PowerShell を使用して、リソースにマネージド ID アクセスを割り当てる

Azure リソースのマネージドID は、Azure Active Directory の機能です。 Azure リソースのマネージド ID をサポートする各 Azure サービスは、それぞれ固有のタイムラインの下で提供されます。 ご利用のリソースに対するマネージド ID の提供状態と既知の問題をあらかじめ確認しておいてください。

マネージド ID で Azure リソースを構成した後、他のセキュリティ プリンシパルと同じように、別のリソースにマネージド ID アクセスを付与できます。 この例では、PowerShell を使用して、Azure 仮想マシンのマネージド ID アクセスを Azure ストレージ アカウントに付与する方法について説明します。

注意

Azure を操作するには、Azure Az PowerShell モジュールを使用することをお勧めします。 作業を開始するには、Azure PowerShell のインストールに関する記事を参照してください。 Az PowerShell モジュールに移行する方法については、「AzureRM から Az への Azure PowerShell の移行」を参照してください。

前提条件

• Azure リソースのマネージド ID の基本点な事柄については、概要に関するセクションを参照してください。 システム割り当てマネージド ID とユーザー割り当てマネージド ID の違いを必ず確認してください。
• まだ Azure アカウントを持っていない場合は、無料のアカウントにサインアップしてから先に進んでください。
• サンプル スクリプトを実行するには、次の 2 つのオプションがあります。
  • Azure Cloud Shell を使用します。これは、コード ブロックの右上隅にある [試してみる] ボタンを使用して開くことができます。
  • 最新バージョンの Azure PowerShell をインストールしてスクリプトをローカルで実行した後、Connect-AzAccount を使用して Azure にサインインします。

Azure RBAC を使用して他のリソースにマネージド ID アクセスを割り当てる

1. Azure VM などの Azure リソースでマネージド ID を有効にします。

2. この例では、ストレージ アカウントに Azure VM アクセスを許可しています。 まず、Get-AzVM を使用して myVM という VM のサービス プリンシパルを取得します。これは、マネージド ID が有効になっているときに作成されたものです。 次に、New-AzRoleAssignment を使用して、VM の閲覧者アクセスを myStorageAcct というストレージ アカウントに付与します。

   $spID = (Get-AzVM -ResourceGroupName myRG -Name myVM).identity.principalid
   New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Reader" -Scope "/subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/<myStorageAcct>"
   

次のステップ

• Azure リソースのマネージド ID の概要
• Azure VM 上でマネージド ID を有効にするには、「PowerShell を使用して Azure VM 上の Azure リソースのマネージド ID を構成する」を参照してください。