Udostępnij za pośrednictwem


Przypisywanie dostępu tożsamości zarządzanej do zasobu platformy Azure lub innego zasobu

Tożsamości zarządzane dla zasobów platformy Azure to funkcja identyfikatora Entra firmy Microsoft. Każda usługa platformy Azure obsługująca tożsamości zarządzane dla zasobów platformy Azure ma własną oś czasu. Pamiętaj, aby przed rozpoczęciem sprawdzić stan dostępności tożsamości zarządzanych dla swojego zasobu i znane problemy.

W tym artykule pokazano, jak przyznać tożsamości zarządzanej maszyny wirtualnej platformy Azure dostęp do konta usługi Azure Storage. Po skonfigurowaniu zasobu platformy Azure przy użyciu tożsamości zarządzanej możesz udzielić tożsamości zarządzanej dostępu do innego zasobu, podobnie jak dowolny podmiot zabezpieczeń.

Wymagania wstępne

Używanie kontroli dostępu opartej na rolach platformy Azure w celu przypisania dostępu tożsamości zarządzanej do innego zasobu przy użyciu witryny Azure Portal

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Ważne

Kroki opisane poniżej pokazują, jak udzielić dostępu do usługi przy użyciu kontroli dostępu opartej na rolach platformy Azure. Zapoznaj się z konkretną dokumentacją usługi dotyczącą sposobu udzielania dostępu; Na przykład zapoznaj się z usługą Azure Data Explorer , aby uzyskać instrukcje. Niektóre usługi platformy Azure są w trakcie wdrażania kontroli dostępu opartej na rolach platformy Azure na płaszczyźnie danych.

  1. Zaloguj się do witryny Azure Portal przy użyciu konta skojarzonego z subskrypcją platformy Azure, dla której skonfigurowano tożsamość zarządzaną.

  2. Przejdź do żądanego zasobu, który chcesz zmodyfikować kontrolę dostępu. W tym przykładzie przyznasz maszynie wirtualnej platformy Azure dostęp do konta magazynu, a następnie możesz przejść do konta magazynu.

  3. Wybierz pozycję Kontrola dostępu (IAM) .

  4. Wybierz pozycję Dodaj>przypisanie roli, aby otworzyć stronę Dodawanie przypisania roli.

  5. Wybierz rolę i tożsamość zarządzaną. Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

    Zrzut ekranu przedstawiający stronę dodawania przypisania roli.

Używanie kontroli dostępu opartej na rolach platformy Azure w celu przypisania dostępu tożsamości zarządzanej do innego zasobu przy użyciu interfejsu wiersza polecenia

  1. W tym przykładzie przyznasz zarządzany dostęp maszyny wirtualnej platformy Azure do konta magazynu. Najpierw użyj polecenia az resource list , aby uzyskać jednostkę usługi dla maszyny wirtualnej o nazwie myVM:

    spID=$(az resource list -n myVM --query [*].identity.principalId --out tsv)
    

    W przypadku zestawu skalowania maszyny wirtualnej platformy Azure polecenie jest takie samo, z wyjątkiem tego, że w tym miejscu uzyskasz jednostkę usługi dla zestawu maszyn wirtualnych o nazwie "DevTestVMSS":

    spID=$(az resource list -n DevTestVMSS --query [*].identity.principalId --out tsv)
    
  2. Po utworzeniu identyfikatora jednostki usługi użyj polecenia az role assignment create , aby nadać maszynie wirtualnej lub zestawowi skalowania maszyn wirtualnych dostęp czytelnika do konta magazynu o nazwie "myStorageAcct":

    az role assignment create --assignee $spID --role 'Reader' --scope /subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/myStorageAcct
    

Używanie kontroli dostępu opartej na rolach platformy Azure w celu przypisania dostępu tożsamości zarządzanej do innego zasobu przy użyciu programu PowerShell

Uwaga

Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Aby uruchomić skrypty w tym przykładzie, masz dwie opcje:

  • Użyj usługi Azure Cloud Shell, którą można otworzyć za pomocą przycisku Wypróbuj w prawym górnym rogu bloków kodu.
  • Uruchom skrypty lokalnie, instalując najnowszą wersję programu Azure PowerShell, a następnie zaloguj się do platformy Azure przy użyciu polecenia Connect-AzAccount.
  1. Włączanie tożsamości zarządzanej w zasobie platformy Azure, takim jak maszyna wirtualna platformy Azure.

  2. Nadaj maszynie wirtualnej platformy Azure dostęp do konta magazynu.

    1. Użyj polecenia Get-AzVM , aby uzyskać jednostkę usługi dla maszyny wirtualnej o nazwie myVM, która została utworzona podczas włączania tożsamości zarządzanej.
    2. Użyj polecenia New-AzRoleAssignment, aby przyznać czytelnikowi maszyny wirtualnej dostęp do konta magazynu o nazwie myStorageAcct:
    $spID = (Get-AzVM -ResourceGroupName myRG -Name myVM).identity.principalid
    New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Reader" -Scope "/subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/<myStorageAcct>"
    

Następne kroki