Beheerde identiteiten voor Azure-resources configureren op een virtuele-machineschaalset van Azure met een sjabloon

Beheerde identiteiten voor Azure-resources is een functie van Microsoft Entra ID. Voor alle Azure-services die beheerde identiteiten voor Azure-resources ondersteunen, geldt een eigen tijdlijn. Controleer de beschikbaarheidsstatus van beheerde identiteiten voor uw resource en eventuele bekende problemen voordat u begint.

Beheerde identiteiten voor Azure-resources bieden Azure-services met een automatisch beheerde identiteit in Microsoft Entra ID. U kunt deze identiteit gebruiken voor verificatie bij alle services die Microsoft Entra-verificatie ondersteunen, zonder dat u aanmeldingsgegevens in uw code hoeft te hebben.

In dit artikel leert u om de volgende beheerde identiteiten uit te voeren voor bewerkingen van Azure-resources op een virtuele-machineschaalset van Azure met behulp van Azure Resource Manager-implementatiesjabloon:

• De door het systeem toegewezen beheerde identiteit inschakelen en uitschakelen op een virtuele-machineschaalset van Azure
• Een door de gebruiker toegewezen beheerde identiteit toevoegen aan en verwijderen uit een virtuele-machineschaalset van Azure

Vereisten

• Als u niet bekend bent met beheerde identiteiten voor Azure-resources, raadpleegt u de sectie Overzicht. Let op dat u nagaat wat het verschil is tussen een door het systeem toegewezen en door de gebruiker toegewezen beheerde identiteit.

• Als u nog geen Azure-account hebt, registreer u dan voor een gratis account voordat u verdergaat.

• Voor het uitvoeren van de beheerbewerkingen in dit artikel zijn voor uw account de volgende toewijzingen van op rollen gebaseerd toegangsbeheer van Azure nodig:

  Notitie

  Er zijn geen extra microsoft Entra-adreslijsttoewijzingen vereist.

  • Inzender voor virtuele machines voor het maken van een virtuele-machineschaalset en het inschakelen en verwijderen van een door het systeem en/of de gebruiker toegewezen beheerde identiteit op/uit een virtuele-machineschaalset.
  • De rol van inzender voor beheerde identiteit voor het maken van een door de gebruiker toegewezen beheerde identiteit.
  • De rol van operator voor beheerde identiteit voor het toewijzen/verwijderen van een door de gebruiker toegewezen beheerde identiteit aan/uit een virtuele-machine schaalset.

Azure Resource Manager-sjablonen

Net als Azure Portal en het uitvoeren van scripts, bieden Azure Resource Manager-sjablonen de mogelijkheid om nieuwe of gewijzigde resources gedefinieerd door een Azure-resourcegroep te implementeren. Er zijn verschillende opties beschikbaar voor het bewerken en implementeren van sjablonen, zowel lokaal als op basis van een portal, waaronder:

• Door een aangepaste sjabloon van de Azure Marketplace te gebruiken, waarmee u een volledig nieuwe sjabloon kunt maken, of door het te baseren op een bestaande algemene sjabloon of een quickstart-sjabloon.
• Door af te leiden van een bestaande resourcegroep, door een sjabloon te exporteren vanaf ofwel de oorspronkelijke implementatie ofwel van de huidige status van de implementatie.
• Door een lokale JSON-editor (zoals VS Code) te gebruiken en deze vervolgens te uploaden en implementeren met behulp van PowerShell of CLI.
• Door het Azure Resource Group-project van Visual Studio te gebruiken om een sjabloon te maken en te implementeren.

Welke optie u ook kiest, de sjabloonsyntaxis is dezelfde tijdens de eerste implementatie en herimplementatie. Het inschakelen van beheerde identiteiten op een nieuwe of bestaande virtuele machine gebeurt op dezelfde manier. Azure Resource Manager voert ook standaard een incrementele update uit naar implementaties.

Door het systeem toegewezen beheerde identiteit

In deze sectie gaat u de door het systeem toegewezen beheerde identiteit in- en uitschakelen met behulp van een Azure Resource Manager-sjabloon.

Door het systeem toegewezen beheerde identiteit inschakelen tijdens het maken van een virtuele-machineschaalset of een bestaande virtuele-machineschaalset

1. Gebruik een account dat is gekoppeld aan het Azure-abonnement dat de virtuele-machineschaalset bevat, of u zich nu lokaal aanmeldt of via Azure Portal.

