Megosztás a következőn keresztül:


Oktatóanyag: Rendszer által hozzárendelt felügyelt identitás használata egy virtuális gépen az Azure Resource Manager eléréséhez

Ez a rövid útmutató bemutatja, hogyan használhatja a rendszer által hozzárendelt felügyelt identitást virtuális gép (VM) identitásaként az Azure Resource Manager API eléréséhez. Az Azure-erőforrások felügyelt identitásait az Azure automatikusan felügyeli, és lehetővé teszi a Microsoft Entra-hitelesítést támogató szolgáltatások hitelesítését anélkül, hogy hitelesítő adatokat kellene beszúrnia a kódba.

Az Azure-erőforrások felügyelt identitásai a Microsoft Entra ID egyik funkciója. Az Azure-erőforrások felügyelt identitását támogató összes Azure-szolgáltatásra a saját ütemterve vonatkozik. Mielőtt nekikezdene, tekintse át az erőforrásához tartozó felügyelt identitások elérhetőségi állapotát, valamint az ismert problémákat.

A következőket fogja megtanulni:

  • Virtuális gép (VM) hozzáférésének biztosítása egy erőforráscsoporthoz az Azure Resource Managerben
  • Hozzáférési jogkivonat lekérése virtuálisgép-identitással és az Azure Resource Manager meghívásához

Windows rendszerű virtuális gép által hozzárendelt felügyelt identitás használata a Resource Manager eléréséhez

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Ez az oktatóanyag bemutatja, hogyan hozhat létre rendszer által hozzárendelt identitást, hogyan rendelheti hozzá egy Windows rendszerű virtuális géphez, majd hogyan férhet hozzá az Azure Resource Manager API-hoz. A felügyeltszolgáltatás-identitások kezelését az Azure automatikusan végzi. Engedélyezik a microsoft entra-hitelesítést támogató szolgáltatások hitelesítését anélkül, hogy hitelesítő adatokat kellene beágyazniuk a kódba.

A következőket fogja megtanulni:

  • Adjon hozzáférést a virtuális gépnek az Azure Resource Managerhez.
  • Hozzáférési jogkivonat beszerzése a virtuális gép rendszer által hozzárendelt felügyelt identitásával a Resource Manager eléréséhez.
  1. Jelentkezzen be az Azure Portalra a rendszergazdai fiókjával.

  2. Lépjen az Erőforráscsoportok lapra.

  3. Válassza ki azt az erőforráscsoportot , amelyet engedélyezni szeretne a virtuális gép felügyelt identitásához.

  4. A bal oldali panelen válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

  5. Válassza a Hozzáadás, majd a Szerepkör-hozzárendelés hozzáadása lehetőséget.

  6. A Szerepkör lapon válassza az Olvasó lehetőséget. Ez a szerepkör lehetővé teszi az összes erőforrás megtekintését, de nem teszi lehetővé a módosításokat.

  7. A Tagok lapon a Hozzáférés hozzárendelése beállításnál válassza a Felügyelt identitás lehetőséget, majd a + Tagok kijelölése lehetőséget.

  8. Győződjön meg arról, hogy a megfelelő előfizetés szerepel az Előfizetés legördülő listában. Erőforráscsoport esetén válassza az Összes erőforráscsoport lehetőséget.

  9. Az Identitás kezelése legördülő menüben válassza a Virtuális gép lehetőséget.

  10. Válassza ki a virtuális gépet a legördülő listában, majd válassza a Mentés lehetőséget.

    Képernyőkép az olvasói szerepkör felügyelt identitáshoz való hozzáadásáról.

Hozzáférési jogkivonat lekérése

Használja a virtuális gép rendszer által hozzárendelt felügyelt identitását, és hívja meg a Resource Managert egy hozzáférési jogkivonat beszerzéséhez.

A lépések elvégzéséhez szüksége lesz egy SSH-ügyfélre. Windows használata esetén használhatja az SSH-ügyfelet a Linuxos Windows-alrendszer. Amennyiben segítségre van szüksége az SSH-ügyfél kulcsának konfigurálásához, Az SSH-kulcsok és a Windows együttes használata az Azure-ban vagy Nyilvános és titkos SSH-kulcspár létrehozása és használata az Azure-ban Linux rendszerű virtuális gépekhez című cikkekben talál további információt.

