Mengonfigurasi identitas terkelola untuk sumber daya Azure di kumpulan skala komputer virtual menggunakan Azure CLI
Identitas terkelola untuk sumber daya Azure adalah fitur ID Microsoft Entra. Setiap layanan Azure yang mendukung identitas terkelola untuk sumber daya Azure tunduk pada garis waktu mereka masing-masing. Pastikan Anda meninjau status ketersediaan identitas terkelola untuk sumber daya dan masalah yang diketahui sebelum Anda memulai.
Identitas terkelola untuk sumber daya Azure memberikan layanan Azure identitas terkelola otomatis di Microsoft Entra ID. Anda dapat menggunakan identitas ini untuk mengautentikasi tiap layanan yang mendukung autentikasi Microsoft Entra, tanpa memiliki kredensial dalam kode Anda.
Dalam artikel ini, Anda mempelajari cara menjalankan identitas terkelola berikut untuk operasi sumber daya Azure di kumpulan skala komputer virtual Azure, menggunakan Azure CLI:
- Mengaktifkan dan menonaktifkan identitas terkelola yang ditetapkan sistem di kumpulan skala komputer virtual Azure
- Tambahkan dan hapus identitas terkelola yang ditetapkan pengguna pada kumpulan skala komputer virtual
Jika Anda belum memiliki akun Azure, daftar untuk mendapatkan akun gratis sebelum melanjutkan.
Prasyarat
Jika Anda asing dengan identitas terkelola untuk sumber daya Azure, lihat Apa itu identitas terkelola untuk sumber daya Azure?. Untuk mempelajari jenis identitas terkelola yang ditetapkan sistem dan yang ditetapkan pengguna, lihat Jenis identitas terkelola.
Untuk melakukan operasi manajemen dalam artikel ini, akun Anda memerlukan penetapan kontrol akses berbasis peran Azure berikut ini:
Kontributor Komputer Virtual untuk membuat kumpulan skala komputer virtual dan mengaktifkan serta menghapus identitas terkelola yang ditetapkan sistem dan/atau pengguna dari kumpulan skala komputer virtual.
Peran Kontributor Identitas Terkelola untuk membuat identitas terkelola yang ditetapkan pengguna.
Peran Operator Identitas Terkelola untuk menetapkan dan menghapus identitas terkelola yang ditetapkan pengguna dari dan ke kumpulan skala komputer virtual.
Catatan
Tidak diperlukan penetapan peran direktori Microsoft Entra tambahan.
Gunakan lingkungan Bash di Azure Cloud Shell. Untuk informasi selengkapnya, lihat Mulai Cepat untuk Bash di Azure Cloud Shell.
Jika Anda lebih suka menjalankan perintah referensi CLI secara lokal, instal Azure CLI. Jika Anda menjalankan Windows atau macOS, pertimbangkan untuk menjalankan Azure CLI dalam kontainer Docker. Untuk informasi lebih lanjut, lihat Cara menjalankan Azure CLI di kontainer Docker.
Jika Anda menggunakan instalasi lokal, masuk ke Azure CLI dengan menggunakan perintah login az. Untuk menyelesaikan proses autentikasi, ikuti langkah-langkah yang ditampilkan di terminal Anda. Untuk opsi masuk lainnya, lihat Masuk dengan Azure CLI.
Saat Anda diminta, instal ekstensi Azure CLI pada penggunaan pertama. Untuk informasi selengkapnya tentang ekstensi, lihat Menggunakan ekstensi dengan Azure CLI.
Jalankan versi az untuk menemukan versi dan pustaka dependen yang diinstal. Untuk meningkatkan ke versi terbaru, jalankan peningkatan az.
Identitas terkelola yang ditetapkan sistem
Di bagian ini, Anda mempelajari cara mengaktifkan dan menonaktifkan identitas terkelola yang ditetapkan sistem untuk kumpulan skala komputer virtual Azure menggunakan Azure CLI.
