"MicrosoftWindowsServer",
                 "version":"latest",
                 "offer":"WindowsServer"
              },
              "osDisk":{
                 "caching":"ReadWrite",
                 "managedDisk":{
                    "storageAccountType":"StandardSSD_LRS"
                 },
                 "name":"myVM3osdisk",
                 "createOption":"FromImage"
              },
              "dataDisks":[
                 {
                    "diskSizeGB":1023,
                    "createOption":"Empty",
                    "lun":0
                 },
                 {
                    "diskSizeGB":1023,
                    "createOption":"Empty",
                    "lun":1
                 }
              ]
           },
           "osProfile":{
              "adminUsername":"azureuser",
              "computerName":"myVM",
              "adminPassword":"myPassword12"
           },
           "networkProfile":{
              "networkInterfaces":[
                 {
                    "id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myNic",
                    "properties":{
                       "primary":true
                    }
                 }
              ]
           }
        }
     }
    

Felhasználó által hozzárendelt felügyelt identitás hozzárendelése meglévő Azure-beli virtuális géphez

Ha felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a virtuálisgép-közreműködői és a felügyelt identitáskezelői szerepkör-hozzárendelésekre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

  1. Kérje le a Tulajdonos hozzáférési jogkivonatát, amelyet az Engedélyezés fejléc következő lépésében fog használni a virtuális gép rendszer által hozzárendelt felügyelt identitással való létrehozásához.

    az account get-access-token
    
  2. Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást az itt található utasítások alapján, hozzon létre egy felhasználó által hozzárendelt felügyelt identitást.

  3. Annak érdekében, hogy ne törölje a virtuális géphez rendelt meglévő felhasználó- vagy rendszer által hozzárendelt felügyelt identitásokat, az alábbi CURL-paranccsal kell listáznia a virtuális géphez rendelt identitástípusokat. Ha rendelkezik a virtuálisgép-méretezési csoporthoz hozzárendelt felügyelt identitásokkal, azok az identity érték alatt jelennek meg.

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachines/<VM NAME>?api-version=2018-06-01' -H "Authorization: Bearer <ACCESS TOKEN>" 
    
    GET https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachines/<VM NAME>?api-version=2018-06-01 HTTP/1.1
    

    Kérelemfejlécek

    Kérelem fejléce Leírás
    Engedélyezés Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot.

    Ha a válaszban szereplő értékben identity azonosított felhasználó vagy rendszer által hozzárendelt felügyelt identitás van hozzárendelve a virtuális géphez, ugorjon az 5. lépésre, amely bemutatja, hogyan őrizheti meg a rendszer által hozzárendelt felügyelt identitást, miközben hozzáad egy felhasználó által hozzárendelt felügyelt identitást a virtuális gépen.

  4. Ha nincs hozzárendelve felhasználó által hozzárendelt felügyelt identitás a virtuális géphez, az alábbi CURL-paranccsal hívja meg az Azure Resource Manager REST-végpontot, hogy hozzárendelje az első felhasználó által hozzárendelt felügyelt identitást a virtuális géphez.

    Az alábbi példa egy felhasználó által hozzárendelt felügyelt identitást ID1 rendel hozzá egy myVM nevű virtuális géphez a myResourceGroup erőforráscsoportban. Cserélje le <ACCESS TOKEN> az előző lépésben kapott értékre, amikor tulajdonosi hozzáférési jogkivonatot és a <SUBSCRIPTION ID> környezetnek megfelelő értéket kért.

    API 2018-06-01-ES VERZIÓJA

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"UserAssigned", "userAssignedIdentities":{"/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{}}}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"
    
    PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1
    

    Kérelemfejlécek

    Kérelem fejléce Leírás
    Tartalomtípus Szükséges. Állítsa application/json értékre.
    Engedélyezés Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot.

    Kérelem törzse

     {
        "identity":{
           "type":"UserAssigned",
           "userAssignedIdentities":{
              "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{
    
              }
           }
        }
     }
    

    API 2017-12-01-ES VERZIÓJA

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01' -X PATCH -d '{"identity":{"type":"userAssigned", "identityIds":["/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"]}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"
    
    PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01 HTTP/1.1
    

    Kérelemfejlécek

    Kérelem fejléce Leírás
    Tartalomtípus Szükséges. Állítsa application/json értékre.
    Engedélyezés Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot.

