Atribuir um acesso de identidade gerenciado a um recurso usando a CLI do Azure
As identidades gerenciadas para recursos do Azure são um recurso do Microsoft Entra ID. Cada um dos serviços do Azure que suportam as identidades geridas para os recursos do Azure estão sujeitos à sua própria linha de tempo. Certifique-se de que revê o estado de disponibilidade das identidades geridas para o seu recurso e problemas conhecidos antes de começar.
Depois de configurar um recurso do Azure com uma identidade gerenciada, você pode conceder à identidade gerenciada acesso a outro recurso, assim como qualquer entidade de segurança. Este exemplo mostra como conceder a uma máquina virtual do Azure ou a um conjunto de dimensionamento de máquina virtual acesso de identidade gerenciada a uma conta de armazenamento do Azure usando a CLI do Azure.
Se ainda não tem uma conta do Azure, inscreva-se numa conta gratuita antes de continuar.
Pré-requisitos
- Se você não estiver familiarizado com identidades gerenciadas para recursos do Azure, consulte O que são identidades gerenciadas para recursos do Azure?. Para saber mais sobre os tipos de identidade gerenciada atribuídos pelo sistema e pelo usuário, consulte Tipos de identidade gerenciada.
Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, consulte Guia de início rápido para Bash no Azure Cloud Shell.
Se preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se estiver a utilizar o Windows ou macOS, considere executar a CLI do Azure num contentor Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.
Se estiver a utilizar uma instalação local, inicie sessão no CLI do Azure ao utilizar o comando az login. Para concluir o processo de autenticação, siga os passos apresentados no seu terminal. Para outras opções de entrada, consulte Entrar com a CLI do Azure.
Quando solicitado, instale a extensão da CLI do Azure na primeira utilização. Para obter mais informações sobre as extensões, veja Utilizar extensões com o CLI do Azure.
Execute o comando az version para localizar a versão e as bibliotecas dependentes instaladas. Para atualizar para a versão mais recente, execute o comando az upgrade.
Usar o RBAC do Azure para atribuir um acesso de identidade gerenciado a outro recurso
Depois de habilitar a identidade gerenciada em um recurso do Azure, como uma máquina virtual do Azure ou um conjunto de dimensionamento de máquina virtual do Azure:
Neste exemplo, estamos dando a uma máquina virtual do Azure acesso a uma conta de armazenamento. Primeiro, usamos az resource list para obter a entidade de serviço para a máquina virtual chamada myVM:
spID=$(az resource list -n myVM --query [*].identity.principalId --out tsv)Para um conjunto de escala de máquina virtual do Azure, o comando é o mesmo, exceto aqui, você obtém a entidade de serviço para o conjunto de escala de máquina virtual chamado "DevTestVMSS":
spID=$(az resource list -n DevTestVMSS --query [*].identity.principalId --out tsv)Depois de ter o ID da entidade de serviço, use az role assignment create para dar à máquina virtual ou ao conjunto de escala da máquina virtual "Leitor" acesso a uma conta de armazenamento chamada "myStorageAcct":
az role assignment create --assignee $spID --role 'Reader' --scope /subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/myStorageAcct
Próximos passos
- Visão geral das identidades gerenciadas para recursos do Azure
- Para habilitar a identidade gerenciada em uma máquina virtual do Azure, consulte Configurar identidades gerenciadas para recursos do Azure em uma VM do Azure usando a CLI do Azure.
- Para habilitar a identidade gerenciada em um conjunto de escala de máquina virtual do Azure, consulte Configurar identidades gerenciadas para recursos do Azure em um conjunto de escala de máquina virtual usando a CLI do Azure.