Beheerde identiteiten voor Azure-resources configureren op een virtuele-machineschaalset van Azure met een sjabloon
Beheerde identiteiten voor Azure-resources is een functie van Microsoft Entra ID. Voor alle Azure-services die beheerde identiteiten voor Azure-resources ondersteunen, geldt een eigen tijdlijn. Controleer de beschikbaarheidsstatus van beheerde identiteiten voor uw resource en eventuele bekende problemen voordat u begint.
Beheerde identiteiten voor Azure-resources bieden Azure-services met een automatisch beheerde identiteit in Microsoft Entra ID. U kunt deze identiteit gebruiken voor verificatie bij alle services die Microsoft Entra-verificatie ondersteunen, zonder dat u aanmeldingsgegevens in uw code hoeft te hebben.
In dit artikel leert u om de volgende beheerde identiteiten uit te voeren voor bewerkingen van Azure-resources op een virtuele-machineschaalset van Azure met behulp van Azure Resource Manager-implementatiesjabloon:
- De door het systeem toegewezen beheerde identiteit inschakelen en uitschakelen op een virtuele-machineschaalset van Azure
- Een door de gebruiker toegewezen beheerde identiteit toevoegen aan en verwijderen uit een virtuele-machineschaalset van Azure
Vereisten
Als u niet bekend bent met beheerde identiteiten voor Azure-resources, raadpleegt u de sectie Overzicht. Let op dat u nagaat wat het verschil is tussen een door het systeem toegewezen en door de gebruiker toegewezen beheerde identiteit.
Als u nog geen Azure-account hebt, registreer u dan voor een gratis account voordat u verdergaat.
Voor het uitvoeren van de beheerbewerkingen in dit artikel zijn voor uw account de volgende toewijzingen van op rollen gebaseerd toegangsbeheer van Azure nodig:
Notitie
Er zijn geen extra microsoft Entra-adreslijsttoewijzingen vereist.
- Inzender voor virtuele machines voor het maken van een virtuele-machineschaalset en het inschakelen en verwijderen van een door het systeem en/of de gebruiker toegewezen beheerde identiteit op/uit een virtuele-machineschaalset.
- De rol van inzender voor beheerde identiteit voor het maken van een door de gebruiker toegewezen beheerde identiteit.
- De rol van operator voor beheerde identiteit voor het toewijzen/verwijderen van een door de gebruiker toegewezen beheerde identiteit aan/uit een virtuele-machine schaalset.
Azure Resource Manager-sjablonen
Net als Azure Portal en het uitvoeren van scripts, bieden Azure Resource Manager-sjablonen de mogelijkheid om nieuwe of gewijzigde resources gedefinieerd door een Azure-resourcegroep te implementeren. Er zijn verschillende opties beschikbaar voor het bewerken en implementeren van sjablonen, zowel lokaal als op basis van een portal, waaronder:
- Door een aangepaste sjabloon van de Azure Marketplace te gebruiken, waarmee u een volledig nieuwe sjabloon kunt maken, of door het te baseren op een bestaande algemene sjabloon of een quickstart-sjabloon.
- Door af te leiden van een bestaande resourcegroep, door een sjabloon te exporteren vanaf ofwel de oorspronkelijke implementatie ofwel van de huidige status van de implementatie.
- Door een lokale JSON-editor (zoals VS Code) te gebruiken en deze vervolgens te uploaden en implementeren met behulp van PowerShell of CLI.
- Door het Azure Resource Group-project van Visual Studio te gebruiken om een sjabloon te maken en te implementeren.
Welke optie u ook kiest, de sjabloonsyntaxis is dezelfde tijdens de eerste implementatie en herimplementatie. Het inschakelen van beheerde identiteiten op een nieuwe of bestaande virtuele machine gebeurt op dezelfde manier. Azure Resource Manager voert ook standaard een incrementele update uit naar implementaties.
Door het systeem toegewezen beheerde identiteit
In deze sectie gaat u de door het systeem toegewezen beheerde identiteit in- en uitschakelen met behulp van een Azure Resource Manager-sjabloon.
