Beheerde identiteiten configureren voor Azure-resources op virtuele-machineschaalsets met PowerShell

Beheerde identiteiten voor Azure-resources is een functie van Microsoft Entra ID. Voor alle Azure-services die beheerde identiteiten voor Azure-resources ondersteunen, geldt een eigen tijdlijn. Controleer de beschikbaarheidsstatus van beheerde identiteiten voor uw resource en eventuele bekende problemen voordat u begint.

Beheerde identiteiten voor Azure-resources bieden Azure-services met een automatisch beheerde identiteit in Microsoft Entra ID. U kunt deze identiteit gebruiken voor verificatie bij alle services die Microsoft Entra-verificatie ondersteunen, zonder dat u aanmeldingsgegevens in uw code hoeft te hebben.

In dit artikel leert u om met behulp van PowerShell de beheerde identiteiten uit te voeren voor bewerkingen van Azure-resources op een virtuele-machineschaalset:

• De door het systeem toegewezen beheerde identiteit inschakelen en uitschakelen op een virtuele-machineschaalset
• Een door de gebruiker toegewezen beheerde identiteit toevoegen aan en verwijderen van een virtuele-machineschaalset

Notitie

Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Vereisten

• Als u niet bekend bent met beheerde identiteiten voor Azure-resources, raadpleegt u de sectie Overzicht. Let op dat u nagaat wat het verschil is tussen een door het systeem toegewezen en door de gebruiker beheerde toegewezen identiteit.

• Als u nog geen Azure-account hebt, registreer u dan voor een gratis account voordat u verdergaat.

• Voor het uitvoeren van de beheerbewerkingen in dit artikel zijn voor uw account de volgende toewijzingen van op rollen gebaseerd toegangsbeheer van Azure nodig:

  Notitie

  Er zijn geen extra microsoft Entra-adreslijsttoewijzingen vereist.

  • Inzender voor virtuele machines voor het maken van een virtuele-machineschaalset en het inschakelen en verwijderen van een door het systeem toegewezen beheerde en/of door de gebruiker toegewezen beheerde identiteit uit een virtuele-machineschaalset.
  • De rol van inzender voor beheerde identiteit voor het maken van een door de gebruiker toegewezen beheerde identiteit.
  • De rol van operator voor beheerde identiteit voor het toewijzen/verwijderen van een door de gebruiker toegewezen beheerde identiteit aan/uit een virtuele-machine schaalset.

• Als u de voorbeeldscripts wilt uitvoeren, hebt u twee opties:

  • Gebruik de Azure Cloud Shell, die u kunt openen met behulp van de knop Probeer het nu in de rechterbovenhoek van codeblokken.
  • Voer scripts lokaal uit door de nieuwste versie van Azure PowerShell te installeren en u vervolgens aan te melden bij Azure met Connect-AzAccount.

Door het systeem toegewezen beheerde identiteit

In deze sectie leert u hoe u een door een systeem toegewezen beheerde identiteit kunt inschakelen en verwijderen met behulp van Azure PowerShell.

Door het systeem toegewezen beheerde identiteit inschakelen tijdens het maken van een virtuele-machineschaalset van Azure

Doe het volgende om een virtuele-machineschaalset te maken met de door het systeem toegewezen beheerde identiteit ingeschakeld:

1. Raadpleeg Voorbeeld 1 in het cmdlet-referentieartikel New-AzVmssConfig om een virtuele-machineschaalset te maken met een door het systeem toegewezen beheerde identiteit. Voeg de parameter -IdentityType SystemAssigned toe aan de cmdlet New-AzVmssConfig:

   $VMSS = New-AzVmssConfig -Location $Loc -SkuCapacity 2 -SkuName "Standard_A0" -UpgradePolicyMode "Automatic" -NetworkInterfaceConfiguration $NetCfg -IdentityType SystemAssigned`
   

Een door het systeem toegewezen beheerde identiteit inschakelen op een bestaande virtuele-machineschaalset van Azure

Als u een door het systeem toegewezen beheerde identiteit moet inschakelen op een bestaande virtuele-machineschaalset van Azure:

1. Zorg ervoor dat uw Azure-account deel uitmaakt van een rol waarmee u schrijfmachtigingen hebt voor de virtuele-machineschaalset, zoals "Inzender voor virtuele machines".

2. Haal de eigenschappen van de virtuele-machineschaalset op met behulp van de Get-AzVmss cmdlet. Gebruik vervolgens de schakeloptie -IdentityType in de cmdlet Update-AzVMss om een door het systeem toegewezen beheerde identiteit in te schakelen:

   Update-AzVmss -ResourceGroupName myResourceGroup -Name -myVmss -IdentityType "SystemAssigned"
   

Een door het systeem toegewezen beheerde identiteit uitschakelen vanuit een virtuele-machineschaalset van Azure

Gebruik de volgende cmdlet als u een virtuele-machineschaalset hebt die de door het systeem toegewezen beheerde identiteit niet meer nodig heeft, maar nog wel de door de gebruiker toegewezen beheerde identiteiten nodig heeft:

1. Zorg ervoor dat uw account deel uitmaakt van een rol waarmee u schrijfmachtigingen hebt voor de virtuele-machineschaalset, zoals "Inzender voor virtuele machines".

