Konfigurace spravovaných identit pro prostředky Azure ve škálovací sadě virtuálních počítačů pomocí Azure CLI

Článek
10/26/2023

Spravované identity pro prostředky Azure jsou funkcí ID Microsoft Entra. Každá ze služeb Azure, které podporují spravované identity pro prostředky Azure, se řídí vlastní časovou osou. Než začnete, nezapomeňte zkontrolovat stav dostupnosti spravovaných identit pro váš prostředek a známé problémy.

Spravované identity pro prostředky Azure poskytují službám Azure automaticky spravovanou identitu v Microsoft Entra ID. Tuto identitu můžete použít k ověření v jakékoli službě, která podporuje ověřování Microsoft Entra, aniž byste ve vašem kódu museli mít přihlašovací údaje.

V tomto článku se dozvíte, jak pomocí Azure CLI provádět následující spravované identity pro operace s prostředky Azure ve škálovací sadě virtuálních počítačů Azure:

Povolení a zakázání spravované identity přiřazené systémem ve škálovací sadě virtuálních počítačů Azure
Přidání a odebrání spravované identity přiřazené uživatelem ve škálovací sadě virtuálních počítačů Azure

Pokud ještě nemáte účet Azure, zaregistrujte si bezplatný účet před tím, než budete pokračovat.

Požadavky

Pokud neznáte spravované identity pro prostředky Azure, přečtěte si téma Co jsou spravované identity pro prostředky Azure? Další informace o typech spravovaných identit přiřazených systémem a přiřazených uživatelem najdete v tématu Typy spravovaných identit.
Pokud chcete provádět operace správy v tomto článku, váš účet potřebuje následující přiřazení řízení přístupu na základě role Azure:
- Přispěvatel virtuálních počítačů vytvoří škálovací sadu virtuálních počítačů a povolí a odebere spravovanou identitu přiřazenou systémem nebo uživatelem ze škálovací sady virtuálních počítačů.
- Role Přispěvatel spravované identity pro vytvoření spravované identity přiřazené uživatelem
- Role operátora spravované identity pro přiřazení a odebrání spravované identity přiřazené uživatelem z a do škálovací sady virtuálních počítačů.
Poznámka:

Nevyžaduje se žádné další přiřazení rolí adresáře Microsoft Entra.

Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.
Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.
- Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.
- Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.
- Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

Spravovaná identita přiřazená systémem

V této části se dozvíte, jak povolit a zakázat spravovanou identitu přiřazenou systémem pro škálovací sadu virtuálních počítačů Azure pomocí Azure CLI.

Povolení spravované identity přiřazené systémem během vytváření škálovací sady virtuálních počítačů Azure

Vytvoření škálovací sady virtuálních počítačů s povolenou spravovanou identitou přiřazenou systémem:

Pomocí příkazu az group create vytvořte skupinu prostředků pro omezení a nasazení škálovací sady virtuálních počítačů a souvisejících prostředků. Tento krok můžete přeskočit, pokud už máte skupinu prostředků, kterou chcete použít:
```
az group create --name myResourceGroup --location westus
```
Vytvořte škálovací sadu virtuálních počítačů. Následující příklad vytvoří škálovací sadu virtuálních počítačů s názvem myVMSS se spravovanou identitou přiřazenou systémem, jak požaduje --assign-identity parametr, se zadaným --role parametrem a --scope. Parametry --admin-username a --admin-password určují uživatelské jméno a heslo účtu správce pro přihlášení k virtuálnímu počítači. Aktualizujte tyto hodnoty odpovídajícím způsobem pro vaše prostředí:
```
az vmss create --resource-group myResourceGroup --name myVMSS --image win2016datacenter --upgrade-policy-mode automatic --custom-data cloud-init.txt --admin-username azureuser --admin-password myPassword12 --assign-identity --generate-ssh-keys --role contributor --scope mySubscription
```

Povolení spravované identity přiřazené systémem ve škálovací sadě virtuálních počítačů Azure

