Konfigurace spravovaných identit pro prostředky Azure na virtuálním počítači Azure pomocí šablon
Spravované identity pro prostředky Azure jsou funkcí ID Microsoft Entra. Každá ze služeb Azure, které podporují spravované identity pro prostředky Azure, se řídí vlastní časovou osou. Než začnete, nezapomeňte zkontrolovat stav dostupnosti spravovaných identit pro váš prostředek a známé problémy.
Spravované identity pro prostředky Azure poskytují službám Azure automaticky spravovanou identitu v Microsoft Entra ID. Tuto identitu můžete použít k ověření v jakékoli službě, která podporuje ověřování Microsoft Entra, aniž byste ve vašem kódu museli mít přihlašovací údaje.
V tomto článku se pomocí šablony nasazení Azure Resource Manageru naučíte provádět následující spravované identity pro operace prostředků Azure na virtuálním počítači Azure:
Požadavky
- Pokud neznáte šablonu nasazení Azure Resource Manageru, projděte si část s přehledem. Nezapomeňte zkontrolovat rozdíl mezi spravovanou identitou přiřazenou systémem a přiřazenou uživatelem.
- Pokud ještě nemáte účet Azure, zaregistrujte si bezplatný účet před tím, než budete pokračovat.
Šablony Azure Resource Manageru
Stejně jako u webu Azure Portal a skriptování vám šablony Azure Resource Manageru umožňují nasadit nové nebo upravené prostředky definované skupinou prostředků Azure. Pro úpravy a nasazení šablony je k dispozici několik možností, včetně místních i portálových:
- Pomocí vlastní šablony z Azure Marketplace, která umožňuje vytvořit šablonu úplně od začátku, nebo ji založit na existující společné nebo šabloně rychlého startu.
- Odvozování z existující skupiny prostředků exportováním šablony z původního nasazení nebo z aktuálního stavu nasazení
- Pomocí místního editoru JSON (například VS Code) a následného nahrání a nasazení pomocí PowerShellu nebo rozhraní příkazového řádku.
- K vytvoření a nasazení šablony použijte projekt skupiny prostředků Azure sady Visual Studio.
Bez ohledu na zvolenou možnost je syntaxe šablony stejná při počátečním nasazení a opětovném nasazení. Povolení spravované identity přiřazené systémem nebo uživatelem na novém nebo existujícím virtuálním počítači se provádí stejným způsobem. Azure Resource Manager ve výchozím nastavení provede přírůstkovou aktualizaci nasazení.
Spravovaná identita přiřazená systémem
V této části povolíte a zakážete spravovanou identitu přiřazenou systémem pomocí šablony Azure Resource Manageru.
Povolení spravované identity přiřazené systémem během vytváření virtuálního počítače Azure nebo na existujícím virtuálním počítači
Pokud chcete na virtuálním počítači povolit spravovanou identitu přiřazenou systémem, váš účet potřebuje přiřazení role Přispěvatel virtuálních počítačů. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.
Bez ohledu na to, jestli se přihlásíte k Azure místně nebo přes Azure Portal, použijte účet přidružený k předplatnému Azure, které obsahuje virtuální počítač.
Pokud chcete povolit spravovanou identitu přiřazenou systémem, načtěte šablonu do editoru, vyhledejte
Microsoft.Compute/virtualMachines
prostředek zájmu v oddíluresources
a přidejte"identity"
vlastnost na stejné úrovni jako"type": "Microsoft.Compute/virtualMachines"
vlastnost. Použijte následující syntax:"identity": { "type": "SystemAssigned" },
Až budete hotovi, měly by se do
resource
oddílu šablony přidat následující oddíly, které by měly vypadat přibližně takto:"resources": [ { //other resource provider properties... "apiVersion": "2018-06-01", "type": "Microsoft.Compute/virtualMachines", "name": "[variables('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "SystemAssigned", } } ]
Přiřazení role spravované identity přiřazené systémem virtuálního počítače
Jakmile na virtuálním počítači povolíte spravovanou identitu přiřazenou systémem, můžete jí udělit roli, například přístup čtenáře ke skupině prostředků, ve které byla vytvořena. Podrobné informace, které vám pomůžou s tímto krokem, najdete v článku Přiřazení rolí Azure pomocí šablon Azure Resource Manageru.
Zakázání spravované identity přiřazené systémem z virtuálního počítače Azure
Pokud chcete odebrat spravovanou identitu přiřazenou systémem z virtuálního počítače, váš účet potřebuje přiřazení role Přispěvatel virtuálních počítačů. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.
Bez ohledu na to, jestli se přihlásíte k Azure místně nebo přes Azure Portal, použijte účet přidružený k předplatnému Azure, které obsahuje virtuální počítač.
Načtěte šablonu do editorua vyhledejte
Microsoft.Compute/virtualMachines
prostředek zájmu v oddíluresources
. Pokud máte virtuální počítač, který má pouze spravovanou identitu přiřazenou systémem, můžete ji zakázat změnou typu identity naNone
.Microsoft.Compute/virtualMachines API verze 2018-06-01
Pokud má váš virtuální počítač spravované identity přiřazené systémem i uživatelem, odeberte
SystemAssigned
je z typu identity a ponechteUserAssigned
spolu s hodnotami slovníkuuserAssignedIdentities
.Microsoft.Compute/virtualMachines API verze 2018-06-01
Pokud je
2017-12-01
vášapiVersion
i váš virtuální počítač se spravovanými identitami přiřazenými systémem i uživatelem, odeberteSystemAssigned
z tohoto typu identity pole spravovaných identit přiřazených uživatelem a udržujteUserAssigned
ho spolu sidentityIds
polem spravovaných identit přiřazených uživatelem.
