Konfigurace spravovaných identit pro prostředky Azure ve škálovacích sadách virtuálních počítačů pomocí PowerShellu

Spravované identity pro prostředky Azure jsou funkcí ID Microsoft Entra. Každá ze služeb Azure, které podporují spravované identity pro prostředky Azure, se řídí vlastní časovou osou. Než začnete, nezapomeňte zkontrolovat stav dostupnosti spravovaných identit pro váš prostředek a známé problémy.

Spravované identity pro prostředky Azure poskytují službám Azure automaticky spravovanou identitu v Microsoft Entra ID. Tuto identitu můžete použít k ověření v jakékoli službě, která podporuje ověřování Microsoft Entra, aniž byste ve vašem kódu museli mít přihlašovací údaje.

V tomto článku pomocí PowerShellu se naučíte provádět spravované identity pro operace prostředků Azure ve škálovací sadě virtuálních počítačů:

• Povolení a zakázání spravované identity přiřazené systémem ve škálovací sadě virtuálních počítačů
• Přidání a odebrání spravované identity přiřazené uživatelem ve škálovací sadě virtuálních počítačů

Poznámka:

Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Požadavky

• Pokud neznáte spravované identity pro prostředky Azure, projděte si část s přehledem. Nezapomeňte zkontrolovat rozdíl mezi identitou přiřazenou systémem a přiřazenou uživatelem.

• Pokud ještě nemáte účet Azure, zaregistrujte si bezplatný účet před tím, než budete pokračovat.

• Pokud chcete provádět operace správy v tomto článku, váš účet potřebuje následující přiřazení řízení přístupu na základě role Azure:

  Poznámka:

  Nevyžaduje se žádné další přiřazení rolí adresáře Microsoft Entra.

  • Přispěvatel virtuálních počítačů vytvoří škálovací sadu virtuálních počítačů a povolí a odebere spravovanou identitu přiřazenou systémem nebo přiřazenou uživatelem ze škálovací sady virtuálních počítačů.
  • Role Přispěvatel spravované identity pro vytvoření spravované identity přiřazené uživatelem
  • Role operátora spravované identity pro přiřazení a odebrání spravované identity přiřazené uživatelem z a do škálovací sady virtuálních počítačů.

• Pokud chcete spustit ukázkové skripty, máte dvě možnosti:

  • Použijte Azure Cloud Shell, který můžete otevřít pomocí tlačítka Vyzkoušet v pravém horním rohu bloků kódu.
  • Spusťte skripty místně instalací nejnovější verze Azure PowerShellu a pak se přihlaste k Azure pomocí Connect-AzAccount.

Spravovaná identita přiřazená systémem

V této části se dozvíte, jak povolit a odebrat spravovanou identitu přiřazenou systémem pomocí Azure PowerShellu.

Povolení spravované identity přiřazené systémem během vytváření škálovací sady virtuálních počítačů Azure

Vytvoření škálovací sady virtuálních počítačů s povolenou spravovanou identitou přiřazenou systémem:

1. Informace o vytvoření škálovací sady virtuálních počítačů se spravovanou identitou přiřazenou systémem najdete v referenčním článku k rutině New-AzVmssConfig v příkladu 1. Přidejte parametr -IdentityType SystemAssigned do rutiny New-AzVmssConfig :

   $VMSS = New-AzVmssConfig -Location $Loc -SkuCapacity 2 -SkuName "Standard_A0" -UpgradePolicyMode "Automatic" -NetworkInterfaceConfiguration $NetCfg -IdentityType SystemAssigned`
   

Povolení spravované identity přiřazené systémem ve škálovací sadě virtuálních počítačů Azure

Pokud potřebujete povolit spravovanou identitu přiřazenou systémem na existující škálovací sadě virtuálních počítačů Azure:

1. Ujistěte se, že účet Azure, který používáte, patří do role, která poskytuje oprávnění k zápisu do škálovací sady virtuálních počítačů, například Přispěvatel virtuálních počítačů.

2. Pomocí rutiny Get-AzVmss načtěte vlastnosti škálovací sady virtuálních počítačů. Potom pomocí přepínače v rutině Update-AzVmss povolte spravovanou identitu -IdentityType přiřazenou systémem:

   Update-AzVmss -ResourceGroupName myResourceGroup -Name -myVmss -IdentityType "SystemAssigned"
   

Zakázání spravované identity přiřazené systémem ze škálovací sady virtuálních počítačů Azure

Pokud máte škálovací sadu virtuálních počítačů, která už nepotřebuje spravovanou identitu přiřazenou systémem, ale přesto potřebuje spravované identity přiřazené uživatelem, použijte následující rutinu:

1. Ujistěte se, že váš účet patří do role, která poskytuje oprávnění k zápisu do škálovací sady virtuálních počítačů, například Přispěvatel virtuálních počítačů.