Door het systeem toegewezen beheerde identiteit inschakelen tijdens het maken van een virtuele-machineschaalset of een bestaande virtuele-machineschaalset
Gebruik een account dat is gekoppeld aan het Azure-abonnement dat de virtuele-machineschaalset bevat, of u zich nu lokaal aanmeldt of via Azure Portal.
Als u de door het systeem toegewezen beheerde identiteit wilt inschakelen, laadt u de sjabloon in een editor, zoekt u de gewenste
Microsoft.Compute/virtualMachinesScaleSets
-resource op in de resourcessectie en voegt u de eigenschapidentity
op hetzelfde niveau toe als de eigenschap"type": "Microsoft.Compute/virtualMachinesScaleSets"
. Gebruik de volgende syntaxis:"identity": { "type": "SystemAssigned" }
Wanneer u klaar bent, moeten de volgende secties worden toegevoegd aan de resourcesectie van uw sjabloon en moeten deze lijken op het voorbeeld dat hieronder wordt weergegeven:
"resources": [ { //other resource provider properties... "apiVersion": "2018-06-01", "type": "Microsoft.Compute/virtualMachineScaleSets", "name": "[variables('vmssName')]", "location": "[resourceGroup().location]", "identity": { "type": "SystemAssigned", }, "properties": { //other resource provider properties... "virtualMachineProfile": { //other virtual machine profile properties... } } } ]
Een door het systeem toegewezen beheerde identiteit uitschakelen vanuit een virtuele-machineschaalset van Azure
Als u een virtuele-machineschaalset hebt waarvoor geen door het systeem toegewezen beheerde identiteit meer nodig is, doet u het volgende:
Gebruik een account dat is gekoppeld aan het Azure-abonnement dat de virtuele-machineschaalset bevat, of u zich nu lokaal aanmeldt of via Azure Portal.
Laad de sjabloon in een editor en zoek de gewenste
Microsoft.Compute/virtualMachineScaleSets
-resource op in de sectieresources
. Als u een VM hebt die alleen een door het systeem toegewezen beheerde identiteit heeft, kunt u deze uitschakelen door het identiteitstype te wijzigen inNone
.Microsoft.Compute/virtualMachineScaleSets API versie 01-06-2018
Als uw apiVersion
2018-06-01
is en uw virtuele machine heeft zowel door het systeem als door de gebruiker toegewezen beheerde identiteiten, verwijdert uSystemAssigned
uit het identiteitstype en bewaart uUserAssigned
samen met de woordenlijstwaarden userAssignedIdentities.Microsoft.Compute/virtualMachineScaleSets API versie 01-06-2018
Als uw apiVersion
2017-12-01
is en uw virtuele-machineschaalset heeft zowel door het systeem als door de gebruiker toegewezen beheerde identiteiten, verwijdert uSystemAssigned
uit het identiteitstype en bewaart uUserAssigned
samen met de matrixidentityIds
van de door de gebruiker toegewezen beheerde identiteiten.In het volgende voorbeeld ziet u hoe u een door het systeem toegewezen beheerde identiteit verwijdert uit een virtuele-machineschaalset zonder door de gebruiker toegewezen beheerde identiteiten:
{ "name": "[variables('vmssName')]", "apiVersion": "2018-06-01", "location": "[parameters(Location')]", "identity": { "type": "None" } }
Door de gebruiker toegewezen beheerde identiteit
In deze sectie wijst u een door het systeem toegewezen beheerde identiteit toe aan een virtuele-machineschaalset met behulp van Azure Resource Manager-sjabloon.
Notitie
Zie Een door de gebruiker toegewezen beheerde identiteit maken als u een door de gebruiker toegewezen beheerde identiteit wilt maken met behulp van een Azure Resource Manager-sjabloon.