2. Voer de volgende cmdlet uit:

   Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType "UserAssigned"
   

3. Gebruik de volgende opdracht als u een virtuele-machineschaalset hebt die geen door het systeem toegewezen beheerde identiteit meer nodig heeft en die geen door de gebruiker toegewezen beheerde identiteiten heeft:

   Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType None
   

Door de gebruiker toegewezen beheerde identiteit

In deze sectie leert u hoe u een door een gebruiker toegewezen beheerde identiteit kunt toevoegen aan/verwijderen van een virtuele-machineschaalset met behulp van Azure PowerShell.

Een door de gebruiker toegewezen beheerde identiteit toewijzen tijdens het maken van een virtuele-machineschaalset van Azure

Het maken van een nieuwe virtuele-machineschaalset met een door de gebruiker toegewezen beheerde identiteit wordt momenteel niet ondersteund via PowerShell. Raadpleeg de volgende sectie over hoe u een door de gebruiker toegewezen beheerde identiteit toevoegt aan een bestaande virtuele-machineschaalset. Controleer later op updates.

Een door de gebruiker toegewezen beheerde identiteit toewijzen aan een bestaande virtuele-machineschaalset van Azure

Doe het volgende om een door de gebruiker toegewezen beheerde identiteit toe te wijzen aan een bestaande virtuele-machineschaalset van Azure:

1. Zorg ervoor dat uw account deel uitmaakt van een rol waarmee u schrijfmachtigingen hebt voor de virtuele-machineschaalset, zoals "Inzender voor virtuele machines".

2. Haal de eigenschappen van de virtuele-machineschaalset op met behulp van de Get-AzVM cmdlet. Wijs vervolgens een door de gebruiker toegewezen beheerde identiteit toe aan de virtuele-machineschaalset, gebruik de schakeloptie -IdentityType en -IdentityID in de cmdlet Update-AzVMss. Vervang <VM NAME>, <SUBSCRIPTION ID>, <RESROURCE GROUP>, <USER ASSIGNED ID1> en USER ASSIGNED ID2 door uw eigen waarden.

   Belangrijk

   Wanneer u door de gebruiker toegewezen beheerde identiteiten maakt, moet de naam beginnen met een letter of cijfer en kan een combinatie van alfanumerieke tekens, afbreekstreepjes (-) en onderstrepingstekens (_) bevatten. De toewijzing aan een virtuele machine of virtuele-machineschaalset verloopt goed als de naam wordt beperkt tot 24 tekens. Zie Veelgestelde vragen en bekende problemen voor meer informatie.

   Update-AzVmss -ResourceGroupName <RESOURCE GROUP> -Name <VMSS NAME> -IdentityType UserAssigned -IdentityID "<USER ASSIGNED ID1>","<USER ASSIGNED ID2>"
   

Een door de gebruiker toegewezen beheerde identiteit uit een virtuele-machineschaalset van Azure verwijderen

Als uw virtuele-machineschaalset meerdere door de gebruiker toegewezen beheerde identiteiten heeft, kunt u alle, behalve de laatste, verwijderen met de volgende opdrachten. Vervang de parameterwaarden <RESOURCE GROUP> en <VIRTUAL MACHINE SCALE SET NAME> door uw eigen waarden. De <USER ASSIGNED IDENTITY NAME> is de naameigenschap van de door de gebruiker toegewezen beheerde identiteit; deze moet op de virtuele-machineschaalset blijven. Deze informatie vindt u in de sectie Identiteit van de virtuele-machineschaalset met behulp van az vmss show:

Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType UserAssigned -IdentityID "<USER ASSIGNED IDENTITY NAME>"

Als uw virtuele-machineschaalset geen door het systeem toegewezen beheerde identiteit heeft en u alle door de gebruiker toegewezen beheerde identiteiten wilt verwijderen, gebruikt u de volgende opdracht:

Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType None

Als uw virtuele-machineschaalset zowel door het systeem toegewezen als door de gebruiker toegewezen beheerde identiteiten bevat, kunt u alle door de gebruiker toegewezen beheerde identiteiten verwijderen door over te schakelen naar het gebruik van alleen de door het systeem toegewezen beheerde identiteit.

Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType "SystemAssigned"

Volgende stappen

• Overzicht van beheerde identiteiten voor Azure-resources

• Zie voor de volledige quickstarts voor het maken van virtuele Azure-machines:

  • Een virtuele Windows-machine maken met PowerShell
  • Een virtuele Linux-machine maken met PowerShell