Felügyelt identitások konfigurálása Azure-erőforrásokhoz azure-beli virtuális gépen sablonok használatával
Az Azure-erőforrások felügyelt identitásai a Microsoft Entra ID egyik funkciója. Each of the Azure services that support managed identities for Azure resources are subject to their own timeline. Mielőtt nekikezdene, tekintse át az erőforrásához tartozó felügyelt identitások elérhetőségi állapotát, valamint az ismert problémákat.
Az Azure-erőforrásokhoz tartozó kezelt identitások az Azure-szolgáltatásokat automatikusan kezelt identitással látják el a Microsoft Entra ID-ban. Ezt az identitást használhatja a Microsoft Entra hitelesítést támogató bármely szolgáltatáshoz történő hitelesítéshez anélkül, hogy a kódjában hitelesítő adatokkal rendelkezne.
Ebben a cikkben az Azure Resource Manager üzembehelyezési sablon használatával megtudhatja, hogyan hajthatja végre a következő felügyelt identitásokat az Azure-beli erőforrás-műveletekhez egy Azure-beli virtuális gépen:
Előfeltételek
- Ha nem ismeri az Azure Resource Manager üzembehelyezési sablonját, tekintse meg az áttekintési szakaszt. Mindenképpen tekintse át a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitás közötti különbséget.
- Ha még nincs Azure-fiókja, a folytatás előtt regisztráljon egy ingyenes fiókra.
Azure Resource Manager-sablonok
Az Azure Portalhoz és a szkripteléshez hasonlóan az Azure Resource Manager-sablonok lehetővé teszik egy Azure-erőforráscsoport által definiált új vagy módosított erőforrások üzembe helyezését. A sablonszerkesztéshez és az üzembe helyezéshez több lehetőség is rendelkezésre áll, helyi és portálalapú is, például:
- Egyéni sablon használata az Azure Marketplace-ről, amely lehetővé teszi, hogy teljesen új sablont hozzon létre, vagy egy meglévő általános vagy gyorsútmutató-sablonra alapozza.
- Egy meglévő erőforráscsoportból származik, ha egy sablont exportál az eredeti üzembe helyezésből vagy az üzembe helyezés aktuális állapotából.
- Helyi JSON-szerkesztő (például VS Code) használata, majd feltöltés és üzembe helyezés a PowerShell vagy a parancssori felület használatával.
- A Visual Studio Azure Resource Group projekt használatával sablont hozhat létre és helyezhet üzembe.
A választott beállítástól függetlenül a sablon szintaxisa megegyezik a kezdeti üzembe helyezés és az ismételt üzembe helyezés során. A rendszer vagy a felhasználó által hozzárendelt felügyelt identitás engedélyezése egy új vagy meglévő virtuális gépen ugyanúgy történik. Emellett az Azure Resource Manager alapértelmezés szerint növekményes frissítést végez az üzemelő példányokon.
Rendszer által hozzárendelt felügyelt identitás
Ebben a szakaszban egy rendszer által hozzárendelt felügyelt identitást fog engedélyezni és letiltani egy Azure Resource Manager-sablon használatával.
Rendszer által hozzárendelt felügyelt identitás engedélyezése Azure-beli virtuális gép vagy meglévő virtuális gép létrehozása során
A rendszer által hozzárendelt felügyelt identitás virtuális gépen való engedélyezéséhez a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Akár helyileg, akár az Azure Portalon keresztül jelentkezik be az Azure-ba, használjon egy fiókot, amely a virtuális gépet tartalmazó Azure-előfizetéshez van társítva.
A rendszer által hozzárendelt felügyelt identitás engedélyezéséhez töltse be a sablont egy szerkesztőbe, keresse meg a szakaszon belül
resources
azMicrosoft.Compute/virtualMachines
érdeklődésre számot tartó erőforrást, és adja hozzá a"identity"
tulajdonságot a"type": "Microsoft.Compute/virtualMachines"
tulajdonságtal azonos szinten. Use the following syntax:"identity": { "type": "SystemAssigned" },
Ha elkészült, a következő szakaszokat kell hozzáadni a
resource
sablon szakaszához, és az alábbihoz hasonlónak kell lennie:"resources": [ { //other resource provider properties... "apiVersion": "2018-06-01", "type": "Microsoft.Compute/virtualMachines", "name": "[variables('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "SystemAssigned", } } ]
Szerepkör hozzárendelése a virtuális gép rendszer által hozzárendelt felügyelt identitásához
Miután engedélyezte a rendszer által hozzárendelt felügyelt identitást a virtuális gépen, érdemes lehet egy olyan szerepkört biztosítani neki, mint például olvasói hozzáférést ahhoz az erőforráscsoporthoz, amelyben létrejött. Ebben a lépésben részletes információkat talál az Azure-szerepkörök hozzárendelése Azure Resource Manager-sablonok használatával című cikkben.
Rendszer által hozzárendelt felügyelt identitás letiltása Egy Azure-beli virtuális gépről
A rendszer által hozzárendelt felügyelt identitás virtuális gépről való eltávolításához a fióknak szüksége van a virtuálisgép-közreműködői szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Akár helyileg, akár az Azure Portalon keresztül jelentkezik be az Azure-ba, használjon egy fiókot, amely a virtuális gépet tartalmazó Azure-előfizetéshez van társítva.
Töltse be a sablont egy szerkesztőbe , és keresse meg a szakaszon belül a
Microsoft.Compute/virtualMachines
fontos erőforrástresources
. Ha olyan virtuális gépe van, amely csak rendszer által hozzárendelt felügyelt identitással rendelkezik, letilthatja azt az identitástípusNone
módosításával.Microsoft.Compute/virtualMachines API 2018-06-01-es verzió
Ha a virtuális gép rendszer- és felhasználó által hozzárendelt felügyelt identitásokkal is rendelkezik, távolítsa el
SystemAssigned
az identitástípust, és tartsa megUserAssigned
auserAssignedIdentities
szótár értékeit.Microsoft.Compute/virtualMachines API 2018-06-01-es verzió
Ha az
2017-12-01
ÖnapiVersion
és a virtuális gép egyaránt rendelkezik rendszer- és felhasználó által hozzárendelt felügyelt identitásokkal, távolítsa elSystemAssigned
az identitástípust, és tartsa megUserAssigned
aidentityIds
felhasználó által hozzárendelt felügyelt identitások tömbjével együtt.
Az alábbi példa bemutatja, hogyan távolíthat el egy rendszer által hozzárendelt felügyelt identitást egy felhasználó által hozzárendelt felügyelt identitás nélküli virtuális gépről:
{
"apiVersion": "2018-06-01",
"type": "Microsoft.Compute/virtualMachines",
"name": "[parameters('vmName')]",
"location": "[resourceGroup().location]",
"identity": {
"type": "None"
}
}
Felhasználó által hozzárendelt felügyelt identitás
Ebben a szakaszban egy felhasználó által hozzárendelt felügyelt identitást rendel egy Azure-beli virtuális géphez Azure Resource Manager-sablonnal.
Megjegyzés:
Ha felhasználó által hozzárendelt felügyelt identitást szeretne létrehozni egy Azure Resource Manager-sablonnal, olvassa el a felhasználó által hozzárendelt felügyelt identitás létrehozása című témakört.
Felhasználó által hozzárendelt felügyelt identitás hozzárendelése azure-beli virtuális géphez
Ha felhasználó által hozzárendelt identitást szeretne hozzárendelni egy virtuális géphez, a fióknak szüksége van a Felügyelt identitáskezelő szerepkör-hozzárendelésre. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
resources
Az elem alatt adja hozzá a következő bejegyzést a felhasználó által hozzárendelt felügyelt identitás virtuális géphez való hozzárendeléséhez. Mindenképpen cserélje le<USERASSIGNEDIDENTITY>
a létrehozott, felhasználó által hozzárendelt felügyelt identitás nevét.Microsoft.Compute/virtualMachines API 2018-06-01-es verzió
apiVersion
Ha igen2018-06-01
, a felhasználó által hozzárendelt felügyelt identitások szótárformátumbanuserAssignedIdentities
vannak tárolva, és az<USERASSIGNEDIDENTITYNAME>
értéket a sablon szakaszában meghatározott változóbanvariables
kell tárolni.{ "apiVersion": "2018-06-01", "type": "Microsoft.Compute/virtualMachines", "name": "[variables('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "userAssigned", "userAssignedIdentities": { "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {} } } }
Microsoft.Compute/virtualMachines API 2017-12-01-es verzió
Ha igen
apiVersion
2017-12-01
, a felhasználó által hozzárendelt felügyelt identitásokat aidentityIds
tömb tárolja, az<USERASSIGNEDIDENTITYNAME>
értéket pedig avariables
sablon szakaszában meghatározott változóban kell tárolni.{ "apiVersion": "2017-12-01", "type": "Microsoft.Compute/virtualMachines", "name": "[variables('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "userAssigned", "identityIds": [ "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]" ] } }
Ha elkészült, a következő szakaszokat kell hozzáadni a
resource
sablon szakaszához, és az alábbihoz hasonlónak kell lennie:Microsoft.Compute/virtualMachines API 2018-06-01-es verzió
"resources": [ { //other resource provider properties... "apiVersion": "2018-06-01", "type": "Microsoft.Compute/virtualMachines", "name": "[variables('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "userAssigned", "userAssignedIdentities": { "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {} } } } ]
Microsoft.Compute/virtualMachines API 2017-12-01-es verzió
"resources": [ { //other resource provider properties... "apiVersion": "2017-12-01", "type": "Microsoft.Compute/virtualMachines", "name": "[variables('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "userAssigned", "identityIds": [ "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]" ] } } ]
Felhasználó által hozzárendelt felügyelt identitás eltávolítása egy Azure-beli virtuális gépről
Ha el szeretne távolítani egy felhasználó által hozzárendelt identitást egy virtuális gépről, a fióknak szüksége van a virtuális gép közreműködői szerepkör-hozzárendelésére. Nincs szükség más Microsoft Entra címtárszerepkör-hozzárendelésre.
Akár helyileg, akár az Azure Portalon keresztül jelentkezik be az Azure-ba, használjon egy fiókot, amely a virtuális gépet tartalmazó Azure-előfizetéshez van társítva.
Töltse be a sablont egy szerkesztőbe , és keresse meg a szakaszon belül a
Microsoft.Compute/virtualMachines
fontos erőforrástresources
. Ha olyan virtuális géppel rendelkezik, amely csak felhasználó által hozzárendelt felügyelt identitással rendelkezik, letilthatja azt az identitástípusNone
módosításával.Az alábbi példa bemutatja, hogyan távolíthat el minden felhasználó által hozzárendelt felügyelt identitást egy rendszer által hozzárendelt felügyelt identitást nem tartalmazó virtuális gépről:
{ "apiVersion": "2018-06-01", "type": "Microsoft.Compute/virtualMachines", "name": "[parameters('vmName')]", "location": "[resourceGroup().location]", "identity": { "type": "None" }, }
Microsoft.Compute/virtualMachines API 2018-06-01-es verzió
Ha egyetlen felhasználó által hozzárendelt felügyelt identitást szeretne eltávolítani egy virtuális gépről, távolítsa el azt a
useraAssignedIdentities
szótárból.Ha rendszer által hozzárendelt felügyelt identitással rendelkezik, tartsa az
type
érték alattidentity
.Microsoft.Compute/virtualMachines API 2017-12-01-es verzió
Ha egyetlen felhasználó által hozzárendelt felügyelt identitást szeretne eltávolítani egy virtuális gépről, távolítsa el azt a
identityIds
tömbből.Ha rendszer által hozzárendelt felügyelt identitással rendelkezik, tartsa az
type
érték alattidentity
.