Tilldela en hanterad identitet åtkomst till en resurs med hjälp av PowerShell
Hanterade identiteter för Azure-resurser är en funktion i Microsoft Entra-ID. Alla Azure-tjänster som stöder hanterade identiteter för Azure-resurser har sin egen tidslinje. Var noga med att kontrollera tillgänglighetsstatus för hanterade identiteter för din resurs och kända problem innan du börjar.
När du har konfigurerat en Azure-resurs med en hanterad identitet kan du ge den hanterade identiteten åtkomst till en annan resurs, precis som alla säkerhetsobjekt. Det här exemplet visar hur du ger en hanterad identitet i en virtuell Azure-dator åtkomst till ett Azure Storage-konto med hjälp av PowerShell.
Kommentar
Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.
Förutsättningar
- Om du inte känner till hanterade identiteter för Azure-resurser kan du läsa översiktsavsnittet. Se till att granska skillnaden mellan en systemtilldelad och användartilldelad hanterad identitet.
- Om du inte redan har ett Azure-konto registrerar du dig för ett kostnadsfritt konto innan du fortsätter.
- Om du vill köra exempelskripten har du två alternativ:
- Använd Azure Cloud Shell, som du kan öppna med hjälp av knappen Prova i det övre högra hörnet av kodblock.
- Kör skript lokalt genom att installera den senaste versionen av Azure PowerShell och logga sedan in på Azure med .
Connect-AzAccount
Använda Azure RBAC för att tilldela en hanterad identitet åtkomst till en annan resurs
Aktivera hanterad identitet på en Azure-resurs, till exempel en virtuell Azure-dator.
I det här exemplet ger vi en virtuell Azure-dator åtkomst till ett lagringskonto. Först använder vi Get-AzVM för att hämta tjänstens huvudnamn för den virtuella datorn med namnet
myVM
, som skapades när vi aktiverade hanterad identitet. Använd sedan New-AzRoleAssignment för att ge vm-läsarenåtkomst till ett lagringskonto med namnetmyStorageAcct
:$spID = (Get-AzVM -ResourceGroupName myRG -Name myVM).identity.principalid New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Reader" -Scope "/subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/<myStorageAcct>"
Nästa steg
- Översikt över hanterad identitet för Azure-resurser
- Information om hur du aktiverar hanterad identitet på en virtuell Azure-dator finns i Konfigurera hanterade identiteter för Azure-resurser på en virtuell Azure-dator med Hjälp av PowerShell.