Felügyelt identitások konfigurálása Azure-erőforrásokhoz azure-beli virtuálisgép-skálán sablon használatával

Az Azure-erőforrások felügyelt identitásai a Microsoft Entra ID egyik funkciója. Each of the Azure services that support managed identities for Azure resources are subject to their own timeline. Mielőtt nekikezdene, tekintse át az erőforrásához tartozó felügyelt identitások elérhetőségi állapotát, valamint az ismert problémákat.

Az Azure-erőforrásokhoz tartozó kezelt identitások az Azure-szolgáltatásokat automatikusan kezelt identitással látják el a Microsoft Entra ID-ban. Ezt az identitást használhatja a Microsoft Entra hitelesítést támogató bármely szolgáltatáshoz történő hitelesítéshez anélkül, hogy a kódjában hitelesítő adatokkal rendelkezne.

Ebből a cikkből megtudhatja, hogyan hajthatja végre a következő felügyelt identitásokat az Azure-erőforrások műveleteihez egy Azure-beli virtuálisgép-méretezési csoporton az Azure Resource Manager üzembehelyezési sablon használatával:

• A rendszer által hozzárendelt felügyelt identitás engedélyezése és letiltása egy Azure-beli virtuálisgép-méretezési csoportban
• Felhasználó által hozzárendelt felügyelt identitás hozzáadása és eltávolítása egy Azure-beli virtuálisgép-méretezési csoportban

Előfeltételek

• Ha nem ismeri az Azure-erőforrások felügyelt identitását, tekintse meg az áttekintési szakaszt. Mindenképpen tekintse át a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitás közötti különbséget.

• Ha még nincs Azure-fiókja, a folytatás előtt regisztráljon egy ingyenes fiókra.

• A jelen cikkben szereplő felügyeleti műveletek végrehajtásához a fióknak a következő Azure-szerepköralapú hozzáférés-vezérlési hozzárendelésekre van szüksége:

  Megjegyzés:

  Nincs szükség további Microsoft Entra-címtárszerepkör-hozzárendelésekre.

  • Virtuálisgép-közreműködő virtuálisgép-méretezési csoport létrehozásához, valamint rendszer- és/vagy felhasználó által hozzárendelt felügyelt identitás engedélyezéséhez és eltávolításához egy virtuálisgép-méretezési csoportból.
  • Felügyelt identitás-közreműködői szerepkör a felhasználó által hozzárendelt felügyelt identitás létrehozásához.
  • Felügyelt identitáskezelői szerepkör egy felhasználó által hozzárendelt felügyelt identitás hozzárendeléséhez és eltávolításához egy virtuálisgép-méretezési csoportból és azokból.

Azure Resource Manager-sablonok

Az Azure Portalhoz és a szkripteléshez hasonlóan az Azure Resource Manager-sablonok is lehetővé teszik az Azure-erőforráscsoport által meghatározott új vagy módosított erőforrások üzembe helyezését. A sablonszerkesztéshez és az üzembe helyezéshez több lehetőség is rendelkezésre áll, helyi és portálalapú is, például:

• Egyéni sablon használata az Azure Marketplace-ről, amely lehetővé teszi, hogy teljesen új sablont hozzon létre, vagy egy meglévő általános vagy gyorsútmutató-sablonra alapozza.
• Egy meglévő erőforráscsoportból származik, ha egy sablont exportál az eredeti üzembe helyezésből vagy az üzembe helyezés aktuális állapotából.
• Helyi JSON-szerkesztő (például VS Code) használata, majd feltöltés és üzembe helyezés a PowerShell vagy a parancssori felület használatával.
• A Visual Studio Azure Resource Group projekt használatával sablont hozhat létre és helyezhet üzembe.

A választott beállítástól függetlenül a sablon szintaxisa megegyezik a kezdeti üzembe helyezés és az ismételt üzembe helyezés során. Az Azure-erőforrások felügyelt identitásainak engedélyezése egy új vagy meglévő virtuális gépen ugyanúgy történik. Emellett az Azure Resource Manager alapértelmezés szerint növekményes frissítést végez az üzemelő példányokon.

Rendszer által hozzárendelt felügyelt identitás

Ebben a szakaszban egy Azure Resource Manager-sablonnal engedélyezheti és letilthatja a rendszer által hozzárendelt felügyelt identitást.

Rendszer által hozzárendelt felügyelt identitás engedélyezése virtuálisgép-méretezési csoport vagy meglévő virtuálisgép-méretezési csoport létrehozásakor

1. Akár helyileg, akár az Azure Portalon keresztül jelentkezik be az Azure-ba, használjon egy fiókot, amely a virtuálisgép-méretezési csoportot tartalmazó Azure-előfizetéshez van társítva.

2. A rendszer által hozzárendelt felügyelt identitás engedélyezéséhez töltse be a sablont egy szerkesztőbe, keresse meg az erőforrást az Microsoft.Compute/virtualMachinesScaleSets erőforrások szakaszban, és adja hozzá a identity tulajdonságot a "type": "Microsoft.Compute/virtualMachinesScaleSets" tulajdonságtal azonos szinten. Use the following syntax:

   "identity": {
       "type": "SystemAssigned"
   }
   

3. Ha elkészült, a következő szakaszokat kell hozzáadnia a sablon erőforrásszakaszához, és az alábbi példához hasonlónak kell lennie:

    "resources": [
        {
            //other resource provider properties...
            "apiVersion": "2018-06-01",
            "type": "Microsoft.Compute/virtualMachineScaleSets",
            "name": "[variables('vmssName')]",
            "location": "[resourceGroup().location]",
            "identity": {
                "type": "SystemAssigned",
            },
           "properties": {
                //other resource provider properties...
                "virtualMachineProfile": {
                    //other virtual machine profile properties...
   
                }
            }
        }
    ]
   

Rendszer által hozzárendelt felügyelt identitás letiltása egy Azure-beli virtuálisgép-méretezési csoportból

Ha olyan virtuálisgép-méretezési csoporttal rendelkezik, amely már nem igényel rendszer által hozzárendelt felügyelt identitást:

1. Akár helyileg, akár az Azure Portalon keresztül jelentkezik be az Azure-ba, használjon egy fiókot, amely a virtuálisgép-méretezési csoportot tartalmazó Azure-előfizetéshez van társítva.

2. Töltse be a sablont egy szerkesztőbe , és keresse meg a szakaszon belül a Microsoft.Compute/virtualMachineScaleSets fontos erőforrást resources . Ha olyan virtuális gépe van, amely csak rendszer által hozzárendelt felügyelt identitással rendelkezik, letilthatja azt az identitástípus Nonemódosításával.

   Microsoft.Compute/virtualMachineScaleSets API 2018-06-01-es verzió

   Ha az apiVersion és 2018-06-01 a virtuális gép rendszer- és felhasználó által hozzárendelt felügyelt identitásokkal is rendelkezik, távolítsa el SystemAssigned az identitástípust, és tartsa meg UserAssigned a userAssignedIdentities szótár értékeit.

   Microsoft.Compute/virtualMachineScaleSets API 2018-06-01-es verzió

   Ha az apiVersion és 2017-12-01 a virtuálisgép-méretezési csoport rendszer- és felhasználó által hozzárendelt felügyelt identitásokkal is rendelkezik, távolítsa el SystemAssigned az identitástípust, és tartsa meg UserAssigned a identityIds felhasználó által hozzárendelt felügyelt identitások tömbjével együtt.

   Az alábbi példa bemutatja, hogyan távolíthat el egy rendszer által hozzárendelt felügyelt identitást egy felhasználó által hozzárendelt felügyelt identitás nélküli virtuálisgép-méretezési csoportból:

   {
       "name": "[variables('vmssName')]",
       "apiVersion": "2018-06-01",
       "location": "[parameters(Location')]",
       "identity": {
           "type": "None"
        }
   
   }
   

Felhasználó által hozzárendelt felügyelt identitás

Ebben a szakaszban egy felhasználó által hozzárendelt felügyelt identitást rendel egy virtuálisgép-méretezési csoporthoz az Azure Resource Manager-sablon használatával.

Megjegyzés:

Ha felhasználó által hozzárendelt felügyelt identitást szeretne létrehozni egy Azure Resource Manager-sablonnal, olvassa el a felhasználó által hozzárendelt felügyelt identitás létrehozása című témakört.

Felhasználó által hozzárendelt felügyelt identitás hozzárendelése virtuálisgép-méretezési csoporthoz

1. resources Az elem alatt adja hozzá a következő bejegyzést egy felhasználó által hozzárendelt felügyelt identitás hozzárendeléséhez a virtuálisgép-méretezési csoporthoz. Mindenképpen cserélje le <USERASSIGNEDIDENTITY> a létrehozott, felhasználó által hozzárendelt felügyelt identitás nevét.

   Microsoft.Compute/virtualMachineScaleSets API 2018-06-01-es verzió

   Ha az apiVersion az 2018-06-01, a felhasználó által hozzárendelt felügyelt identitások szótárformátumban userAssignedIdentities vannak tárolva, és az <USERASSIGNEDIDENTITYNAME> értéket a sablon szakaszában meghatározott változóban variables kell tárolni.

   {
       "name": "[variables('vmssName')]",
       "apiVersion": "2018-06-01",
       "location": "[parameters(Location')]",
       "identity": {
           "type": "userAssigned",
           "userAssignedIdentities": {
               "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {}
           }
       }
   
   }
   

   Microsoft.Compute/virtualMachineScaleSets API 2017-12-01-es verzió

   Ha az Ön apiVersion vagy 2017-12-01 korábbi, a felhasználó által hozzárendelt felügyelt identitások a identityIds tömbben vannak tárolva, és az <USERASSIGNEDIDENTITYNAME> értéket a sablon változók szakaszában meghatározott változóban kell tárolni.

   {
       "name": "[variables('vmssName')]",
       "apiVersion": "2017-03-30",
       "location": "[parameters(Location')]",
       "identity": {
           "type": "userAssigned",
           "identityIds": [
               "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITY>'))]"
           ]
       }
   }
   

2. Ha elkészült, a sablonnak a következőhöz hasonlóan kell kinéznie:

   Microsoft.Compute/virtualMachineScaleSets API 2018-06-01-es verzió

   "resources": [
        {
            //other resource provider properties...
            "apiVersion": "2018-06-01",
            "type": "Microsoft.Compute/virtualMachineScaleSets",
            "name": "[variables('vmssName')]",
            "location": "[resourceGroup().location]",
            "identity": {
                "type": "UserAssigned",
                "userAssignedIdentities": {
                    "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {}
                }
            },
           "properties": {
                //other virtual machine properties...
                "virtualMachineProfile": {
                    //other virtual machine profile properties...
                }
            }
        }
    ]
   

   Microsoft.Compute/virtualMachines API 2017-12-01-es verzió

   "resources": [
        {
            //other resource provider properties...
            "apiVersion": "2017-12-01",
            "type": "Microsoft.Compute/virtualMachineScaleSets",
            "name": "[variables('vmssName')]",
            "location": "[resourceGroup().location]",
            "identity": {
                "type": "UserAssigned",
                "identityIds": [
                    "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]"
                ]
            },
           "properties": {
                //other virtual machine properties...
                "virtualMachineProfile": {
                    //other virtual machine profile properties...
                }
            }
        }
    ]
   

Felhasználó által hozzárendelt felügyelt identitás eltávolítása azure-beli virtuálisgép-méretezési csoportból

Ha olyan virtuálisgép-méretezési csoporttal rendelkezik, amely már nem igényel felhasználó által hozzárendelt felügyelt identitást:

1. Akár helyileg, akár az Azure Portalon keresztül jelentkezik be az Azure-ba, használjon egy fiókot, amely a virtuálisgép-méretezési csoportot tartalmazó Azure-előfizetéshez van társítva.

2. Töltse be a sablont egy szerkesztőbe , és keresse meg a szakaszon belül a Microsoft.Compute/virtualMachineScaleSets fontos erőforrást resources . Ha olyan virtuálisgép-méretezési csoporttal rendelkezik, amely csak felhasználó által hozzárendelt felügyelt identitással rendelkezik, letilthatja azt az identitástípus Nonemódosításával.

   Az alábbi példa bemutatja, hogyan távolíthat el minden felhasználó által hozzárendelt felügyelt identitást egy rendszer által hozzárendelt felügyelt identitást nem tartalmazó virtuális gépről:

   {
       "name": "[variables('vmssName')]",
       "apiVersion": "2018-06-01",
       "location": "[parameters(Location')]",
       "identity": {
           "type": "None"
        }
   }
   

   Microsoft.Compute/virtualMachineScaleSets API 2018-06-01-es verzió

   Ha egyetlen felhasználó által hozzárendelt felügyelt identitást szeretne eltávolítani egy virtuálisgép-méretezési csoportból, távolítsa el azt a userAssignedIdentities szótárból.

   Ha rendszer által hozzárendelt identitással rendelkezik, tartsa meg az type érték alatt identity .

   Microsoft.Compute/virtualMachineScaleSets API 2017-12-01-es verzió

   Ha egyetlen felhasználó által hozzárendelt felügyelt identitást szeretne eltávolítani egy virtuálisgép-méretezési csoportból, távolítsa el azt a identityIds tömbből.

   Ha rendszer által hozzárendelt felügyelt identitással rendelkezik, tartsa az type érték alatt identity .

További lépések

• Az Azure-erőforrások felügyelt identitásainak áttekintése.