2. Als u de door het systeem toegewezen beheerde identiteit wilt inschakelen, laadt u de sjabloon in een editor, zoekt u de gewenste Microsoft.Compute/virtualMachinesScaleSets-resource op in de resourcessectie en voegt u de eigenschap identity op hetzelfde niveau toe als de eigenschap "type": "Microsoft.Compute/virtualMachinesScaleSets". Gebruik de volgende syntaxis:

   "identity": {
       "type": "SystemAssigned"
   }
   

3. Wanneer u klaar bent, moeten de volgende secties worden toegevoegd aan de resourcesectie van uw sjabloon en moeten deze lijken op het voorbeeld dat hieronder wordt weergegeven:

    "resources": [
        {
            //other resource provider properties...
            "apiVersion": "2018-06-01",
            "type": "Microsoft.Compute/virtualMachineScaleSets",
            "name": "[variables('vmssName')]",
            "location": "[resourceGroup().location]",
            "identity": {
                "type": "SystemAssigned",
            },
           "properties": {
                //other resource provider properties...
                "virtualMachineProfile": {
                    //other virtual machine profile properties...
   
                }
            }
        }
    ]
   

Een door het systeem toegewezen beheerde identiteit uitschakelen vanuit een virtuele-machineschaalset van Azure

Als u een virtuele-machineschaalset hebt waarvoor geen door het systeem toegewezen beheerde identiteit meer nodig is, doet u het volgende:

1. Gebruik een account dat is gekoppeld aan het Azure-abonnement dat de virtuele-machineschaalset bevat, of u zich nu lokaal aanmeldt of via Azure Portal.

2. Laad de sjabloon in een editor en zoek de gewenste Microsoft.Compute/virtualMachineScaleSets-resource op in de sectie resources. Als u een VM hebt die alleen een door het systeem toegewezen beheerde identiteit heeft, kunt u deze uitschakelen door het identiteitstype te wijzigen in None.

   Microsoft.Compute/virtualMachineScaleSets API versie 01-06-2018

   Als uw apiVersion 2018-06-01 is en uw virtuele machine heeft zowel door het systeem als door de gebruiker toegewezen beheerde identiteiten, verwijdert u SystemAssigned uit het identiteitstype en bewaart u UserAssigned samen met de woordenlijstwaarden userAssignedIdentities.

   Microsoft.Compute/virtualMachineScaleSets API versie 01-06-2018

   Als uw apiVersion 2017-12-01 is en uw virtuele-machineschaalset heeft zowel door het systeem als door de gebruiker toegewezen beheerde identiteiten, verwijdert u SystemAssigned uit het identiteitstype en bewaart u UserAssigned samen met de matrix identityIds van de door de gebruiker toegewezen beheerde identiteiten.

   In het volgende voorbeeld ziet u hoe u een door het systeem toegewezen beheerde identiteit verwijdert uit een virtuele-machineschaalset zonder door de gebruiker toegewezen beheerde identiteiten:

   {
       "name": "[variables('vmssName')]",
       "apiVersion": "2018-06-01",
       "location": "[parameters(Location')]",
       "identity": {
           "type": "None"
        }
   
   }
   

Door de gebruiker toegewezen beheerde identiteit

In deze sectie wijst u een door het systeem toegewezen beheerde identiteit toe aan een virtuele-machineschaalset met behulp van Azure Resource Manager-sjabloon.

Notitie

Zie Een door de gebruiker toegewezen beheerde identiteit maken als u een door de gebruiker toegewezen beheerde identiteit wilt maken met behulp van een Azure Resource Manager-sjabloon.

Een door een gebruiker toegewezen beheerde identiteit toewijzen aan een virtuele-machineschaalset

1. Voeg onder het element resources de volgende vermelding toe om een door de gebruiker toegewezen beheerde identiteit aan uw virtuele-machineschaalset toe te wijzen. Vervang <USERASSIGNEDIDENTITY> door de naam van de door de gebruiker toegewezen beheerde identiteit die u hebt gemaakt.

   Microsoft.Compute/virtualMachineScaleSets API versie 01-06-2018

   Als uw apiVersion 2018-06-01 is, worden uw door de gebruiker toegewezen beheerde identiteiten opgeslagen in de woordenlijstindeling userAssignedIdentities en moet de waarde <USERASSIGNEDIDENTITYNAME> worden opgeslagen in een variabele die is gedefinieerd in de sectie variables van uw sjabloon.

