Tilldela en hanterad identitet åtkomst till en resurs med hjälp av Azure CLI
Hanterade identiteter för Azure-resurser är en funktion i Microsoft Entra-ID. Alla Azure-tjänster som stöder hanterade identiteter för Azure-resurser har sin egen tidslinje. Var noga med att kontrollera tillgänglighetsstatus för hanterade identiteter för din resurs och kända problem innan du börjar.
När du har konfigurerat en Azure-resurs med en hanterad identitet kan du ge den hanterade identiteten åtkomst till en annan resurs, precis som alla säkerhetsobjekt. Det här exemplet visar hur du ger en hanterad identitetsåtkomst för en virtuell Azure-dator eller vm-skalningsuppsättning till ett Azure Storage-konto med hjälp av Azure CLI.
Om du inte redan har ett Azure-konto registrerar du dig för ett kostnadsfritt konto innan du fortsätter.
Förutsättningar
- Om du inte känner till hanterade identiteter för Azure-resurser kan du läsa Vad är hanterade identiteter för Azure-resurser?. Mer information om systemtilldelade och användartilldelade hanterade identitetstyper finns i Hanterade identitetstyper.
Använd Bash-miljön i Azure Cloud Shell. Mer information finns i Snabbstart för Bash i Azure Cloud Shell.
Om du föredrar att köra CLI-referenskommandon lokalt installerar du Azure CLI. Om du kör i Windows eller macOS kan du köra Azure CLI i en Docker-container. Mer information finns i Så här kör du Azure CLI i en Docker-container.
Om du använder en lokal installation loggar du in på Azure CLI med hjälp av kommandot az login. Slutför autentiseringsprocessen genom att följa stegen som visas i terminalen. Andra inloggningsalternativ finns i Logga in med Azure CLI.
När du uppmanas att installera Azure CLI-tillägget vid första användningen. Mer information om tillägg finns i Använda tillägg med Azure CLI.
Kör az version om du vill hitta versionen och de beroende bibliotek som är installerade. Om du vill uppgradera till den senaste versionen kör du az upgrade.
Använda Azure RBAC för att tilldela en hanterad identitet åtkomst till en annan resurs
När du har aktiverat hanterad identitet på en Azure-resurs, till exempel en virtuell Azure-dator eller en skalningsuppsättning för virtuella Azure-datorer:
I det här exemplet ger vi en virtuell Azure-dator åtkomst till ett lagringskonto. Först använder vi az resource list för att hämta tjänstens huvudnamn för den virtuella datorn med namnet myVM:
spID=$(az resource list -n myVM --query [*].identity.principalId --out tsv)
För en skalningsuppsättning för virtuella Azure-datorer är kommandot detsamma förutom här, du får tjänstens huvudnamn för vm-skalningsuppsättningen med namnet "DevTestVMSS":
spID=$(az resource list -n DevTestVMSS --query [*].identity.principalId --out tsv)
När du har tjänstens huvudnamns-ID använder du az role assignment create för att ge den virtuella datorn eller vm-skalningsuppsättningen "Läsare" åtkomst till ett lagringskonto med namnet "myStorageAcct":
az role assignment create --assignee $spID --role 'Reader' --scope /subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/myStorageAcct
Nästa steg
- Översikt över hanterade identiteter för Azure-resurser
- Information om hur du aktiverar hanterad identitet på en virtuell Azure-dator finns i Konfigurera hanterade identiteter för Azure-resurser på en virtuell Azure-dator med Hjälp av Azure CLI.
- Information om hur du aktiverar hanterad identitet på en skalningsuppsättning för virtuella Azure-datorer finns i Konfigurera hanterade identiteter för Azure-resurser på en VM-skalningsuppsättning med Azure CLI.