Mengaktifkan identitas terkelola yang ditetapkan sistem selama pembuatan kumpulan skala komputer virtual Azure
Untuk membuat kumpulan skala komputer virtual dengan identitas terkelola yang ditetapkan sistem yang diaktifkan:
Buat grup sumber daya untuk penahanan dan penyebaran kumpulan skala komputer virtual Anda dan sumber daya terkaitnya, menggunakan az group create. Anda dapat melewati langkah ini jika sudah memiliki grup sumber daya yang ingin Anda gunakan sebagai gantinya:
az group create --name myResourceGroup --location westus
Buat kumpulan skala komputer virtual. Contoh berikut membuat set skala mesin virtual bernama myVMSS dengan identitas terkelola yang ditetapkan sistem, seperti yang diminta oleh parameter
--assign-identity
, dengan--role
dan--scope
yang ditentukan. Parameter--admin-username
dan--admin-password
menentukan nama pengguna administratif dan akun kata sandi untuk masuk komputer virtual. Perbarui nilai ini sebagaimana mestinya untuk lingkungan Anda:az vmss create --resource-group myResourceGroup --name myVMSS --image win2016datacenter --upgrade-policy-mode automatic --custom-data cloud-init.txt --admin-username azureuser --admin-password myPassword12 --assign-identity --generate-ssh-keys --role contributor --scope mySubscription
Mengaktifkan identitas terkelola yang ditetapkan sistem di kumpulan skala komputer virtual Azure
Jika Anda perlu Mengaktifkan identitas terkelola yang ditetapkan sistem di kumpulan skala komputer virtual Azure yang ada:
az vmss identity assign -g myResourceGroup -n myVMSS
Menonaktifkan identitas terkelola yang ditetapkan sistem dari kumpulan skala komputer virtual Azure
Jika Anda memiliki kumpulan skala komputer virtual yang tidak lagi memerlukan identitas terkelola yang ditetapkan sistem, tetapi masih memerlukan identitas terkelola yang ditetapkan pengguna, gunakan perintah berikut:
az vmss update -n myVM -g myResourceGroup --set identity.type='UserAssigned'
Jika Anda memiliki komputer virtual yang tidak lagi memerlukan identitas terkelola yang ditetapkan sistem dan tidak memiliki identitas terkelola yang ditetapkan pengguna, gunakan perintah berikut:
Catatan
Nilai none
peka huruf besar/kecil. Harus huruf kecil.
az vmss update -n myVM -g myResourceGroup --set identity.type="none"
Identitas terkelola yang ditetapkan pengguna
Di bagian ini, Anda mempelajari cara mengaktifkan dan menghapus identitas terkelola yang ditetapkan pengguna menggunakan Azure CLI.
Menetapkan identitas terkelola yang ditetapkan sistem selama pembuatan kumpulan skala komputer virtual
Bagian ini memandu Anda melalui pembuatan kumpulan skala komputer virtual dan penugasan identitas terkelola yang ditetapkan pengguna ke kumpulan skala komputer virtual. Jika sudah memiliki kumpulan skala komputer virtual yang ingin Anda gunakan, lewati bagian ini dan lanjutkan ke bagian berikutnya.
Anda dapat melewati langkah ini jika sudah memiliki grup sumber daya yang ingin Anda gunakan. Buat grup sumber daya untuk penahanan dan penyebaran identitas terkelola yang ditetapkan pengguna Anda, menggunakan az group create. Pastikan untuk mengganti nilai parameter
<RESOURCE GROUP>
dan<LOCATION>
dengan nilai Anda sendiri. :az group create --name <RESOURCE GROUP> --location <LOCATION>
Buat identitas terkelola yang ditetapkan pengguna menggunakan buat identitas az. Parameter
-g
menentukan grup sumber daya tempat identitas terkelola yang ditetapkan pengguna dibuat, dan parameter-n
menentukan namanya. Pastikan untuk mengganti nilai parameter<RESOURCE GROUP>
dan<USER ASSIGNED IDENTITY NAME>
dengan nilai Anda sendiri:Penting
Saat Anda membuat identitas terkelola yang ditetapkan pengguna, nama harus dimulai dengan huruf atau angka, dan dapat menyertakan kombinasi karakter alfanumerik, tanda hubung (-) dan garis bawah (_). Untuk penugasan ke komputer virtual atau skala komputer virtual yang diatur agar berfungsi dengan baik, namanya dibatasi hingga 24 karakter. Untuk informasi selengkapnya, lihat Tanya Jawab Umum dan masalah yang sering ditanyakan.