   {
       "name": "[variables('vmssName')]",
       "apiVersion": "2018-06-01",
       "location": "[parameters(Location')]",
       "identity": {
           "type": "userAssigned",
           "userAssignedIdentities": {
               "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {}
           }
       }
   
   }
   

   Microsoft.Compute/virtualMachineScaleSets API versie 01-12-2017

   Als uw apiVersion2017-12-01 of eerder is, worden uw door de gebruiker toegewezen beheerde identiteiten opgeslagen in de matrix identityIds en moet de waarde <USERASSIGNEDIDENTITYNAME> worden opgeslagen in een variabele die is gedefinieerd in de variabelensectie van uw sjabloon.

   {
       "name": "[variables('vmssName')]",
       "apiVersion": "2017-03-30",
       "location": "[parameters(Location')]",
       "identity": {
           "type": "userAssigned",
           "identityIds": [
               "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITY>'))]"
           ]
       }
   }
   

2. Wanneer u klaar bent, moet uw sjabloon er ongeveer als volgt uitzien:

   Microsoft.Compute/virtualMachineScaleSets API versie 01-06-2018

   "resources": [
        {
            //other resource provider properties...
            "apiVersion": "2018-06-01",
            "type": "Microsoft.Compute/virtualMachineScaleSets",
            "name": "[variables('vmssName')]",
            "location": "[resourceGroup().location]",
            "identity": {
                "type": "UserAssigned",
                "userAssignedIdentities": {
                    "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {}
                }
            },
           "properties": {
                //other virtual machine properties...
                "virtualMachineProfile": {
                    //other virtual machine profile properties...
                }
            }
        }
    ]
   

   Microsoft.Compute/virtualMachines API versie 01-12-2017

   "resources": [
        {
            //other resource provider properties...
            "apiVersion": "2017-12-01",
            "type": "Microsoft.Compute/virtualMachineScaleSets",
            "name": "[variables('vmssName')]",
            "location": "[resourceGroup().location]",
            "identity": {
                "type": "UserAssigned",
                "identityIds": [
                    "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]"
                ]
            },
           "properties": {
                //other virtual machine properties...
                "virtualMachineProfile": {
                    //other virtual machine profile properties...
                }
            }
        }
    ]
   

Door de gebruiker toegewezen beheerde identiteit uit een virtuele-machineschaalset van Azure verwijderen

Als u een virtuele-machineschaalset hebt waarvoor geen door de gebruiker toegewezen beheerde identiteit meer nodig is, doet u het volgende:

1. Gebruik een account dat is gekoppeld aan het Azure-abonnement dat de virtuele-machineschaalset bevat, of u zich nu lokaal aanmeldt of via Azure Portal.

2. Laad de sjabloon in een editor en zoek de gewenste Microsoft.Compute/virtualMachineScaleSets-resource op in de sectie resources. Als u een virtuele-machineschaalset hebt die alleen een door de gebruiker toegewezen beheerde identiteit heeft, kunt u deze uitschakelen door het identiteitstype te wijzigen in None.

   In het volgende voorbeeld ziet u hoe u alle door de gebruiker beheerde identiteiten verwijdert uit een VM zonder door het systeem toegewezen beheerde identiteiten:

   {
       "name": "[variables('vmssName')]",
       "apiVersion": "2018-06-01",
       "location": "[parameters(Location')]",
       "identity": {
           "type": "None"
        }
   }
   

   Microsoft.Compute/virtualMachineScaleSets API versie 01-06-2018

   Als u één door de gebruiker toegewezen beheerde identiteit uit een virtuele-machineschaalset wilt verwijderen, verwijdert u deze uit de woordenlijst userAssignedIdentities.

   Als u een door het systeem toegewezen identiteit hebt, bewaart u deze in de waarde type onder de waarde identity.

   Microsoft.Compute/virtualMachineScaleSets API versie 01-12-2017

   Als u één door de gebruiker toegewezen beheerde identiteit uit een virtuele-machineschaalset wilt verwijderen, verwijdert u deze uit de matrix identityIds.

   Als u een door het systeem toegewezen beheerde identiteit hebt, bewaart u deze in de waarde type onder de waarde identity.

Volgende stappen

• Overzicht van beheerde identiteiten voor Azure-resources.