Hozzáférés a Resource Managerhez egy Windows VM-beli, rendszer által hozzárendelt felügyelt identitással
Az Azure-erőforrások felügyelt identitásai a Microsoft Entra ID egyik funkciója. Az Azure-erőforrások felügyelt identitását támogató összes Azure-szolgáltatásra a saját ütemterve vonatkozik. Mielőtt nekikezdene, tekintse át az erőforrásához tartozó felügyelt identitások elérhetőségi állapotát, valamint az ismert problémákat.
Ez az oktatóanyag bemutatja, hogyan érheti el az Azure Resource Manager API-t egy Windows rendszerű virtuális géppel, amelyen engedélyezve van a rendszer által hozzárendelt felügyelt identitás. Az Azure-erőforrások felügyelt identitásait az Azure automatikusan felügyeli, és lehetővé teszi a Microsoft Entra-hitelesítést támogató szolgáltatások hitelesítését anélkül, hogy hitelesítő adatokat kellene beszúrnia a kódba. Az alábbiak végrehajtásának módját ismerheti meg:
- Hozzáférés engedélyezése virtuális gép számára az Azure Resource Managerben lévő erőforráscsoporthoz
- Hozzáférési jogkivonat lekérése a VM identitásával, majd az Azure Resource Manager meghívása a használatával
Előfeltételek
- A felügyelt identitások alapszintű ismerete. Ha még nem ismeri az Azure-erőforrások felügyelt identitására vonatkozó funkciót, tekintse meg ezt az áttekintést.
- Egy Azure-fiók, regisztráljon egy ingyenes fiókra.
- "Tulajdonos" engedélyek a megfelelő hatókörben (az előfizetésben vagy az erőforráscsoportban) a szükséges erőforrás-létrehozási és szerepkör-kezelési lépések végrehajtásához. Ha segítségre van szüksége a szerepkör-hozzárendeléssel kapcsolatban, olvassa el az Azure-szerepkörök hozzárendelése az Azure-előfizetés erőforrásaihoz való hozzáférés kezeléséhez című témakört.
- Olyan Windows rendszerű virtuális gépre is szüksége van, amely engedélyezve van a rendszer által hozzárendelt felügyelt identitásokkal.
- Ha ehhez az oktatóanyaghoz létre kell hoznia egy virtuális gépet, kövesse a rendszer által hozzárendelt identitással rendelkező virtuális gép létrehozása című cikket
Engedélyezés
A rendszer által hozzárendelt felügyelt identitás engedélyezése egy kattintásos felület. Ezt engedélyezheti a virtuális gép létrehozásakor vagy egy meglévő virtuális gép tulajdonságaiban.
Rendszer által hozzárendelt felügyelt identitás engedélyezése új virtuális gépen:
Jelentkezzen be az Azure Portalra
Rendszer által hozzárendelt identitással rendelkező virtuális gép létrehozása
Hozzáférés biztosítása a VM számára a Resource Managerben lévő erőforráscsoporthoz
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Az Azure-erőforrások felügyelt identitásainak használatával az alkalmazás hozzáférési jogkivonatokat kaphat a Microsoft Entra-hitelesítést támogató erőforrások hitelesítéséhez. Az Azure Resource Manager API támogatja a Microsoft Entra-hitelesítést. A virtuális gép identitás-hozzáférését biztosítjuk egy erőforráshoz az Azure Resource Managerben, ebben az esetben egy erőforráscsoporthoz. Az Olvasó szerepkört az erőforráscsoport hatókörében rendeljük hozzá a felügyelt identitáshoz.
- Jelentkezzen be az Azure Portalra a rendszergazdai fiókjával.
- Navigáljon az Erőforráscsoportok lapra.
- Válassza ki azt az erőforráscsoportot , amelyhez hozzáférést szeretne adni a virtuális gép felügyelt identitásához.