az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>
Respons berisi detail untuk identitas terkelola yang ditetapkan pengguna yang telah dibuat, serupa dengan yang berikut. Nilai sumber daya
id
yang ditetapkan ke identitas terkelola yang ditetapkan pengguna digunakan dalam langkah berikut.{ "clientId": "73444643-8088-4d70-9532-c3a0fdc190fz", "clientSecretUrl": "https://control-westcentralus.identity.azure.net/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/credentials?tid=5678&oid=9012&aid=73444643-8088-4d70-9532-c3a0fdc190fz", "id": "/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>", "location": "westcentralus", "name": "<USER ASSIGNED IDENTITY NAME>", "principalId": "e5fdfdc1-ed84-4d48-8551-fe9fb9dedfll", "resourceGroup": "<RESOURCE GROUP>", "tags": {}, "tenantId": "733a8f0e-ec41-4e69-8ad8-971fc4b533bl", "type": "Microsoft.ManagedIdentity/userAssignedIdentities" }
Buat kumpulan skala komputer virtual. Contoh berikut membuat set skala mesin virtual yang terkait dengan identitas terkelola yang ditetapkan pengguna baru, seperti yang ditentukan oleh parameter
--assign-identity
, dengan--role
dan--scope
yang ditentukan. Pastikan untuk mengganti nilai parameter<RESOURCE GROUP>
,<VMSS NAME>
,<USER NAME>
,<PASSWORD>
,<USER ASSIGNED IDENTITY>
,<ROLE>
, dan<SUBSCRIPTION>
dengan nilai Anda sendiri.az vmss create --resource-group <RESOURCE GROUP> --name <VMSS NAME> --image <SKU Linux Image> --admin-username <USER NAME> --admin-password <PASSWORD> --assign-identity <USER ASSIGNED IDENTITY> --role <ROLE> --scope <SUBSCRIPTION>
Menetapkan identitas terkelola yang ditetapkan pengguna ke kumpulan skala komputer virtual yang ada
Buat identitas terkelola yang ditetapkan pengguna menggunakan buat identitas az. Parameter
-g
menentukan grup sumber daya tempat identitas terkelola yang ditetapkan pengguna dibuat, dan parameter-n
menentukan namanya. Pastikan untuk mengganti nilai parameter<RESOURCE GROUP>
dan<USER ASSIGNED IDENTITY NAME>
dengan nilai Anda sendiri:az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>
Respons berisi detail untuk identitas terkelola yang ditetapkan pengguna yang telah dibuat, serupa dengan yang berikut.
{ "clientId": "73444643-8088-4d70-9532-c3a0fdc190fz", "clientSecretUrl": "https://control-westcentralus.identity.azure.net/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY >/credentials?tid=5678&oid=9012&aid=73444643-8088-4d70-9532-c3a0fdc190fz", "id": "/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY>", "location": "westcentralus", "name": "<USER ASSIGNED IDENTITY>", "principalId": "e5fdfdc1-ed84-4d48-8551-fe9fb9dedfll", "resourceGroup": "<RESOURCE GROUP>", "tags": {}, "tenantId": "733a8f0e-ec41-4e69-8ad8-971fc4b533bl", "type": "Microsoft.ManagedIdentity/userAssignedIdentities" }
Tetapkan identitas terkelola yang ditetapkan pengguna ke kumpulan skala komputer virtual yang ada. Pastikan untuk mengganti nilai parameter
<RESOURCE GROUP>
dan<VIRTUAL MACHINE SCALE SET NAME>
dengan nilai Anda sendiri.<USER ASSIGNED IDENTITY>
adalah propertiname
sumber daya identitas yang ditetapkan pengguna, seperti yang dibuat di langkah sebelumnya:az vmss identity assign -g <RESOURCE GROUP> -n <VIRTUAL MACHINE SCALE SET NAME> --identities <USER ASSIGNED IDENTITY>
Menghapus identitas terkelola yang ditetapkan pengguna dari kumpulan skala komputer virtual Azure
Untuk menghapus identitas terkelola yang ditetapkan pengguna dari kumpulan skala komputer virtual menggunakan az vmss identity remove
. Jika ini adalah satu-satunya identitas terkelola yang ditetapkan pengguna yang ditetapkan ke set skala komputer virtual, UserAssigned
dihapus dari nilai jenis identitas. Pastikan untuk mengganti nilai parameter <RESOURCE GROUP>
dan <VIRTUAL MACHINE SCALE SET NAME>
dengan nilai Anda sendiri. <USER ASSIGNED IDENTITY>
adalah properti identitas name
terkelola yang ditetapkan pengguna, yang dapat ditemukan di bagian identitas set skala komputer virtual menggunakan az vmss identity show
:
az vmss identity remove -g <RESOURCE GROUP> -n <VIRTUAL MACHINE SCALE SET NAME> --identities <USER ASSIGNED IDENTITY>
Jika set skala mesin virtual Anda tidak memiliki identitas terkelola yang ditetapkan sistem dan Anda ingin menghapus semua identitas terkelola yang ditetapkan pengguna dari mesin virtual, gunakan perintah berikut:
Catatan
Nilai none
peka huruf besar/kecil. Harus huruf kecil.
az vmss update -n myVMSS -g myResourceGroup --set identity.type="none" identity.userAssignedIdentities=null
Jika kumpulan skala komputer virtual Anda memiliki identitas terkelola yang ditetapkan sistem dan ditetapkan pengguna, Anda dapat menghapus semua identitas yang ditetapkan pengguna dengan beralih untuk hanya menggunakan identitas terkelola yang ditetapkan sistem. Gunakan perintah berikut:
az vmss update -n myVMSS -g myResourceGroup --set identity.type='SystemAssigned' identity.userAssignedIdentities=null
Langkah berikutnya
- Identitas terkelola untuk sumber daya Azure
- Untuk Mulai Cepat pembuatan kumpulan skala komputer virtual Azure lengkap, lihat Membuat Kumpulan Skala Komputer virtual dengan CLI