Pokud potřebujete povolit spravovanou identitu přiřazenou systémem ve škálovací sadě virtuálních počítačů Azure:

az vmss identity assign -g myResourceGroup -n myVMSS

Zakázání spravované identity přiřazené systémem ze škálovací sady virtuálních počítačů Azure

Pokud máte škálovací sadu virtuálních počítačů, která už nepotřebuje spravovanou identitu přiřazenou systémem, ale přesto potřebuje spravované identity přiřazené uživatelem, použijte následující příkaz:

az vmss update -n myVM -g myResourceGroup --set identity.type='UserAssigned'

Pokud máte virtuální počítač, který už nepotřebuje spravovanou identitu přiřazenou systémem a nemá spravované identity přiřazené uživatelem, použijte následující příkaz:

Poznámka:

V hodnotě none se rozlišují malá a velká písmena. Musí to být malá písmena.

az vmss update -n myVM -g myResourceGroup --set identity.type="none"

Spravovaná identita přiřazená uživatelem

V této části se dozvíte, jak povolit a odebrat spravovanou identitu přiřazenou uživatelem pomocí Azure CLI.

Přiřazení spravované identity přiřazené uživatelem při vytváření škálovací sady virtuálních počítačů

Tato část vás provede vytvořením škálovací sady virtuálních počítačů a přiřazením spravované identity přiřazené uživatelem ke škálovací sadě virtuálních počítačů. Pokud už máte škálovací sadu virtuálních počítačů, kterou chcete použít, přeskočte tuto část a pokračujte k dalšímu.

Tento krok můžete přeskočit, pokud už máte skupinu prostředků, kterou chcete použít. Pomocí příkazu az group create vytvořte skupinu prostředků pro omezení a nasazení spravované identity přiřazené uživatelem. Nezapomeňte nahradit hodnoty parametrů <RESOURCE GROUP> a <LOCATION> vlastními hodnotami. :
```
az group create --name <RESOURCE GROUP> --location <LOCATION>
```
Vytvořte spravovanou identitu přiřazenou uživatelem pomocí příkazu az identity create. Parametr -g určuje skupinu prostředků, ve které se spravovaná identita přiřazená uživatelem vytvoří, a parametr -n určuje její název. Nezapomeňte nahradit hodnoty parametrů <RESOURCE GROUP> a <USER ASSIGNED IDENTITY NAME> vlastními hodnotami:

Důležité

Při vytváření spravovaných identit přiřazených uživatelem musí název začínat písmenem nebo číslem a může obsahovat kombinaci alfanumerických znaků, pomlček (-) a podtržítka (_). Aby přiřazení k virtuálnímu počítači nebo škálovací sadě virtuálních počítačů fungovalo správně, je název omezen na 24 znaků. Další informace najdete v tématu Nejčastější dotazy a známé problémy.
```
az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>
```
Odpověď obsahuje podrobnosti o vytvořené spravované identitě přiřazené uživatelem, podobně jako v následujícím příkladu. Hodnota prostředku id přiřazená spravované identitě přiřazené uživatelem se používá v následujícím kroku.
```
{
     "clientId": "73444643-8088-4d70-9532-c3a0fdc190fz",
     "clientSecretUrl": "https://control-westcentralus.identity.azure.net/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/credentials?tid=5678&oid=9012&aid=73444643-8088-4d70-9532-c3a0fdc190fz",
     "id": "/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>",
     "location": "westcentralus",
     "name": "<USER ASSIGNED IDENTITY NAME>",
     "principalId": "e5fdfdc1-ed84-4d48-8551-fe9fb9dedfll",
     "resourceGroup": "<RESOURCE GROUP>",
     "tags": {},
     "tenantId": "733a8f0e-ec41-4e69-8ad8-971fc4b533bl",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"    
}
```
Vytvořte škálovací sadu virtuálních počítačů. Následující příklad vytvoří škálovací sadu virtuálních počítačů přidruženou k nové spravované identitě přiřazené uživatelem podle parametru --assign-identity se zadaným --role parametrem a --scope. Nezapomeňte nahradit hodnoty parametru <RESOURCE GROUP>, , <PASSWORD><USER ASSIGNED IDENTITY><ROLE><VMSS NAME><USER NAME>a <SUBSCRIPTION> parametru vlastními hodnotami.
```
az vmss create --resource-group <RESOURCE GROUP> --name <VMSS NAME> --image <SKU Linux Image> --admin-username <USER NAME> --admin-password <PASSWORD> --assign-identity <USER ASSIGNED IDENTITY> --role <ROLE> --scope <SUBSCRIPTION>
```

