使用 PowerShell 將受控識別存取權指派給資源

Azure 資源的受控識別是 Microsoft Entra ID 的功能。 每個支援適用於 Azure 資源的受控識別 Azure 服務均受限於其本身的時間表。 開始之前，請務必檢閱 資源受控識別的可用性 狀態和 已知問題 。

設定具有受控識別的 Azure 資源之後，您就可以將受控識別存取權授與另一個資源，就像任何安全性主體一樣。 此範例示範如何使用 PowerShell 為 Azure 虛擬機器的受控識別提供 Azure 儲存體帳戶的存取權。

注意

建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 請參閱安裝 Azure PowerShell 以開始使用。 若要了解如何移轉至 Az PowerShell 模組，請參閱將 Azure PowerShell 從 AzureRM 移轉至 Az。

必要條件

• 如果您不熟悉 Azure 資源的受控識別，請參閱概 觀一節 。 請務必檢閱 系統指派和使用者指派的受控識別 之間的差異。
• 如果您還沒有 Azure 帳戶， 請先註冊免費帳戶 ，再繼續進行。
• 若要執行範例腳本，您有兩個選項：
  • 使用 Azure Cloud Shell ，您可以使用程式碼區塊右上角的 [試用] 按鈕來開啟 。
  • 在本機執行腳本，方法是安裝最新版的 Azure PowerShell ，然後使用 登入 Azure Connect-AzAccount 。

使用 Azure RBAC 將受控識別存取權指派給另一個資源

1. 在 Azure 資源上啟用受控識別， 例如 Azure VM 。

2. 在此範例中，我們會提供 Azure VM 對儲存體帳戶的存取權。 首先，我們會使用 Get-AzVM 來取得名為 myVM 的 VM 服務主體，這是當我們啟用受控識別時所建立的。 然後，使用 New-AzRoleAssignment 將 VM 讀取器 存取權授與名為 myStorageAcct 的儲存體帳戶：

   $spID = (Get-AzVM -ResourceGroupName myRG -Name myVM).identity.principalid
   New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Reader" -Scope "/subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/<myStorageAcct>"
   

下一步

• 適用于 Azure 資源的受控識別概觀
• 若要在 Azure VM 上啟用受控識別，請參閱 使用 PowerShell 為 Azure VM 上的 Azure 資源設定受控識別。