Přiřazení přístupu ke spravované identitě k prostředku pomocí Azure CLI
Spravované identity pro prostředky Azure jsou funkcí ID Microsoft Entra. Každá ze služeb Azure, které podporují spravované identity pro prostředky Azure, se řídí vlastní časovou osou. Než začnete, nezapomeňte zkontrolovat stav dostupnosti spravovaných identit pro váš prostředek a známé problémy.
Jakmile nakonfigurujete prostředek Azure se spravovanou identitou, můžete spravované identitě udělit přístup k jinému prostředku, stejně jako jakýkoli objekt zabezpečení. Tento příklad ukazuje, jak udělit spravované identitě virtuálního počítače Azure nebo škálovací sady virtuálních počítačů přístup k účtu úložiště Azure pomocí Azure CLI.
Pokud ještě nemáte účet Azure, zaregistrujte si bezplatný účet před tím, než budete pokračovat.
Požadavky
- Pokud neznáte spravované identity pro prostředky Azure, přečtěte si téma Co jsou spravované identity pro prostředky Azure? Další informace o typech spravovaných identit přiřazených systémem a přiřazených uživatelem najdete v tématu Typy spravovaných identit.
Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.
Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.
Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.
Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.
Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.
Přiřazení přístupu spravované identity k jinému prostředku pomocí Azure RBAC
Po povolení spravované identity u prostředku Azure, jako je virtuální počítač Azure nebo škálovací sada virtuálních počítačů Azure:
V tomto příkladu poskytujeme virtuálnímu počítači Azure přístup k účtu úložiště. Nejprve pomocí příkazu az resource list získáme instanční objekt pro virtuální počítač myVM:
spID=$(az resource list -n myVM --query [*].identity.principalId --out tsv)
U škálovací sady virtuálních počítačů Azure je tento příkaz stejný s výjimkou této sady, získáte instanční objekt pro škálovací sadu virtuálních počítačů s názvem DevTestVMSS:
spID=$(az resource list -n DevTestVMSS --query [*].identity.principalId --out tsv)
Jakmile budete mít ID instančního objektu, pomocí příkazu az role assignment create dejte virtuálnímu počítači nebo škálovací sadě virtuálních počítačů přístup k účtu úložiště s názvem myStorageAcct:
az role assignment create --assignee $spID --role 'Reader' --scope /subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/myStorageAcct
Další kroky
- Přehled spravovaných identit pro prostředky Azure
- Pokud chcete povolit spravovanou identitu na virtuálním počítači Azure, přečtěte si téma Konfigurace spravovaných identit pro prostředky Azure na virtuálním počítači Azure pomocí Azure CLI.
- Pokud chcete povolit spravovanou identitu ve škálovací sadě virtuálních počítačů Azure, přečtěte si téma Konfigurace spravovaných identit pro prostředky Azure ve škálovací sadě virtuálních počítačů pomocí Azure CLI.