Toegang tot een beheerde identiteit toewijzen aan een resource met behulp van Azure CLI
Beheerde identiteiten voor Azure-resources is een functie van Microsoft Entra ID. Voor alle Azure-services die beheerde identiteiten voor Azure-resources ondersteunen, geldt een eigen tijdlijn. Controleer de beschikbaarheidsstatus van beheerde identiteiten voor uw resource en eventuele bekende problemen voordat u begint.
Zodra u een Azure-resource met een beheerde identiteit hebt geconfigureerd, kunt u de beheerde identiteit toegang geven tot een andere resource, net zoals elke beveiligingsprincipaal. In dit voorbeeld ziet u hoe u de beheerde identiteit van een virtuele Azure-machine of virtuele-machineschaalset toegang geeft tot een Azure-opslagaccount met behulp van Azure CLI.
Als u nog geen Azure-account hebt, registreer u dan voor een gratis account voordat u verdergaat.
Vereisten
- Zie Wat zijn beheerde identiteiten voor Azure-resources? als u niet bekend met beheerde identiteiten voor Azure-resources. Zie Beheerde identiteitstypen voor meer informatie over door het systeem toegewezen en door de gebruiker toegewezen beheerde identiteitstypen.
Gebruik de Bash-omgeving in Azure Cloud Shell. Zie quickstart voor Bash in Azure Cloud Shell voor meer informatie.
Installeer de Azure CLI, indien gewenst, om CLI-referentieopdrachten uit te voeren. Als u in Windows of macOS werkt, kunt u Azure CLI uitvoeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.
Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Raadpleeg Aanmelden bij Azure CLI voor aanvullende aanmeldingsopties.
Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Raadpleeg Extensies gebruiken met Azure CLI voor meer informatie over extensies.
Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.
Azure RBAC gebruiken om toegang tot een beheerde identiteit toe te wijzen aan een andere resource
Nadat u een beheerde identiteit hebt ingeschakeld voor een Azure-resource, zoals een virtuele Azure-machine of een virtuele-machineschaalset van Azure:
In dit voorbeeld geven we een virtuele Azure-machine toegang tot een opslagaccount. Eerst gebruiken we az resource list om de service-principal op te halen voor de virtuele machine met de naam myVM:
spID=$(az resource list -n myVM --query [*].identity.principalId --out tsv)
Voor een virtuele-machineschaalset van Azure is de opdracht hetzelfde, behalve hier, krijgt u de service-principal voor de virtuele-machineschaalset met de naam DevTestVMSS:
spID=$(az resource list -n DevTestVMSS --query [*].identity.principalId --out tsv)
Zodra u de service-principal-id hebt, gebruikt u az role assignment create om de virtuele machine of virtuele-machineschaalset Lezer toegang te geven tot een opslagaccount met de naam 'myStorageAcct':
az role assignment create --assignee $spID --role 'Reader' --scope /subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/myStorageAcct
Volgende stappen
- Overzicht van beheerde identiteiten voor Azure-resources
- Zie Beheerde identiteiten configureren voor Azure-resources op een Azure-VM met behulp van Azure CLI om beheerde identiteiten in te schakelen op een virtuele Azure-machine.
- Zie Beheerde identiteiten configureren voor Azure-resources in een virtuele-machineschaalset met behulp van Azure CLI om beheerde identiteiten in te schakelen voor een virtuele-machineschaalset.