Přiřazení spravované identity přiřazené uživatelem ke stávající škálovací sadě virtuálních počítačů

Vytvořte spravovanou identitu přiřazenou uživatelem pomocí příkazu az identity create. Parametr -g určuje skupinu prostředků, ve které se spravovaná identita přiřazená uživatelem vytvoří, a parametr -n určuje její název. Nezapomeňte nahradit hodnoty parametrů <RESOURCE GROUP> a <USER ASSIGNED IDENTITY NAME> vlastními hodnotami:

az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>

Odpověď obsahuje podrobnosti o vytvořené spravované identitě přiřazené uživatelem, podobně jako v následujícím příkladu.

{
     "clientId": "73444643-8088-4d70-9532-c3a0fdc190fz",
     "clientSecretUrl": "https://control-westcentralus.identity.azure.net/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY >/credentials?tid=5678&oid=9012&aid=73444643-8088-4d70-9532-c3a0fdc190fz",
     "id": "/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY>",
     "location": "westcentralus",
     "name": "<USER ASSIGNED IDENTITY>",
     "principalId": "e5fdfdc1-ed84-4d48-8551-fe9fb9dedfll",
     "resourceGroup": "<RESOURCE GROUP>",
     "tags": {},
     "tenantId": "733a8f0e-ec41-4e69-8ad8-971fc4b533bl",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"    
}

Přiřaďte spravovanou identitu přiřazenou uživatelem ke škálovací sadě virtuálních počítačů. Nezapomeňte nahradit hodnoty parametrů <RESOURCE GROUP> a <VIRTUAL MACHINE SCALE SET NAME> vlastními hodnotami. Jedná se <USER ASSIGNED IDENTITY> o vlastnost prostředku name přiřazené uživatelem, jak je vytvořeno v předchozím kroku:
```
az vmss identity assign -g <RESOURCE GROUP> -n <VIRTUAL MACHINE SCALE SET NAME> --identities <USER ASSIGNED IDENTITY>
```

Odebrání spravované identity přiřazené uživatelem ze škálovací sady virtuálních počítačů Azure

K odebrání spravované identity přiřazené uživatelem ze škálovací sady virtuálních počítačů použijte az vmss identity remove. Pokud se jedná o jedinou spravovanou identitu přiřazenou uživatelem přiřazenou ke škálovací sadě virtuálních počítačů, UserAssigned odebere se z hodnoty typu identity. Nezapomeňte nahradit hodnoty parametrů <RESOURCE GROUP> a <VIRTUAL MACHINE SCALE SET NAME> vlastními hodnotami. Jedná se <USER ASSIGNED IDENTITY> o vlastnost spravované identity name přiřazené uživatelem, kterou najdete v části identit škálovací sady virtuálních počítačů pomocí az vmss identity show:

az vmss identity remove -g <RESOURCE GROUP> -n <VIRTUAL MACHINE SCALE SET NAME> --identities <USER ASSIGNED IDENTITY>

Pokud vaše škálovací sada virtuálních počítačů nemá spravovanou identitu přiřazenou systémem a chcete z ní odebrat všechny spravované identity přiřazené uživatelem, použijte následující příkaz: