Gunakan identitas terkelola yang ditetapkan sistem VM Linux untuk mengakses Azure Resource Manager

Identitas terkelola untuk sumber daya Azure adalah fitur ID Microsoft Entra. Setiap layanan Azure yang mendukung identitas terkelola untuk sumber daya Azure tunduk pada garis waktu mereka masing-masing. Pastikan Anda meninjau status ketersediaan identitas terkelola untuk sumber daya dan masalah yang diketahui sebelum Anda memulai.

Mulai cepat ini menunjukkan kepada Anda cara menggunakan identitas terkelola yang ditetapkan sistem sebagai identitas komputer virtual (VM) Linux untuk mengakses API Azure Resource Manager. Identitas terkelola untuk sumber daya Azure dikelola secara otomatis oleh Azure dan memungkinkan Anda mengautentikasi ke layanan yang mendukung autentikasi Microsoft Entra tanpa perlu menyisipkan kredensial ke dalam kode Anda. Anda akan mempelajari cara untuk:

• Memberikan akses Komputer Virtual Anda ke Grup Sumber Daya di Azure Resource Manager
• Dapatkan token akses menggunakan identitas Komputer Virtual dan gunakan untuk menghubungi Azure Resource Manager

Prasyarat

• Pemahaman tentang Identitas terkelola. Jika Anda tidak terbiasa dengan identitas terkelola, lihat gambaran umum ini.
• Akun Azure, daftar untuk mendapatkan akun gratis.
• Anda juga memerlukan komputer Virtual Linux yang mengaktifkan identitas terkelola yang ditetapkan sistem. Jika Anda memiliki VM tetapi perlu mengaktifkan identitas terkelola yang ditetapkan sistem, Anda dapat melakukannya di bagian identitas properti komputer virtual.
  • Jika perlu membuat mesin virtual untuk tutorial ini, Anda dapat mengikuti artikel berjudul Membuat mesin virtual Linux dengan portal Microsoft Azure

Memberikan akses

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Saat Anda menggunakan identitas terkelola untuk sumber daya Azure, kode Anda bisa mendapatkan token akses untuk mengautentikasi ke sumber daya yang mendukung autentikasi Microsoft Entra. AZURE Resource Manager API mendukung autentikasi Microsoft Entra. Pertama, kita perlu memberikan akses identitas VM ini ke sumber daya di Azure Resource Manager, dalam hal ini, Grup Sumber Daya tempat VM berada.

1. Masuk ke portal Azure dengan akun administrator Anda.

2. Navigasi ke tab Grup Sumber Daya.

3. Pilih Grup Sumber Daya yang ingin Anda berikan akses identitas terkelola VM.

4. Di panel kiri, pilih Kontrol akses (IAM).

5. Pilih Tambahkan, lalu pilih Tambahkan penetapan peran.

6. Di tab Peran , pilih Pembaca. Peran ini memungkinkan melihat semua sumber daya, tetapi tidak memungkinkan Anda untuk membuat perubahan apa pun.

7. Di tab Anggota , untuk tetapkan akses ke, pilih Identitas terkelola. Kemudian, pilih + Pilih anggota.

8. Pastikan langganan yang tepat tercantum di menu dropdown Langganan . Dan untuk Grup Sumber Daya, pilih Semua grup sumber daya.

9. Untuk menu dropdown Kelola identitas , pilih Komputer Virtual.

10. Terakhir, di Pilih pilih Windows Virtual Machine Anda di menu dropdown dan pilih Simpan.

    

Dapatkan token akses menggunakan identitas terkelola yang ditetapkan sistem Komputer Virtual dan gunakan untuk memanggil Resource Manager

Untuk menyelesaikan langkah-langkah ini, Anda memerlukan klien SSH. Jika menggunakan Windows, Anda dapat menggunakan klien SSH di Subsistem Windows untuk Linux. Jika Anda memerlukan bantuan untuk mengonfigurasi kunci klien SSH Anda, lihat Cara Menggunakan kunci SSH dengan Windows di Microsoft Azure, atau Cara membuat dan menggunakan pasangan kunci publik dan privat SSH untuk komputer virtual Linux di Microsoft Azure.

1. Di portal, navigasikan ke VM Linux Anda dan di Gambaran Umum, pilih Koneksi.

2. Sambungkan ke komputer virtual dengan klien SSH pilihan Anda.

3. Di jendela terminal, menggunakan curl, buat permintaan ke identitas terkelola lokal untuk titik akhir sumber daya Azure guna mendapatkan token akses untuk Azure Resource Manager.   Permintaan curl untuk token akses ada di bawah.

curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/' -H Metadata:true

Catatan

Nilai resource parameter harus sama persis dengan apa yang diharapkan oleh ID Microsoft Entra. Dalam kasus ID sumber daya Resource Manager, Anda harus menyertakan garis miring berikutnya pada URI.

Respons mencakup token akses yang Anda butuhkan untuk mengakses Azure Resource Manager.

Respons:

{
  "access_token":"eyJ0eXAiOi...",
  "refresh_token":"",
  "expires_in":"3599",
  "expires_on":"1504130527",
  "not_before":"1504126627",
  "resource":"https://management.azure.com",
  "token_type":"Bearer"
}

Anda dapat menggunakan token akses ini untuk mengakses Azure Resource Manager, misalnya untuk membaca detail Grup Sumber Daya yang sebelumnya Anda berikan akses Komputer Virtual ini. Ganti nilai <SUBSCRIPTION-ID> , <RESOURCE-GROUP> dan <ACCESS-TOKEN> dengan nilai yang Anda buat sebelumnya.

Catatan

URL ini peka huruf besar/kecil, jadi pastikan jika Anda menggunakan huruf yang sama persis seperti yang Anda gunakan sebelumnya saat Anda menamai Grup Sumber Daya, dan huruf besar "G" di "resourceGroup".  

curl https://management.azure.com/subscriptions/<SUBSCRIPTION-ID>/resourceGroups/<RESOURCE-GROUP>?api-version=2016-09-01 -H "Authorization: Bearer <ACCESS-TOKEN>" 

Respons kembali dengan informasi Grup Sumber Daya tertentu:

{
"id":"/subscriptions/98f51385-2edc-4b79-bed9-7718de4cb861/resourceGroups/DevTest",
"name":"DevTest",
"location":"westus",
"properties":
{
  "provisioningState":"Succeeded"
  }
} 

Langkah berikutnya

Dalam mulai cepat ini, Anda mempelajari cara menggunakan identitas terkelola yang ditetapkan sistem untuk mengakses API Azure Resource Manager. Untuk informasi selengkapnya tentang Azure Resource Manager, lihat:

Manajer Sumber Daya Azure Membuat, mencantumkan, atau menghapus identitas terkelola yang ditetapkan pengguna menggunakan Azure PowerShell