使用 PowerShell 將受控識別存取權指派給資源
Azure 資源的受控識別是 Microsoft Entra ID 的功能。 每個支援適用於 Azure 資源的受控識別 Azure 服務均受限於其本身的時間表。 開始之前,請務必檢閱 資源受控識別的可用性 狀態和 已知問題 。
設定具有受控識別的 Azure 資源之後,您就可以將受控識別存取權授與另一個資源,就像任何安全性主體一樣。 此範例示範如何使用 PowerShell 為 Azure 虛擬機器的受控識別提供 Azure 儲存體帳戶的存取權。
注意
建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 請參閱安裝 Azure PowerShell 以開始使用。 若要了解如何移轉至 Az PowerShell 模組,請參閱將 Azure PowerShell 從 AzureRM 移轉至 Az。
必要條件
- 如果您不熟悉 Azure 資源的受控識別,請參閱概 觀一節 。 請務必檢閱 系統指派和使用者指派的受控識別 之間的差異。
- 如果您還沒有 Azure 帳戶, 請先註冊免費帳戶 ,再繼續進行。
- 若要執行範例腳本,您有兩個選項:
- 使用 Azure Cloud Shell ,您可以使用程式碼區塊右上角的 [試用] 按鈕來開啟 。
- 在本機執行腳本,方法是安裝最新版的 Azure PowerShell ,然後使用 登入 Azure
Connect-AzAccount
。
使用 Azure RBAC 將受控識別存取權指派給另一個資源
在 Azure 資源上啟用受控識別, 例如 Azure VM 。
在此範例中,我們會提供 Azure VM 對儲存體帳戶的存取權。 首先,我們會使用 Get-AzVM 來取得名為
myVM
的 VM 服務主體,這是當我們啟用受控識別時所建立的。 然後,使用 New-AzRoleAssignment 將 VM 讀取器 存取權授與名為myStorageAcct
的儲存體帳戶:$spID = (Get-AzVM -ResourceGroupName myRG -Name myVM).identity.principalid New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Reader" -Scope "/subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/<myStorageAcct>"
下一步
- 適用于 Azure 資源的受控識別概觀
- 若要在 Azure VM 上啟用受控識別,請參閱 使用 PowerShell 為 Azure VM 上的 Azure 資源設定受控識別。