Assegnare a un'identità gestita l'accesso a una risorsa tramite PowerShell

Le identità gestite per le risorse di Azure sono una funzionalità di Microsoft Entra ID. Tutti i servizi di Azure che supportano le identità gestite per le risorse di Azure sono soggetti alla sequenza temporale di tali entità. Prima di iniziare, assicurarsi di esaminare lo stato di disponibilità delle identità gestite per la risorsa e i problemi noti.

Dopo aver configurato una risorsa di Azure con un'identità gestita, è possibile concedere all'identità gestita l'accesso a un'altra risorsa, proprio come per qualsiasi entità di sicurezza. Questo esempio mostra come assegnare a un'identità gestita di una macchina virtuale di Azure l'accesso a un account di archiviazione di Azure tramite PowerShell.

Nota

È consigliabile usare il modulo Azure Az PowerShell per interagire con Azure. Per iniziare, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.

Prerequisiti

• Se non si ha familiarità con le identità gestite per le risorse di Azure, vedere la sezione sulla panoramica. Assicurarsi di conoscere la differenza tra identità assegnata dal sistema e identità gestita assegnata dall'utente.
• Se non si ha un account Azure, registrarsi per ottenere un account gratuito prima di continuare.
• Per eseguire gli script di esempio, sono disponibili due opzioni:
  • Usare Azure Cloud Shell, che è possibile aprire usando il pulsante Prova nell'angolo superiore destro dei blocchi di codice.
  • Eseguire gli script in locale installando l'ultima versione di Azure PowerShell, quindi accedere ad Azure usando Connect-AzAccount.

Usare il controllo degli accessi in base al ruolo di Azure per assegnare un accesso all'identità gestita a un'altra risorsa

1. Abilitare l'identità gestita in una risorsa di Azure, ad esempio una macchina virtuale di Azure.

2. In questo esempio, viene concesso l'accesso alla macchina virtuale di Azure in un account di archiviazione. Prima di tutto viene usato il comando Get-AzVM per ottenere l'entità servizio per la macchina virtuale denominata myVM, che è stata creata quando è stata abilitata l'identità gestita. Viene quindi usato New-AzRoleAssignment per concedere alla macchina virtuale l'accesso in Lettura a un account di archiviazione denominato myStorageAcct:

   $spID = (Get-AzVM -ResourceGroupName myRG -Name myVM).identity.principalid
   New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Reader" -Scope "/subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/<myStorageAcct>"
   

Passaggi successivi

• Panoramica delle identità gestite per le risorse di Azure
• Per abilitare l'identità gestita in una macchina virtuale di Azure, vedere Configurare identità gestite per risorse di Azure in una macchina virtuale tramite PowerShell.