Een door een gebruiker toegewezen beheerde identiteit toewijzen aan een virtuele-machineschaalset
Voeg onder het element
resources
de volgende vermelding toe om een door de gebruiker toegewezen beheerde identiteit aan uw virtuele-machineschaalset toe te wijzen. Vervang<USERASSIGNEDIDENTITY>
door de naam van de door de gebruiker toegewezen beheerde identiteit die u hebt gemaakt.Microsoft.Compute/virtualMachineScaleSets API versie 01-06-2018
Als uw apiVersion
2018-06-01
is, worden uw door de gebruiker toegewezen beheerde identiteiten opgeslagen in de woordenlijstindelinguserAssignedIdentities
en moet de waarde<USERASSIGNEDIDENTITYNAME>
worden opgeslagen in een variabele die is gedefinieerd in de sectievariables
van uw sjabloon.{ "name": "[variables('vmssName')]", "apiVersion": "2018-06-01", "location": "[parameters(Location')]", "identity": { "type": "userAssigned", "userAssignedIdentities": { "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {} } } }
Microsoft.Compute/virtualMachineScaleSets API versie 01-12-2017
Als uw
apiVersion
2017-12-01
of eerder is, worden uw door de gebruiker toegewezen beheerde identiteiten opgeslagen in de matrixidentityIds
en moet de waarde<USERASSIGNEDIDENTITYNAME>
worden opgeslagen in een variabele die is gedefinieerd in de variabelensectie van uw sjabloon.{ "name": "[variables('vmssName')]", "apiVersion": "2017-03-30", "location": "[parameters(Location')]", "identity": { "type": "userAssigned", "identityIds": [ "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITY>'))]" ] } }
Wanneer u klaar bent, moet uw sjabloon er ongeveer als volgt uitzien:
Microsoft.Compute/virtualMachineScaleSets API versie 01-06-2018
"resources": [ { //other resource provider properties... "apiVersion": "2018-06-01", "type": "Microsoft.Compute/virtualMachineScaleSets", "name": "[variables('vmssName')]", "location": "[resourceGroup().location]", "identity": { "type": "UserAssigned", "userAssignedIdentities": { "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {} } }, "properties": { //other virtual machine properties... "virtualMachineProfile": { //other virtual machine profile properties... } } } ]
Microsoft.Compute/virtualMachines API versie 01-12-2017
"resources": [ { //other resource provider properties... "apiVersion": "2017-12-01", "type": "Microsoft.Compute/virtualMachineScaleSets", "name": "[variables('vmssName')]", "location": "[resourceGroup().location]", "identity": { "type": "UserAssigned", "identityIds": [ "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]" ] }, "properties": { //other virtual machine properties... "virtualMachineProfile": { //other virtual machine profile properties... } } } ]
Door de gebruiker toegewezen beheerde identiteit uit een virtuele-machineschaalset van Azure verwijderen
Als u een virtuele-machineschaalset hebt waarvoor geen door de gebruiker toegewezen beheerde identiteit meer nodig is, doet u het volgende:
Gebruik een account dat is gekoppeld aan het Azure-abonnement dat de virtuele-machineschaalset bevat, of u zich nu lokaal aanmeldt of via Azure Portal.
Laad de sjabloon in een editor en zoek de gewenste
Microsoft.Compute/virtualMachineScaleSets
-resource op in de sectieresources
. Als u een virtuele-machineschaalset hebt die alleen een door de gebruiker toegewezen beheerde identiteit heeft, kunt u deze uitschakelen door het identiteitstype te wijzigen inNone
.In het volgende voorbeeld ziet u hoe u alle door de gebruiker beheerde identiteiten verwijdert uit een VM zonder door het systeem toegewezen beheerde identiteiten:
{ "name": "[variables('vmssName')]", "apiVersion": "2018-06-01", "location": "[parameters(Location')]", "identity": { "type": "None" } }
Microsoft.Compute/virtualMachineScaleSets API versie 01-06-2018
Als u één door de gebruiker toegewezen beheerde identiteit uit een virtuele-machineschaalset wilt verwijderen, verwijdert u deze uit de woordenlijst
userAssignedIdentities
.Als u een door het systeem toegewezen identiteit hebt, bewaart u deze in de waarde
type
onder de waardeidentity
.Microsoft.Compute/virtualMachineScaleSets API versie 01-12-2017
Als u één door de gebruiker toegewezen beheerde identiteit uit een virtuele-machineschaalset wilt verwijderen, verwijdert u deze uit de matrix
identityIds
.Als u een door het systeem toegewezen beheerde identiteit hebt, bewaart u deze in de waarde
type
onder de waardeidentity
.