Asignación de un acceso de identidad administrada a un recurso mediante PowerShell

Identidades administradas para recursos de Azure es una característica de Microsoft Entra ID. Cada servicio de Azure compatible con Managed Identities for Azure Resources está sujeto a su propia escala de tiempo. Asegúrese de revisar el estado de disponibilidad de las identidades administradas para el recurso y los problemas conocidos antes de comenzar.

Una vez que haya configurado un recurso de Azure con una identidad administrada, puede dar acceso de identidad administrada a otro recurso, al igual que cualquier entidad de seguridad. En este ejemplo se muestra cómo otorgar acceso de identidad administrada a una máquina virtual de Azure para una cuenta de almacenamiento de Azure, mediante PowerShell.

Nota:

Se recomienda usar el módulo Azure Az de PowerShell para interactuar con Azure. Consulte Instalación de Azure PowerShell para empezar. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.

Requisitos previos

• Si no está familiarizado con las identidades administradas de los recursos de Azure, consulte la sección de introducción. No olvide revisar la diferencia entre una identidad administrada asignada por el sistema y una identidad administrada asignada por el usuario .
• Si aún no tiene una cuenta de Azure, regístrese para una cuenta gratuita antes de continuar.
• Para ejecutar los scripts de ejemplo, tiene dos opciones:
  • Use el servicio Azure Cloud Shell, que puede abrir mediante el botón Probar, ubicado en la esquina superior derecha de los bloques de código.
  • Ejecute scripts localmente instalando la versión más reciente de Azure PowerShell y, a continuación, inicie sesión en Azure con Connect-AzAccount.

Uso de RBAC de Azure para asignar el acceso de una identidad administrada a otro recurso

1. Habilite la identidad administrada en un recurso de Azure, como una máquina virtual de Azure.

2. En este ejemplo, vamos a dar a una máquina virtual de Azure acceso a una cuenta de almacenamiento. En primer lugar, se usa Get-AzVM para obtener la entidad de servicio para la máquina virtual denominada myVM, que se creó cuando se habilitó la identidad administrada. A continuación, usamos New-AzRoleAssignment para conceder a la máquina virtual acceso de lectura a una cuenta de almacenamiento denominada myStorageAcct:

   $spID = (Get-AzVM -ResourceGroupName myRG -Name myVM).identity.principalid
   New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Reader" -Scope "/subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/<myStorageAcct>"
   

Pasos siguientes

• Identidades administradas de recursos de Azure
• Para habilitar la identidad administrada de una máquina virtual de Azure, consulte Configuración de identidades administradas de recursos de Azure en una VM de Azure mediante PowerShell.