Configurare le identità gestite
È possibile configurare una macchina virtuale di Azure con un'identità gestita durante o dopo averla creata. Esempi CLI dell'interfaccia della riga di comando che illustrano che i comandi per le identità assegnate dal sistema e dall'utente vengono usati in questa unità.
Identità gestita assegnata dal sistema
Per creare o abilitare una macchina virtuale di Azure con l'identità gestita assegnata dal sistema, l'account deve avere l'assegnazione di ruolo Collaboratore macchina virtuale . Non sono richieste altre assegnazioni di ruolo della directory di Microsoft Entra.
Abilitare l'identità gestita assegnata dal sistema durante la creazione di una macchina virtuale di Azure
Nell'esempio seguente viene creata una macchina virtuale denominata myVM con un'identità gestita assegnata dal sistema, come richiesto dal --assign-identity parametro , con l'oggetto specificato --role e --scope. I parametri --admin-username e --admin-password specificano il nome utente e la password dell'account amministrativo per l'accesso alla macchina virtuale. Aggiornare questi valori in base alle esigenze dell'ambiente:
az vm create --resource-group myResourceGroup \
--name myVM --image win2016datacenter \
--generate-ssh-keys \
--assign-identity \
--role contributor \
--scope mySubscription \
--admin-username azureuser \
--admin-password myPassword12
Abilitare l'identità gestita assegnata dal sistema in una macchina virtuale di Azure esistente
Usare il comando az vm identity assign per assegnare l'identità assegnata dal sistema in una macchina virtuale esistente:
az vm identity assign -g myResourceGroup -n myVm
Identità gestita assegnata dall'utente
Per assegnare un'identità assegnata dall'utente a una macchina virtuale durante la creazione, l'account deve avere le assegnazioni di ruolo Collaboratore macchina virtuale e Operatore identità gestita . Non sono richieste altre assegnazioni di ruolo della directory di Microsoft Entra.
L'abilitazione delle identità gestite assegnate dall'utente è un processo in due passaggi:
- Creare un'identità assegnata dall'utente
- Assegnare l'identità a una macchina virtuale
Creare un'identità assegnata dall'utente
Creare un'identità gestita assegnata dall'utente usando az identity create. Il parametro -g specifica il gruppo di risorse in cui viene creata l'identità gestita assegnata dall'utente, mentre il parametro -n ne specifica il nome.
az identity create -g myResourceGroup -n myUserAssignedIdentity
Assegnare un'identità gestita assegnata dall'utente durante la creazione di una macchina virtuale di Azure
L'esempio seguente crea una macchina virtuale associata alla nuova identità assegnata dall'utente, come specificato dal parametro --assign-identity, con gli oggetti --role e --scope specificati.
az vm create \
--resource-group <RESOURCE GROUP> \
--name <VM NAME> \
--image Ubuntu2204 \
--admin-username <USER NAME> \
--admin-password <PASSWORD> \
--assign-identity <USER ASSIGNED IDENTITY NAME> \
--role <ROLE> \
--scope <SUBSCRIPTION>
Assegnare un'identità gestita assegnata dall'utente a una macchina virtuale di Azure esistente
Assegnare l'identità assegnata dall'utente alla macchina virtuale usando az vm identity assign.
az vm identity assign \
-g <RESOURCE GROUP> \
-n <VM NAME> \
--identities <USER ASSIGNED IDENTITY>
SDK di Azure che supportano le identità gestite per le risorse di Azure
Azure supporta più piattaforme di programmazione tramite una serie di SDK di Azure. Alcuni SDK sono stati aggiornati per supportare le identità gestite per le risorse di Azure e forniscono esempi che ne illustrano l'utilizzo.