Menetapkan akses identitas terkelola ke sumber daya menggunakan PowerShell

Identitas terkelola untuk sumber daya Azure adalah fitur ID Microsoft Entra. Setiap layanan Azure yang mendukung identitas terkelola untuk sumber daya Azure tunduk pada garis waktu mereka masing-masing. Pastikan Anda meninjau status ketersediaan identitas terkelola untuk sumber daya dan masalah yang diketahui sebelum Anda memulai.

Setelah mengonfigurasi sumber daya Azure dengan identitas terkelola, Anda dapat memberikan akses identitas terkelola ke sumber daya lain, seperti halnya prinsipal keamanan lainnya. Contoh ini menunjukkan cara memberikan akses identitas terkelola komputer virtual Azure ke akun penyimpanan Azure menggunakan PowerShell.

Catatan

Sebaiknya Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Lihat Menginstal Azure PowerShell untuk memulai. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.

Prasyarat

• Jika Anda tidak terbiasa dengan identitas terkelola untuk sumber daya Azure, lihat bagian ringkasan. Pastikan untuk meninjau perbedaan antara identitas terkelola yang ditetapkan sistem dan ditetapkan pengguna.
• Jika Anda belum memiliki akun Azure, daftar untuk mendapatkan akun gratis sebelum melanjutkan.
• Untuk menjalankan contoh skrip, Anda memiliki dua opsi:
  • Gunakan Azure Cloud Shell, yang dapat Anda buka menggunakan tombol Coba di sudut kanan atas blok kode.
  • Jalankan skrip secara lokal dengan menginstal versi terbaru Azure PowerShell, lalu masuk ke Azure menggunakan Connect-AzAccount.

Menggunakan Azure RBAC untuk menetapkan akses identitas terkelola ke sumber daya lain

1. Aktifkan identitas terkelola pada sumber daya Azure, seperti komputer virtual Azure.

2. Dalam contoh ini, kita memberikan akses komputer virtual Azure ke akun penyimpanan. Pertama kita menggunakan Get-AzVM untuk mendapatkan perwakilan layanan untuk komputer virtual bernama myVM yang dibuat saat kita mengaktifkan identitas terkelola. Kemudian, gunakan New-AzRoleAssignment untuk memberikan akses Pembaca komputer virtual ke akun penyimpanan yang disebut myStorageAcct:

   $spID = (Get-AzVM -ResourceGroupName myRG -Name myVM).identity.principalid
   New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Reader" -Scope "/subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/<myStorageAcct>"
   

Langkah berikutnya

• Identitas terkelola untuk ringkasan sumber daya Azure
• Untuk mengaktifkan identitas terkelola di komputer virtual Azure, lihat Mengonfigurasi identitas terkelola untuk sumber daya Azure di komputer virtual Azure menggunakan PowerShell.