    Kérelem törzse

     {
        "identity":{
           "type":"userAssigned",
           "identityIds":[
              "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"
           ]
        }
     }
    
  5. Ha rendelkezik a virtuális géphez hozzárendelt, felhasználóhoz vagy rendszer által hozzárendelt felügyelt identitással:

    API 2018-06-01-ES VERZIÓJA

    Adja hozzá a felhasználó által hozzárendelt felügyelt identitást a szótár értékéhez userAssignedIdentities .

    Ha például rendelkezik rendszer által hozzárendelt felügyelt identitással és a virtuális géphez jelenleg hozzárendelt felhasználó által hozzárendelt felügyelt identitással ID1 , és hozzá szeretné adni a felhasználó által hozzárendelt felügyelt identitást ID2 :

    curl  'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"SystemAssigned, UserAssigned", "userAssignedIdentities":{"/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{},"/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":{}}}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"
    
    PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1
    

    Kérelemfejlécek

    Kérelem fejléce Leírás
    Tartalomtípus Szükséges. Állítsa application/json értékre.
    Engedélyezés Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot.

    Kérelem törzse

     {
        "identity":{
           "type":"SystemAssigned, UserAssigned",
           "userAssignedIdentities":{
              "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{
    
              },
              "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":{
    
              }
           }
        }
     }
    

    API 2017-12-01-ES VERZIÓJA

    Megtarthatja a felhasználó által hozzárendelt felügyelt identitásokat, amelyeket meg szeretne tartani a identityIds tömbértékben, miközben hozzáadja az új, felhasználó által hozzárendelt felügyelt identitást.

    Ha például rendelkezik rendszer által hozzárendelt felügyelt identitással és a virtuális géphez jelenleg hozzárendelt felhasználó által hozzárendelt felügyelt identitással ID1 , és hozzá szeretné adni a felhasználó által hozzárendelt felügyelt identitást ID2 :

    curl  'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01' -X PATCH -d '{"identity":{"type":"SystemAssigned,UserAssigned", "identityIds":["/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1","/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2"]}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"
    
    PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01 HTTP/1.1
    

    Kérelemfejlécek

    Kérelem fejléce Leírás
    Tartalomtípus Szükséges. Állítsa application/json értékre.
    Engedélyezés Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot.

    Kérelem törzse

     {
        "identity":{
           "type":"SystemAssigned,UserAssigned",
           "identityIds":[
              "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1",
              "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2"
           ]
        }
     }
    

Felhasználó által hozzárendelt felügyelt identitás eltávolítása egy Azure-beli virtuális gépről

Ha el szeretne távolítani egy felhasználó által hozzárendelt identitást egy virtuális gépről, a fióknak szüksége van a virtuális gép közreműködői szerepkör-hozzárendelésére.

  1. Kérje le a Tulajdonos hozzáférési jogkivonatát, amelyet az Engedélyezés fejléc következő lépésében fog használni a virtuális gép rendszer által hozzárendelt felügyelt identitással való létrehozásához.

    az account get-access-token
    
  2. Annak érdekében, hogy ne törölje a virtuális géphez hozzárendelni kívánt meglévő, felhasználó által hozzárendelt felügyelt identitásokat, vagy távolítsa el a rendszer által hozzárendelt felügyelt identitást, a felügyelt identitásokat a következő CURL-paranccsal kell listáznia:

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachines/<VM NAME>?api-version=2018-06-01' -H "Authorization: Bearer <ACCESS TOKEN>"
    
    GET https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachines/<VM NAME>?api-version=2018-06-01 HTTP/1.1
    

    Kérelemfejlécek

    Kérelem fejléce Leírás
    Tartalomtípus Szükséges. Állítsa application/json értékre.
    Engedélyezés Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot.

    Ha a virtuális géphez hozzárendelt felügyelt identitások szerepelnek a válaszban az identity értékben.