  1. A portálon lépjen a Linux rendszerű virtuális gépre, és az Áttekintés területen válassza a Csatlakozás lehetőséget.
  2. Csatlakozzon a virtuális géphez a választott SSH-ügyféllel.
  3. A terminálablakban curlkérést intézhet az Azure-erőforrások végpontjának helyi felügyelt identitásaihoz az Azure Resource Manager hozzáférési jogkivonatának lekéréséhez.   A curl hozzáférési jogkivonatra vonatkozó kérés alább található.
curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/' -H Metadata:true

Feljegyzés

A paraméter értékének resource pontosan meg kell egyeznie a Microsoft Entra ID által várt értékkel. A Resource Manager erőforrás-azonosítója esetén a záró perjelet is meg kell adnia az URI-n.

A válasz tartalmazza az Azure Resource Manager eléréséhez szükséges hozzáférési jogkivonatot.

Válasz:

{
  "access_token":"eyJ0eXAiOi...",
  "refresh_token":"",
  "expires_in":"3599",
  "expires_on":"1504130527",
  "not_before":"1504126627",
  "resource":"https://management.azure.com",
  "token_type":"Bearer"
}

Ezzel a hozzáférési jogkivonattal érheti el az Azure Resource Managert; Például annak az erőforráscsoportnak a részleteinek elolvasásához, amelyhez korábban hozzáférést adott a virtuális géphez. Cserélje le a , <RESOURCE-GROUP>és <ACCESS-TOKEN> a korábban létrehozott értékeket<SUBSCRIPTION-ID>.

Feljegyzés

Az URL-cím megkülönbözteti a kis- és nagybetűket, ezért győződjön meg arról, hogy pontosan a korábban használt esetet használja, amikor elnevezte az erőforráscsoportot, valamint a "resourceGroup" nagybetűs "G" betűt.

curl https://management.azure.com/subscriptions/<SUBSCRIPTION-ID>/resourceGroups/<RESOURCE-GROUP>?api-version=2016-09-01 -H "Authorization: Bearer <ACCESS-TOKEN>" 

A válasz vissza a megadott erőforráscsoport-információkkal:

{
"id":"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/DevTest",
"name":"DevTest",
"location":"westus",
"properties":
{
  "provisioningState":"Succeeded"
  }
} 

Linux rendszerű virtuális gép által hozzárendelt felügyelt identitás használata erőforráscsoport eléréséhez a Resource Managerben

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Ez az oktatóanyag bemutatja, hogyan hozhat létre rendszer által hozzárendelt identitást, hogyan rendelheti hozzá egy Linux rendszerű virtuális géphez, majd hogyan férhet hozzá az Azure Resource Manager API-hoz. A felügyeltszolgáltatás-identitások kezelését az Azure automatikusan végzi. Engedélyezik a microsoft entra-hitelesítést támogató szolgáltatások hitelesítését anélkül, hogy hitelesítő adatokat kellene beágyazniuk a kódba.

Az alábbiak végrehajtásának módját ismerheti meg:

  • Adjon hozzáférést a virtuális gépnek az Azure Resource Managerhez.
  • Hozzáférési jogkivonat beszerzése a virtuális gép rendszer által hozzárendelt felügyelt identitásával a Resource Manager eléréséhez.
  1. Jelentkezzen be az Azure Portalra a rendszergazdai fiókjával.

  2. Lépjen az Erőforráscsoportok lapra.

  3. Válassza ki azt az erőforráscsoportot , amelyet engedélyezni szeretne a virtuális gép felügyelt identitásához.

  4. A bal oldali panelen válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

  5. Válassza a Hozzáadás, majd a Szerepkör-hozzárendelés hozzáadása lehetőséget.

  6. A Szerepkör lapon válassza az Olvasó lehetőséget. Ez a szerepkör lehetővé teszi az összes erőforrás megtekintését, de nem teszi lehetővé a módosításokat.

