Menetapkan akses identitas terkelola ke sumber daya menggunakan Azure CLI
Identitas terkelola untuk sumber daya Azure adalah fitur ID Microsoft Entra. Setiap layanan Azure yang mendukung identitas terkelola untuk sumber daya Azure tunduk pada garis waktu mereka masing-masing. Pastikan Anda meninjau status ketersediaan identitas terkelola untuk sumber daya dan masalah yang diketahui sebelum Anda memulai.
Setelah mengonfigurasi sumber daya Azure dengan identitas terkelola, Anda dapat memberikan akses identitas terkelola ke sumber daya lain, seperti halnya prinsipal keamanan lainnya. Contoh ini menjelaskan cara memberikan akses identitas terkelola set skala komputer virtual atau komputer virtual Azure kepada akun penyimpanan Azure menggunakan Azure CLI.
Jika Anda belum memiliki akun Azure, daftar untuk mendapatkan akun gratis sebelum melanjutkan.
Prasyarat
- Jika Anda asing dengan identitas terkelola untuk sumber daya Azure, lihat Apa itu identitas terkelola untuk sumber daya Azure?. Untuk mempelajari jenis identitas terkelola yang ditetapkan sistem dan yang ditetapkan pengguna, lihat Jenis identitas terkelola.
Gunakan lingkungan Bash di Azure Cloud Shell. Untuk informasi selengkapnya, lihat Mulai Cepat untuk Bash di Azure Cloud Shell.
Jika Anda lebih suka menjalankan perintah referensi CLI secara lokal, instal Azure CLI. Jika Anda menjalankan Windows atau macOS, pertimbangkan untuk menjalankan Azure CLI dalam kontainer Docker. Untuk informasi lebih lanjut, lihat Cara menjalankan Azure CLI di kontainer Docker.
Jika Anda menggunakan instalasi lokal, masuk ke Azure CLI dengan menggunakan perintah login az. Untuk menyelesaikan proses autentikasi, ikuti langkah-langkah yang ditampilkan di terminal Anda. Untuk opsi masuk lainnya, lihat Masuk dengan Azure CLI.
Saat Anda diminta, instal ekstensi Azure CLI pada penggunaan pertama. Untuk informasi selengkapnya tentang ekstensi, lihat Menggunakan ekstensi dengan Azure CLI.
Jalankan versi az untuk menemukan versi dan pustaka dependen yang diinstal. Untuk meningkatkan ke versi terbaru, jalankan peningkatan az.
Menggunakan Azure RBAC untuk menetapkan akses identitas terkelola ke sumber daya lain
Setelah Anda mengaktifkan identitas terkelola pada sumber daya Azure, seperti mesin komputer virtual Azure atau set skala komputer virtual Azure:
Dalam contoh ini, kami memberikan akses komputer virtual Azure ke akun penyimpanan. Pertama, kita menggunakan az resource list untuk mendapatkan perwakilan layanan untuk komputer virtual bernama myVM:
spID=$(az resource list -n myVM --query [*].identity.principalId --out tsv)
Untuk set skala komputer virtual Azure, perintahnya sama kecuali, Anda mendapatkan perwakilan layanan untuk set skala komputer virtual bernama "DevTestVMSS":
spID=$(az resource list -n DevTestVMSS --query [*].identity.principalId --out tsv)
Setelah Anda memiliki ID perwakilan layanan, gunakan az role assignment create memberikan akses "Pembaca" komputer virtual atau set skala komputer virtual ke akun penyimpanan yang disebut "myStorageAcct":
az role assignment create --assignee $spID --role 'Reader' --scope /subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/myStorageAcct
Langkah berikutnya
- Identitas terkelola untuk sumber daya Azure
- Untuk mengaktifkan identitas terkelola di komputer virtual Azure, lihat Mengonfigurasi identitas terkelola untuk sumber daya Azure di komputer virtual Azure menggunakan PowerShell.
- Untuk mengaktifkan identitas terkelola di komputer virtual Azure, lihat Mengonfigurasi identitas terkelola untuk sumber daya Azure di set skala komputer virtual menggunakan Azure CLI.