    Ha például felhasználó által hozzárendelt felügyelt identitásokkal rendelkezik ID1 , és ID2 a virtuális géphez van hozzárendelve, és csak a hozzárendelt és a rendszer által hozzárendelt identitást szeretné ID1 megőrizni:

    API 2018-06-01-ES VERZIÓJA

    Adja hozzá null a felhasználó által hozzárendelt felügyelt identitáshoz, amelyet el szeretne távolítani:

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"SystemAssigned, UserAssigned", "userAssignedIdentities":{"/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":null}}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"
    
    PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1
    

    Kérelemfejlécek

    Kérelem fejléce Leírás
    Tartalomtípus Szükséges. Állítsa application/json értékre.
    Engedélyezés Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot.

    Kérelem törzse

     {
        "identity":{
           "type":"SystemAssigned, UserAssigned",
           "userAssignedIdentities":{
              "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":null
           }
        }
     }
    

    API 2017-12-01-ES VERZIÓJA

    Csak a felhasználó által hozzárendelt felügyelt identitás(ok) megőrzése a identityIds tömbben:

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01' -X PATCH -d '{"identity":{"type":"SystemAssigned, UserAssigned", "identityIds":["/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"]}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"
    
    PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01 HTTP/1.1
    

    Kérelemfejlécek

    Kérelem fejléce Leírás
    Tartalomtípus Szükséges. Állítsa application/json értékre.
    Engedélyezés Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot.

    Kérelem törzse

     {
        "identity":{
           "type":"SystemAssigned, UserAssigned",
           "identityIds":[
              "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"
           ]
        }
     }
    

Ha a virtuális gép rendszer által hozzárendelt és felhasználó által hozzárendelt felügyelt identitásokkal is rendelkezik, az összes felhasználó által hozzárendelt felügyelt identitást eltávolíthatja úgy, hogy csak a rendszer által hozzárendelt felügyelt identitás használatára vált az alábbi paranccsal:

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"SystemAssigned"}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"
PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1

Kérelemfejlécek

Kérelem fejléce Leírás
Tartalomtípus Szükséges. Állítsa application/json értékre.
Engedélyezés Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot.

Kérelem törzse

{
   "identity":{
      "type":"SystemAssigned"
   }
}

Ha a virtuális gép csak felhasználó által hozzárendelt felügyelt identitásokkal rendelkezik, és az összeset el szeretné távolítani, használja a következő parancsot:

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"None"}}' -H "Content-Type: application/json" -H Authorization:"Bearer <ACCESS TOKEN>"
PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1

Kérelemfejlécek

Kérelem fejléce Leírás
Tartalomtípus Szükséges. Állítsa application/json értékre.
Engedélyezés Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot.

Kérelem törzse

{
   "identity":{
      "type":"None"
   }
}

Következő lépések

A felhasználó által hozzárendelt felügyelt identitások REST használatával történő létrehozásáról, listázásáról és törléséről a következő témakörben tájékozódhat:

Ebből a cikkből megtudhatja, hogyan engedélyezheti és távolíthatja el az Azure-erőforrások felügyelt identitását egy Azure-beli virtuális géphez egy Azure SDK használatával.

Előfeltételek

Azure-erőforrások felügyelt identitásaival rendelkező Azure SDK-k támogatása

Azure-támogatás több programozási platformot isAzure SDK-k. Ezek közül több frissült, hogy támogassa az Azure-erőforrások felügyelt identitásait, és megfelelő mintákat biztosítson a használat bemutatásához. Ez a lista más támogatás hozzáadásakor frissül:

SDK Minta
.NET Erőforrás kezelése engedélyezett virtuális gépről az Azure-erőforrások felügyelt identitásaival
Java Tároló kezelése az Azure-erőforrások felügyelt identitásaival engedélyezett virtuális gépről
Node.js Virtuális gép létrehozása a rendszer által hozzárendelt felügyelt identitással engedélyezve
Python Virtuális gép létrehozása a rendszer által hozzárendelt felügyelt identitással engedélyezve
Ruby Azure-beli virtuális gép létrehozása rendszer által hozzárendelt identitással engedélyezve

Következő lépések

  • Az Azure-beli virtuális gépek identitásának konfigurálása című témakör kapcsolódó cikkeiből megtudhatja, hogyan használhatja az Azure Portalt, a PowerShellt, a parancssori felületet és az erőforrássablonokat is.