Následující příklad ukazuje, jak odebrat spravovanou identitu přiřazenou systémem z virtuálního počítače bez spravovaných identit přiřazených uživatelem:
{
"apiVersion": "2018-06-01",
"type": "Microsoft.Compute/virtualMachines",
"name": "[parameters('vmName')]",
"location": "[resourceGroup().location]",
"identity": {
"type": "None"
}
}
Spravovaná identita přiřazená uživatelem
V této části přiřadíte spravované identitě přiřazené uživatelem k virtuálnímu počítači Azure pomocí šablony Azure Resource Manageru.
Poznámka:
Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem pomocí šablony Azure Resource Manageru, přečtěte si téma Vytvoření spravované identity přiřazené uživatelem.
Přiřazení spravované identity přiřazené uživatelem k virtuálnímu počítači Azure
Pokud chcete přiřadit identitu přiřazenou uživatelem k virtuálnímu počítači, váš účet potřebuje přiřazení role Operátor spravované identity. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.
resources
Pod element přidejte následující položku pro přiřazení spravované identity přiřazené uživatelem k virtuálnímu počítači. Nezapomeňte nahradit<USERASSIGNEDIDENTITY>
názvem spravované identity přiřazené uživatelem, kterou jste vytvořili.Microsoft.Compute/virtualMachines API verze 2018-06-01
apiVersion
Pokud ano2018-06-01
, spravované identity přiřazené uživatelem se ukládají veuserAssignedIdentities
formátu slovníku a<USERASSIGNEDIDENTITYNAME>
hodnota musí být uložená v proměnné definované vvariables
části šablony.{ "apiVersion": "2018-06-01", "type": "Microsoft.Compute/virtualMachines", "name": "[variables('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "userAssigned", "userAssignedIdentities": { "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {} } } }
Microsoft.Compute/virtualMachines API verze 2017-12-01
apiVersion
Pokud ano2017-12-01
, vaše spravované identity přiřazené uživatelem se ukládají doidentityIds
pole a<USERASSIGNEDIDENTITYNAME>
hodnota musí být uložená v proměnné definované vvariables
části šablony.{ "apiVersion": "2017-12-01", "type": "Microsoft.Compute/virtualMachines", "name": "[variables('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "userAssigned", "identityIds": [ "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]" ] } }
Až budete hotovi, měly by se do
resource
oddílu šablony přidat následující oddíly, které by měly vypadat přibližně takto:Microsoft.Compute/virtualMachines API verze 2018-06-01
"resources": [ { //other resource provider properties... "apiVersion": "2018-06-01", "type": "Microsoft.Compute/virtualMachines", "name": "[variables('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "userAssigned", "userAssignedIdentities": { "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {} } } } ]
Microsoft.Compute/virtualMachines API verze 2017-12-01
"resources": [ { //other resource provider properties... "apiVersion": "2017-12-01", "type": "Microsoft.Compute/virtualMachines", "name": "[variables('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "userAssigned", "identityIds": [ "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]" ] } } ]
Odebrání spravované identity přiřazené uživatelem z virtuálního počítače Azure
Pokud chcete odebrat identitu přiřazenou uživatelem z virtuálního počítače, váš účet potřebuje přiřazení role Přispěvatel virtuálních počítačů. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.
Bez ohledu na to, jestli se přihlásíte k Azure místně nebo přes Azure Portal, použijte účet přidružený k předplatnému Azure, které obsahuje virtuální počítač.
Načtěte šablonu do editorua vyhledejte
Microsoft.Compute/virtualMachines
prostředek zájmu v oddíluresources
. Pokud máte virtuální počítač, který má jenom spravovanou identitu přiřazenou uživatelem, můžete ji zakázat změnou typu identity naNone
.Následující příklad ukazuje, jak odebrat všechny spravované identity přiřazené uživatelem z virtuálního počítače bez spravovaných identit přiřazených systémem:
{ "apiVersion": "2018-06-01", "type": "Microsoft.Compute/virtualMachines", "name": "[parameters('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "None" }, }
Microsoft.Compute/virtualMachines API verze 2018-06-01
Pokud chcete z virtuálního počítače odebrat jednu spravovanou identitu přiřazenou uživatelem, odeberte ji ze slovníku
useraAssignedIdentities
.Pokud máte spravovanou identitu přiřazenou systémem, ponechte ji v
type
hodnotěidentity
pod hodnotou.Microsoft.Compute/virtualMachines API verze 2017-12-01
Pokud chcete z virtuálního počítače odebrat jednu spravovanou identitu přiřazenou uživatelem, odeberte ji z
identityIds
pole.Pokud máte spravovanou identitu přiřazenou systémem, ponechte ji v
type
hodnotěidentity
pod hodnotou.
Další kroky
- Přehled spravovaných identit pro prostředky Azure