Azure CLI kullanarak sanal makine ölçek kümesinde Azure kaynakları için yönetilen kimlikleri yapılandırma
Azure kaynakları için yönetilen kimlikler, Microsoft Entra Id'nin bir özelliğidir. Azure kaynakları için yönetilen kimlikleri destekleyen Azure hizmetlerinin her biri kendi zaman çizelgesine tabidir. Başlamadan önce kaynağınıza yönelik yönetilen kimliklerin kullanılabilirlik durumunu ve bilinen sorunları gözden geçirdiğinizden emin olun.
Azure kaynakları için yönetilen kimlikler, Azure hizmetlerine Microsoft Entra ID üzerinde otomatik olarak yönetilen bir kimlik sağlar. Bu kimliği kullanarak, Microsoft Entra kimlik doğrulamasını destekleyen tüm hizmetlerde kodunuzda kimlik bilgileri bulunmasına gerek kalmadan kimlik doğrulaması yapabilirsiniz.
Bu makalede, Azure CLI kullanarak azure sanal makine ölçek kümesinde Azure kaynakları işlemleri için aşağıdaki yönetilen kimlikleri gerçekleştirmeyi öğreneceksiniz:
- Azure sanal makine ölçek kümesinde sistem tarafından atanan yönetilen kimliği etkinleştirme ve devre dışı bırakma
- Azure sanal makine ölçek kümesinde kullanıcı tarafından atanan yönetilen kimliği ekleme ve kaldırma
Henüz bir Azure hesabınız yoksa, devam etmeden önce ücretsiz bir hesaba kaydolun.
Önkoşullar
Azure kaynakları için yönetilen kimlikleri bilmiyorsanız bkz . Azure kaynakları için yönetilen kimlikler nelerdir?. Sistem tarafından atanan ve kullanıcı tarafından atanan yönetilen kimlik türleri hakkında bilgi edinmek için bkz . Yönetilen kimlik türleri.
Bu makaledeki yönetim işlemlerini gerçekleştirmek için hesabınız aşağıdaki Azure rol tabanlı erişim denetimi atamalarına ihtiyaç duyar:
Kullanıcı tarafından atanan yönetilen kimlik oluşturmak için Yönetilen Kimlik Katkıda Bulunanı rolü.
Not
Ek Microsoft Entra dizin rolü ataması gerekmez.
Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz . Azure Cloud Shell'de Bash için hızlı başlangıç.
CLI başvuru komutlarını yerel olarak çalıştırmayı tercih ediyorsanız Azure CLI'yı yükleyin . Windows veya macOS üzerinde çalışıyorsanız Azure CLI’yi bir Docker kapsayıcısında çalıştırmayı değerlendirin. Daha fazla bilgi için bkz . Docker kapsayıcısında Azure CLI'yi çalıştırma.
Yerel yükleme kullanıyorsanız az login komutunu kullanarak Azure CLI ile oturum açın. Kimlik doğrulama işlemini tamamlamak için terminalinizde görüntülenen adımları izleyin. Diğer oturum açma seçenekleri için bkz . Azure CLI ile oturum açma.
İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma.
Yüklü sürümü ve bağımlı kitaplıkları bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.
Sistem tarafından atanan yönetilen kimlik
Bu bölümde, Azure CLI kullanarak bir Azure sanal makine ölçek kümesi için sistem tarafından atanan yönetilen kimliği etkinleştirmeyi ve devre dışı bırakmayı öğreneceksiniz.
Azure sanal makine ölçek kümesi oluşturulurken sistem tarafından atanan yönetilen kimliği etkinleştirme
Sistem tarafından atanan yönetilen kimliğin etkin olduğu bir sanal makine ölçek kümesi oluşturmak için:
az group create komutunu kullanarak sanal makine ölçek kümenizin ve ilgili kaynaklarının kapsaması ve dağıtımı için bir kaynak grubu oluşturun. Bunun yerine kullanmak istediğiniz bir kaynak grubunuz varsa bu adımı atlayabilirsiniz:
az group create --name myResourceGroup --location westusSanal makine ölçek kümesi oluşturma . Aşağıdaki örnek, belirtilen
--roleve--scopeparametresi tarafından--assign-identityistendiği gibi sistem tarafından atanan yönetilen kimliğe sahip myVMSS adlı bir sanal makine ölçek kümesi oluşturur.--admin-usernameve--admin-passwordparametreleri, sanal makinede oturum açmak için yönetici hesabının kullanıcı adı ve parolasını belirtir. Bu değerleri ortamınıza uyacak şekilde güncelleştirin:az vmss create --resource-group myResourceGroup --name myVMSS --image win2016datacenter --upgrade-policy-mode automatic --custom-data cloud-init.txt --admin-username azureuser --admin-password myPassword12 --assign-identity --generate-ssh-keys --role contributor --scope mySubscription
Mevcut bir Azure sanal makine ölçek kümesinde sistem tarafından atanan yönetilen kimliği etkinleştirme
Mevcut bir Azure sanal makine ölçek kümesinde sistem tarafından atanan yönetilen kimliği etkinleştirmeniz gerekiyorsa:
az vmss identity assign -g myResourceGroup -n myVMSS
Azure sanal makine ölçek kümesinden sistem tarafından atanan yönetilen kimliği devre dışı bırakma
Artık sistem tarafından atanan yönetilen kimliğe ihtiyaç olmayan ancak yine de kullanıcı tarafından atanan yönetilen kimliklere ihtiyaç duyan bir sanal makine ölçek kümeniz varsa aşağıdaki komutu kullanın:
az vmss update -n myVM -g myResourceGroup --set identity.type='UserAssigned'
Artık sistem tarafından atanan yönetilen kimliğe ihtiyacı olmayan bir sanal makineniz varsa ve kullanıcı tarafından atanan yönetilen kimlikleri yoksa aşağıdaki komutu kullanın:
Not
Değer none büyük/küçük harfe duyarlıdır. Küçük harfle yazılmalıdır.
az vmss update -n myVM -g myResourceGroup --set identity.type="none"
Kullanıcı tarafından atanan yönetilen kimlik
Bu bölümde, Azure CLI kullanarak kullanıcı tarafından atanan yönetilen kimliği etkinleştirmeyi ve kaldırmayı öğreneceksiniz.
Sanal makine ölçek kümesi oluşturulurken kullanıcı tarafından atanan yönetilen kimlik atama
Bu bölümde, sanal makine ölçek kümesi oluşturma ve kullanıcı tarafından atanan yönetilen kimliğin sanal makine ölçek kümesine atanma adımları gösterilmektedir. Kullanmak istediğiniz bir sanal makine ölçek kümeniz zaten varsa, bu bölümü atlayın ve sonraki bölüme geçin.
Kullanmak istediğiniz bir kaynak grubunuz varsa bu adımı atlayabilirsiniz. az group create komutunu kullanarak kullanıcı tarafından atanan yönetilen kimliğinizin kapsaması ve dağıtımı için bir kaynak grubu oluşturun.
<RESOURCE GROUP>ve<LOCATION>parametre değerlerini kendi değerlerinizle değiştirmeyi unutmayın. :az group create --name <RESOURCE GROUP> --location <LOCATION>Kullanıcı tarafından atanan yönetilen kimliği oluşturmak için az identity create kullanın.
-gparametresi kullanıcı tarafından atanan yönetilen kimliğin oluşturulduğu kaynak grubunu belirtirken,-nparametresi de bunun adını belirtir.<RESOURCE GROUP>ve<USER ASSIGNED IDENTITY NAME>parametre değerlerini kendi değerlerinizle değiştirmeyi unutmayın:Önemli
Kullanıcı tarafından atanan yönetilen kimlikler oluşturduğunuzda, ad bir harf veya sayı ile başlamalıdır ve alfasayısal karakterler, kısa çizgi (-) ve alt çizgi (_) birleşimini içerebilir. Bir sanal makineye veya sanal makine ölçek kümesine atamanın düzgün çalışması için ad 24 karakterle sınırlıdır. Daha fazla bilgi için bkz. SSS ve bilinen sorunlar.
az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>Yanıt, aşağıdakine benzer şekilde, oluşturulan kullanıcı tarafından atanan yönetilen kimliğin ayrıntılarını içerir. Kullanıcı tarafından atanan yönetilen kimliğe atanan kaynak
iddeğeri aşağıdaki adımda kullanılır.{ "clientId": "73444643-8088-4d70-9532-c3a0fdc190fz", "clientSecretUrl": "https://control-westcentralus.identity.azure.net/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/credentials?tid=5678&oid=9012&aid=73444643-8088-4d70-9532-c3a0fdc190fz", "id": "/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>", "location": "westcentralus", "name": "<USER ASSIGNED IDENTITY NAME>", "principalId": "e5fdfdc1-ed84-4d48-8551-fe9fb9dedfll", "resourceGroup": "<RESOURCE GROUP>", "tags": {}, "tenantId": "733a8f0e-ec41-4e69-8ad8-971fc4b533bl", "type": "Microsoft.ManagedIdentity/userAssignedIdentities" }Sanal makine ölçek kümesi oluşturma . Aşağıdaki örnek, parametresi tarafından
--assign-identitybelirtilen ve ile belirtilen yeni kullanıcı tarafından atanan yönetilen kimlikle--role--scopeilişkilendirilmiş bir sanal makine ölçek kümesi oluşturur. , ,<VMSS NAME>, ,<USER NAME>,<PASSWORD>,<ROLE><USER ASSIGNED IDENTITY>ve<SUBSCRIPTION>parametre değerlerini kendi değerlerinizle değiştirmeyi<RESOURCE GROUP>unutmayın.az vmss create --resource-group <RESOURCE GROUP> --name <VMSS NAME> --image <SKU Linux Image> --admin-username <USER NAME> --admin-password <PASSWORD> --assign-identity <USER ASSIGNED IDENTITY> --role <ROLE> --scope <SUBSCRIPTION>
Mevcut bir sanal makine ölçek kümesine kullanıcı tarafından atanan yönetilen kimlik atama
Kullanıcı tarafından atanan yönetilen kimliği oluşturmak için az identity create kullanın.
-gparametresi kullanıcı tarafından atanan yönetilen kimliğin oluşturulduğu kaynak grubunu belirtirken,-nparametresi de bunun adını belirtir.<RESOURCE GROUP>ve<USER ASSIGNED IDENTITY NAME>parametre değerlerini kendi değerlerinizle değiştirmeyi unutmayın:az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>Yanıt, aşağıdakine benzer şekilde, oluşturulan kullanıcı tarafından atanan yönetilen kimliğin ayrıntılarını içerir.
{ "clientId": "73444643-8088-4d70-9532-c3a0fdc190fz", "clientSecretUrl": "https://control-westcentralus.identity.azure.net/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY >/credentials?tid=5678&oid=9012&aid=73444643-8088-4d70-9532-c3a0fdc190fz", "id": "/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY>", "location": "westcentralus", "name": "<USER ASSIGNED IDENTITY>", "principalId": "e5fdfdc1-ed84-4d48-8551-fe9fb9dedfll", "resourceGroup": "<RESOURCE GROUP>", "tags": {}, "tenantId": "733a8f0e-ec41-4e69-8ad8-971fc4b533bl", "type": "Microsoft.ManagedIdentity/userAssignedIdentities" }Kullanıcı tarafından atanan yönetilen kimliği sanal makine ölçek kümenize atayın .
<RESOURCE GROUP>ve<VIRTUAL MACHINE SCALE SET NAME>parametre değerlerini kendi değerlerinizle değiştirmeyi unutmayın.<USER ASSIGNED IDENTITY>, önceki adımda oluşturulduğu gibi kullanıcı tarafından atanan kimliğin kaynaknameözelliğidir:az vmss identity assign -g <RESOURCE GROUP> -n <VIRTUAL MACHINE SCALE SET NAME> --identities <USER ASSIGNED IDENTITY>
Azure sanal makine ölçek kümesinden kullanıcı tarafından atanan yönetilen kimliği kaldırma
Kullanıcı tarafından atanan yönetilen kimliği bir sanal makine ölçek kümesinden kaldırmak için kullanınaz vmss identity remove. Sanal makine ölçek kümesine atanan tek kullanıcı tarafından atanan yönetilen kimlik buysa, UserAssigned kimlik türü değerinden kaldırılır. <RESOURCE GROUP> ve <VIRTUAL MACHINE SCALE SET NAME> parametre değerlerini kendi değerlerinizle değiştirmeyi unutmayın. <USER ASSIGNED IDENTITY>, kullanılarak az vmss identity showsanal makine ölçek kümesinin kimlik bölümünde bulunabilen, kullanıcı tarafından atanan yönetilen kimliğin name özelliğidir:
az vmss identity remove -g <RESOURCE GROUP> -n <VIRTUAL MACHINE SCALE SET NAME> --identities <USER ASSIGNED IDENTITY>
Sanal makine ölçek kümenizin sistem tarafından atanan yönetilen kimliği yoksa ve kullanıcı tarafından atanan tüm yönetilen kimlikleri kaldırmak istiyorsanız aşağıdaki komutu kullanın:
Not
Değer none büyük/küçük harfe duyarlıdır. Küçük harfle yazılmalıdır.
az vmss update -n myVMSS -g myResourceGroup --set identity.type="none" identity.userAssignedIdentities=null
Sanal makine ölçek kümenizde hem sistem tarafından atanan hem de kullanıcı tarafından atanan yönetilen kimlikler varsa, yalnızca sistem tarafından atanan yönetilen kimliği kullanmaya geçerek kullanıcı tarafından atanan tüm kimlikleri kaldırabilirsiniz. Aşağıdaki komutu kullanın:
az vmss update -n myVMSS -g myResourceGroup --set identity.type='SystemAssigned' identity.userAssignedIdentities=null
Sonraki adımlar
- Azure kaynakları için yönetilen kimliklere genel bakış
- Tam Azure sanal makine ölçek kümesi oluşturma Hızlı Başlangıcı için bkz . CLI ile Sanal Makine Ölçek Kümesi Oluşturma