  7. A Tagok lap Hozzáférés hozzárendelése lehetőségében válassza a Felügyelt identitás, majd a + Tagok kijelölése lehetőséget.

  8. Győződjön meg arról, hogy a megfelelő előfizetés szerepel az Előfizetés legördülő listában. Erőforráscsoport esetén válassza az Összes erőforráscsoport lehetőséget.

  9. Az Identitás kezelése legördülő listában válassza a Virtuális gép lehetőséget.

  10. A Kiválasztás beállításban válassza ki a virtuális gépet a legördülő listában, majd válassza a Mentés lehetőséget.

    Képernyőkép az olvasói szerepkör felügyelt identitáshoz való hozzáadásáról.

Hozzáférési jogkivonat lekérése

Használja a virtuális gép rendszer által hozzárendelt felügyelt identitását, és hívja meg az erőforrás-kezelőt egy hozzáférési jogkivonat beszerzéséhez.

A lépések elvégzéséhez szüksége lesz egy SSH-ügyfélre. Windows használata esetén használhatja az SSH-ügyfelet a Linuxos Windows-alrendszer. Amennyiben segítségre van szüksége az SSH-ügyfél kulcsának konfigurálásához, Az SSH-kulcsok és a Windows együttes használata az Azure-ban vagy Nyilvános és titkos SSH-kulcspár létrehozása és használata az Azure-ban Linux rendszerű virtuális gépekhez című cikkekben talál további információt.

  1. Az Azure Portalon keresse meg a Linux rendszerű virtuális gépet.
  2. Az Áttekintés területen válassza a Csatlakozás lehetőséget.
  3. Csatlakozzon a virtuális géphez a választott SSH-ügyféllel.
  4. A terminálablakban curlkérést intézhet az Azure-erőforrások végpontjának helyi felügyelt identitásaihoz, hogy lekérjen egy hozzáférési jogkivonatot az Azure Resource Managerhez.   A curl hozzáférési jogkivonatra vonatkozó kérés alább található.
curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/' -H Metadata:true

Feljegyzés

A paraméter értékének resource pontosan meg kell egyeznie a Microsoft Entra ID által várt értékkel. A Resource Manager-erőforrás-azonosító esetében a záró perjelet is meg kell adnia az URI-n.

A válasz tartalmazza az Azure Resource Manager eléréséhez szükséges hozzáférési jogkivonatot.

Válasz:

{
  "access_token":"eyJ0eXAiOi...",
  "refresh_token":"",
  "expires_in":"3599",
  "expires_on":"1504130527",
  "not_before":"1504126627",
  "resource":"https://management.azure.com",
  "token_type":"Bearer"
}

Ezzel a hozzáférési jogkivonattal érheti el az Azure Resource Managert. Például annak az erőforráscsoportnak a részleteinek elolvasásához, amelyhez korábban hozzáférést adott a virtuális géphez. Cserélje le a , <RESOURCE-GROUP>és <ACCESS-TOKEN> a korábban létrehozott értékeket<SUBSCRIPTION-ID>.

Feljegyzés

Az URL-cím megkülönbözteti a kis- és nagybetűket, ezért győződjön meg arról, hogy a korábban használt pontos esetet használja az erőforráscsoport elnevezésekor, valamint a "G" nagybetűt resourceGroup.

curl https://management.azure.com/subscriptions/<SUBSCRIPTION-ID>/resourceGroups/<RESOURCE-GROUP>?api-version=2016-09-01 -H "Authorization: Bearer <ACCESS-TOKEN>" 

A válasz vissza a megadott erőforráscsoport-információkkal:

{
"id":"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/DevTest",
"name":"DevTest",
"location":"westus",
"properties":
{
  "provisioningState":"Succeeded"
  }
} 

Következő lépések

Ebben a rövid útmutatóban megtanulta, hogyan használhat rendszer által hozzárendelt felügyelt identitást egy virtuális gépen az Azure Resource Manager API eléréséhez. Az Azure Resource Managerrel kapcsolatos további információkért lásd: