Felügyelt identitások konfigurálása Azure-erőforrásokhoz azure-beli virtuális gépen az Azure CLI használatával

Az Azure-erőforrások felügyelt identitásai a Microsoft Entra ID egyik funkciója. Each of the Azure services that support managed identities for Azure resources are subject to their own timeline. Mielőtt nekikezdene, tekintse át az erőforrásához tartozó felügyelt identitások elérhetőségi állapotát, valamint az ismert problémákat.

Az Azure-erőforrásokhoz tartozó kezelt identitások az Azure-szolgáltatásokat automatikusan kezelt identitással látják el a Microsoft Entra ID-ban. Ezzel az identitással hitelesítést végezhet bármely olyan szolgáltatásban, amely támogatja a Microsoft Entra-hitelesítést anélkül, hogy hitelesítő adatokkal kellene rendelkeznie a kódban.

Ebben a cikkben az Azure CLI használatával megtudhatja, hogyan hajthatja végre a következő felügyelt identitásokat az Azure-beli erőforrás-műveletekhez egy Azure-beli virtuális gépen:

• A rendszer által hozzárendelt felügyelt identitás engedélyezése és letiltása egy Azure-beli virtuális gépen
• Felhasználó által hozzárendelt felügyelt identitás hozzáadása és eltávolítása Egy Azure-beli virtuális gépen

Ha még nincs Azure-fiókja, a folytatás előtt regisztráljon egy ingyenes fiókra.

Előfeltételek

• Ha nem ismeri az Azure-erőforrások felügyelt identitását, olvassa el az Azure-erőforrások felügyelt identitásai című témakört. A rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitástípusokról a Felügyelt identitástípusok című témakörben olvashat.

• Használja a Bash-környezetet az Azure Cloud Shellben. További információ: A Bash rövid útmutatója az Azure Cloud Shellben.

  

• Ha inkább helyi cli-referenciaparancsokat szeretne futtatni, telepítse az Azure CLI-t. Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.

  • Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd : Bejelentkezés az Azure CLI-vel.

  • Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata az Azure CLI-vel.

  • Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.

Rendszer által hozzárendelt felügyelt identitás

Ebben a szakaszban megtudhatja, hogyan engedélyezheti és tilthatja le a rendszer által hozzárendelt felügyelt identitást egy Azure-beli virtuális gépen az Azure CLI használatával.

Rendszer által hozzárendelt felügyelt identitás engedélyezése azure-beli virtuális gép létrehozásakor

Ahhoz, hogy azure-beli virtuális gépet hozzon létre, amelyen engedélyezve van a rendszer által hozzárendelt felügyelt identitás, a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

1. Az az group create paranccsal hozzon létre egy erőforráscsoportot a virtuális gép és az ahhoz kapcsolódó erőforrások elkülönítéséhez és üzembe helyezéséhez. Ezt a lépést kihagyhatja, ha inkább egy meglévő erőforráscsoportot kíván használni:

   az group create --name myResourceGroup --location westus
   

2. Hozzon létre egy virtuális gépet az az vm create paranccsal. Az alábbi példa létrehoz egy myVM nevű virtuális gépet egy rendszer által hozzárendelt felügyelt identitással, a --assign-identity paraméter kérésének megfelelően, a megadott --role és --scopea . Az --admin-username és --admin-password paraméterek adják meg a virtuális gép bejelentkeztetéséhez tartozó rendszergazdanevet és -jelszót. A környezetnek megfelelően frissítse ezeket az értékeket:

   az vm create --resource-group myResourceGroup --name myVM --image win2016datacenter --generate-ssh-keys --assign-identity --role contributor --scope mySubscription --admin-username azureuser --admin-password myPassword12
   

Rendszer által hozzárendelt felügyelt identitás engedélyezése meglévő Azure-beli virtuális gépen

A rendszer által hozzárendelt felügyelt identitás virtuális gépen való engedélyezéséhez a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

1. Ha az Azure CLI-t helyi konzolban használja, akkor először az az login paranccsal jelentkezzen be az Azure-ba. Használjon egy fiókot, amely a virtuális gépet tartalmazó Azure-előfizetéshez van társítva.

   az login
   

2. Használja az az vm identity assign with the identity assign command enable the system-assigned identity to a existing vm:

   az vm identity assign -g myResourceGroup -n myVm
   

Rendszer által hozzárendelt identitás letiltása Azure-beli virtuális gépről

Ha le szeretné tiltani a rendszer által hozzárendelt felügyelt identitást egy virtuális gépen, a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

Ha olyan virtuális gépe van, amelyre már nincs szüksége a rendszer által hozzárendelt identitásra, de továbbra is felhasználó által hozzárendelt identitásra van szüksége, használja a következő parancsot:

az vm update -n myVM -g myResourceGroup --set identity.type='UserAssigned' 

Ha olyan virtuális gépe van, amelynek már nincs szüksége rendszer által hozzárendelt identitásra, és nincs felhasználó által hozzárendelt identitása, használja a következő parancsot:

Megjegyzés:

Az érték none megkülönbözteti a kis- és nagybetűk értékét. Kisbetűsnek kell lennie.

az vm update -n myVM -g myResourceGroup --set identity.type="none"

Felhasználó által hozzárendelt felügyelt identitás

Ebben a szakaszban megtudhatja, hogyan vehet fel és távolíthat el felhasználó által hozzárendelt felügyelt identitást egy Azure-beli virtuális gépről az Azure CLI használatával. Ha a felhasználó által hozzárendelt felügyelt identitást egy másik RG-ben hozza létre, mint a virtuális gép. A felügyelt identitás URL-címével kell hozzárendelnie azt a virtuális géphez. Például:

--identities "/subscriptions/<SUBID>/resourcegroups/<RESROURCEGROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER_ASSIGNED_ID_NAME>"

Felhasználó által hozzárendelt felügyelt identitás hozzárendelése egy Azure-beli virtuális gép létrehozása során

Ha a létrehozása során felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a virtuálisgép-közreműködői és a felügyelt identitáskezelői szerepkör-hozzárendelésekre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

1. Ezt a lépést kihagyhatja, ha már van egy használni kívánt erőforráscsoportja. Hozzon létre egy erőforráscsoportot a felhasználó által hozzárendelt felügyelt identitás elszigeteléséhez és üzembe helyezéséhez az az group create használatával. Ne felejtse el a <RESOURCE GROUP> és <LOCATION> paraméterek értékeit a saját értékeire cserélni. :

   az group create --name <RESOURCE GROUP> --location <LOCATION>
   

2. Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást az az identity create paranccsal. A -g paraméter adja meg azt az erőforráscsoportot, amelyben a felhasználó által hozzárendelt felügyelt identitás létre lesz hozva, a -n paraméter pedig annak nevét határozza meg.

   Fontos

   Felhasználó által hozzárendelt felügyelt identitások létrehozásakor csak az alfanumerikus karakterek (0-9, a-z és A-Z) és a kötőjel (-) támogatottak. Ahhoz, hogy a virtuális géphez vagy a virtuálisgép-méretezési csoporthoz való hozzárendelés megfelelően működjön, a név legfeljebb 24 karakter hosszúságú lehet. További információkért lásd a gyakori kérdéseket és az ismert problémákat.

   az identity create -g myResourceGroup -n myUserAssignedIdentity
   

   A válasz az alábbiakhoz hasonlóan tartalmazza a felhasználó által hozzárendelt felügyelt identitás részleteit. A felhasználó által hozzárendelt felügyelt identitáshoz rendelt erőforrás-azonosító értékét a következő lépésben használjuk.

   {
       "clientId": "73444643-8088-4d70-9532-c3a0fdc190fz",
       "clientSecretUrl": "https://control-westcentralus.identity.azure.net/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<myUserAssignedIdentity>/credentials?tid=5678&oid=9012&aid=73444643-8088-4d70-9532-c3a0fdc190fz",
       "id": "/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>",
       "location": "westcentralus",
       "name": "<USER ASSIGNED IDENTITY NAME>",
       "principalId": "e5fdfdc1-ed84-4d48-8551-fe9fb9dedfll",
       "resourceGroup": "<RESOURCE GROUP>",
       "tags": {},
       "tenantId": "733a8f0e-ec41-4e69-8ad8-971fc4b533bl",
       "type": "Microsoft.ManagedIdentity/userAssignedIdentities"    
   }
   

3. Hozzon létre egy virtuális gépet az az vm create paranccsal. Az alábbi példa létrehoz egy, a paraméter által --assign-identity megadott új, felhasználó által hozzárendelt identitáshoz társított virtuális gépet a megadott --role és --scopea . Mindenképpen cserélje le a <RESOURCE GROUP>, <VM NAME>, , <PASSWORD><USER NAME>, <USER ASSIGNED IDENTITY NAME>, , <ROLE>és <SUBSCRIPTION> paraméterértékeket a saját értékeire.

   az vm create --resource-group <RESOURCE GROUP> --name <VM NAME> --image <SKU linux image>  --admin-username <USER NAME> --admin-password <PASSWORD> --assign-identity <USER ASSIGNED IDENTITY NAME> --role <ROLE> --scope <SUBSCRIPTION> 
   

Felhasználó által hozzárendelt felügyelt identitás hozzárendelése meglévő Azure-beli virtuális géphez

Ha felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a virtuálisgép-közreműködői és a felügyelt identitáskezelői szerepkör-hozzárendelésekre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.

1. Hozzon létre egy felhasználóhoz rendelt identitást az az identity create paranccsal. A -g paraméter megadja azt az erőforráscsoportot, ahol a felhasználó által hozzárendelt identitás létrejön, és a paraméter megadja a -n nevét. Ne felejtse el a <RESOURCE GROUP> és <USER ASSIGNED IDENTITY NAME> paraméterek értékeit a saját értékeire cserélni:

   Fontos

   A felhasználó által hozzárendelt, speciális karakterekkel (azaz aláhúzásjellel) rendelkező felügyelt identitások létrehozása jelenleg nem támogatott. Használjon alfanumerikus karaktereket. Térjen vissza frissítésekért. További információkért lásd a gyakori kérdéseket és az ismert problémákat

   az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>
   

   A válasz az alábbiakhoz hasonlóan tartalmazza a felhasználó által hozzárendelt felügyelt identitás részleteit.

   {
     "clientId": "73444643-8088-4d70-9532-c3a0fdc190fz",
     "clientSecretUrl": "https://control-westcentralus.identity.azure.net/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/credentials?tid=5678&oid=9012&aid=73444643-8088-4d70-9532-c3a0fdc190fz",
     "id": "/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>",
     "location": "westcentralus",
     "name": "<USER ASSIGNED IDENTITY NAME>",
     "principalId": "e5fdfdc1-ed84-4d48-8551-fe9fb9dedfll",
     "resourceGroup": "<RESOURCE GROUP>",
     "tags": {},
     "tenantId": "733a8f0e-ec41-4e69-8ad8-971fc4b533bl",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"    
   }
   

2. Rendelje hozzá a felhasználó által hozzárendelt identitást a virtuális géphez az az vm identity assign használatával. Ne felejtse el a <RESOURCE GROUP> és <VM NAME> paraméterek értékeit a saját értékeire cserélni. Ez <USER ASSIGNED IDENTITY NAME> a felhasználó által hozzárendelt felügyelt identitás erőforrás-tulajdonsága name az előző lépésben létrehozott módon. Ha a felhasználó által hozzárendelt felügyelt identitást egy másik RG-ben hozta létre, mint a virtuális gép. A felügyelt identitás URL-címét kell használnia.

   az vm identity assign -g <RESOURCE GROUP> -n <VM NAME> --identities <USER ASSIGNED IDENTITY>
   

Felhasználó által hozzárendelt felügyelt identitás eltávolítása egy Azure-beli virtuális gépről

Ha el szeretne távolítani egy felhasználó által hozzárendelt identitást egy virtuális gépről, a fióknak szüksége van a virtuális gép közreműködői szerepkör-hozzárendelésére.

Ha ez az egyetlen, a virtuális géphez hozzárendelt felhasználó által hozzárendelt felügyelt identitás, UserAssigned akkor a rendszer eltávolítja az identitástípus értékét. Ne felejtse el a <RESOURCE GROUP> és <VM NAME> paraméterek értékeit a saját értékeire cserélni. Ez <USER ASSIGNED IDENTITY> lesz a felhasználó által hozzárendelt identitástulajdonság name , amely a virtuális gép identitásszakaszában található a következő használatával az vm identity show:

az vm identity remove -g <RESOURCE GROUP> -n <VM NAME> --identities <USER ASSIGNED IDENTITY>

Ha a virtuális gép nem rendelkezik rendszer által hozzárendelt felügyelt identitással, és el szeretné távolítani belőle az összes felhasználó által hozzárendelt identitást, használja a következő parancsot:

Megjegyzés:

Az érték none megkülönbözteti a kis- és nagybetűk értékét. Kisbetűsnek kell lennie.

az vm update -n myVM -g myResourceGroup --set identity.type="none" identity.userAssignedIdentities=null

Ha a virtuális gép rendszer által hozzárendelt és felhasználó által hozzárendelt identitásokkal is rendelkezik, a felhasználó által hozzárendelt összes identitást eltávolíthatja úgy, hogy csak a rendszer által hozzárendelt identitást használja. Használja az alábbi parancsot:

az vm update -n myVM -g myResourceGroup --set identity.type='SystemAssigned' identity.userAssignedIdentities=null 

Következő lépések

• Felügyelt identitások az Azure-erőforrásokhoz – áttekintés
• Az Azure-beli virtuális gépek létrehozásának rövid útmutatói:
  • Windows rendszerű virtuális gép létrehozása parancssori felülettel
  • Linux rendszerű virtuális gép létrehozása parancssori felülettel