2. Spusťte následující rutinu:

   Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType "UserAssigned"
   

3. Pokud máte škálovací sadu virtuálních počítačů, která už nepotřebuje spravovanou identitu přiřazenou systémem a nemá spravované identity přiřazené uživatelem, použijte následující příkaz:

   Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType None
   

Spravovaná identita přiřazená uživatelem

V této části se dozvíte, jak přidat a odebrat spravovanou identitu přiřazenou uživatelem ze škálovací sady virtuálních počítačů pomocí Azure PowerShellu.

Přiřazení spravované identity přiřazené uživatelem během vytváření škálovací sady virtuálních počítačů Azure

Vytvoření nové škálovací sady virtuálních počítačů se spravovanou identitou přiřazenou uživatelem se v současné době prostřednictvím PowerShellu nepodporuje. V další části se dozvíte, jak přidat spravovanou identitu přiřazenou uživatelem do existující škálovací sady virtuálních počítačů. Vraťte se sem a přečtěte si nové informace.

Přiřazení spravované identity přiřazené uživatelem ke stávající škálovací sadě virtuálních počítačů Azure

Přiřazení spravované identity přiřazené uživatelem ke stávající škálovací sadě virtuálních počítačů Azure:

1. Ujistěte se, že váš účet patří do role, která poskytuje oprávnění k zápisu do škálovací sady virtuálních počítačů, například Přispěvatel virtuálních počítačů.

2. Pomocí rutiny Get-AzVM načtěte vlastnosti škálovací sady virtuálních počítačů. Potom ke škálovací sadě virtuálních počítačů přiřadíte spravovanou identitu přiřazenou uživatelem, použijte -IdentityType rutinu Update-AzVmss a -IdentityID přepínač. Nahraďte <VM NAME>, <SUBSCRIPTION ID>, <RESROURCE GROUP>, USER ASSIGNED ID2<USER ASSIGNED ID1>vlastními hodnotami.

   Důležité

   Při vytváření spravovaných identit přiřazených uživatelem musí název začínat písmenem nebo číslem a může obsahovat kombinaci alfanumerických znaků, pomlček (-) a podtržítka (_). Aby přiřazení k virtuálnímu počítači nebo škálovací sadě virtuálních počítačů fungovalo správně, je název omezen na 24 znaků. Další informace najdete v tématu Nejčastější dotazy a známé problémy.

   Update-AzVmss -ResourceGroupName <RESOURCE GROUP> -Name <VMSS NAME> -IdentityType UserAssigned -IdentityID "<USER ASSIGNED ID1>","<USER ASSIGNED ID2>"
   

Odebrání spravované identity přiřazené uživatelem ze škálovací sady virtuálních počítačů Azure

Pokud má škálovací sada virtuálních počítačů více spravovaných identit přiřazených uživatelem, můžete odebrat všechny identity kromě poslední identity pomocí následujících příkazů. Nezapomeňte nahradit hodnoty parametrů <RESOURCE GROUP> a <VIRTUAL MACHINE SCALE SET NAME> vlastními hodnotami. Jedná se <USER ASSIGNED IDENTITY NAME> o vlastnost názvu spravované identity přiřazenou uživatelem, která by měla zůstat ve škálovací sadě virtuálních počítačů. Tyto informace najdete v části identit škálovací sady virtuálních počítačů pomocí az vmss show:

Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType UserAssigned -IdentityID "<USER ASSIGNED IDENTITY NAME>"

Pokud vaše škálovací sada virtuálních počítačů nemá spravovanou identitu přiřazenou systémem a chcete z ní odebrat všechny spravované identity přiřazené uživatelem, použijte následující příkaz:

Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType None

Pokud má škálovací sada virtuálních počítačů spravované identity přiřazené systémem i spravované uživatelem, můžete odebrat všechny spravované identity přiřazené uživatelem tak, že přepnete na použití pouze spravované identity přiřazené systémem.

Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType "SystemAssigned"

Další kroky

• Přehled spravovaných identit pro prostředky Azure

• Úplné rychlé zprovoznění vytváření virtuálních počítačů Azure najdete tady:

  • Vytvoření virtuálního počítače s Windows pomocí PowerShellu
  • Vytvoření virtuálního počítače s Linuxem pomocí PowerShellu