- A bal oldali panelen válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
- Válassza a Hozzáadás, majd a Szerepkör-hozzárendelés hozzáadása lehetőséget.
- A Szerepkör lapon válassza az Olvasó lehetőséget. Ez a szerepkör lehetővé teszi az összes erőforrás megtekintését, de nem teszi lehetővé a módosításokat.
- A Tagok lapon a Hozzáférés hozzárendelése lapon válassza a Felügyelt identitás lehetőséget. Ezután válassza a + Tagok kijelölése lehetőséget.
- Győződjön meg arról, hogy a megfelelő előfizetés szerepel az Előfizetés legördülő listában. Az Erőforráscsoport esetében válassza a Minden erőforráscsoport lehetőséget.
- Az Identitás kezelése legördülő menüben válassza a Virtuális gép lehetőséget.
- Végül válassza ki a Windows rendszerű virtuális gépet a legördülő listában, és válassza a Mentés lehetőséget.
Hozzáférési jogkivonat lekérése a virtuális gép rendszer által hozzárendelt felügyelt identitásának használatával, majd az Azure Resource Manager meghívása a jogkivonat használatával
Ebben a részben a PowerShellt kell használnia. Ha a PowerShell nincs telepítve, innen letöltheti.
A portálon lépjen a Virtuális gépek elemre, és nyissa meg a Windows rendszerű virtuális gépet, és az Áttekintés területen válassza a Csatlakozás.
A Felhasználónév és a Jelszó mezőbe azt a felhasználónevet és jelszót írja be, amelyet a Windows VM létrehozásakor adott meg.
Most, hogy létrehozott egy távoli asztali Csatlakozás iont a virtuális géppel, nyissa meg a PowerShellt a távoli munkamenetben.
Az Invoke-WebRequest parancsmaggal kérést intézhet az Azure-erőforrások helyi felügyelt identitásának végpontjához, hogy lekérjen egy hozzáférési jogkivonatot az Azure Resource Managerhez.
$response = Invoke-WebRequest -Uri 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/' -Method GET -Headers @{Metadata="true"}
Feljegyzés
Az "erőforrás" paraméter értékének pontosan meg kell egyeznie a Microsoft Entra ID által várt értékkel. Az Azure Resource Manager erőforrás-azonosítójának használatakor a záró perjelet is szerepeltetni kell az URI-ban.
Ezután nyerje ki a teljes választ, amelyet egy JavaScript Object Notation (JSON) formátumú sztringként tárol a $response objektum.
$content = $response.Content | ConvertFrom-Json
Ezután nyerje ki a hozzáférési jogkivonatot a válaszból.
$ArmToken = $content.access_token
Végül hívja meg az Azure Resource Managert a hozzáférési jogkivonattal. Ebben a példában az Invoke-WebRequest parancsmaggal is meghívjuk az Azure Resource Managert, és belefoglaljuk a hozzáférési jogkivonatot az Engedélyezés fejlécbe.
(Invoke-WebRequest -Uri https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>?api-version=2016-06-01 -Method GET -ContentType "application/json" -Headers @{ Authorization ="Bearer $ArmToken"}).content
Feljegyzés
Az URL megkülönbözteti a kis- és nagybetűket, ezért ellenőrizze, hogy pontosan ugyanúgy írja be a kis- és nagybetűket, mint az erőforráscsoport elnevezésekor, illetve hogy a „resourceGroups” kifejezésben nagy legyen a „G” betű.
A következő parancs adja vissza az erőforráscsoport adatait:
{"id":"/subscriptions/98f51385-2edc-4b79-bed9-7718de4cb861/resourceGroups/DevTest","name":"DevTest","location":"westus","properties":{"provisioningState":"Succeeded"}}
Következő lépések
Ennek a rövid útmutatónak a segítségével megtanulta, hogyan használható a rendszer által hozzárendelt felügyelt identitás az Azure Resource Manager API-hoz való hozzáféréshez. További információ az Azure Resource Managerről: