Mengonfigurasi identitas terkelola untuk sumber daya Azure di kumpulan skala komputer virtual menggunakan Azure CLI

Artikel
10/25/2023

Identitas terkelola untuk sumber daya Azure adalah fitur ID Microsoft Entra. Setiap layanan Azure yang mendukung identitas terkelola untuk sumber daya Azure tunduk pada garis waktu mereka masing-masing. Pastikan Anda meninjau status ketersediaan identitas terkelola untuk sumber daya dan masalah yang diketahui sebelum Anda memulai.

Identitas terkelola untuk sumber daya Azure memberikan layanan Azure identitas terkelola otomatis di Microsoft Entra ID. Anda dapat menggunakan identitas ini untuk mengautentikasi tiap layanan yang mendukung autentikasi Microsoft Entra, tanpa memiliki kredensial dalam kode Anda.

Dalam artikel ini, Anda mempelajari cara menjalankan identitas terkelola berikut untuk operasi sumber daya Azure di kumpulan skala komputer virtual Azure, menggunakan Azure CLI:

Mengaktifkan dan menonaktifkan identitas terkelola yang ditetapkan sistem di kumpulan skala komputer virtual Azure
Tambahkan dan hapus identitas terkelola yang ditetapkan pengguna pada kumpulan skala komputer virtual

Jika Anda belum memiliki akun Azure, daftar untuk mendapatkan akun gratis sebelum melanjutkan.

Prasyarat

Jika Anda asing dengan identitas terkelola untuk sumber daya Azure, lihat Apa itu identitas terkelola untuk sumber daya Azure?. Untuk mempelajari jenis identitas terkelola yang ditetapkan sistem dan yang ditetapkan pengguna, lihat Jenis identitas terkelola.
Untuk melakukan operasi manajemen dalam artikel ini, akun Anda memerlukan penetapan kontrol akses berbasis peran Azure berikut ini:
- Kontributor Komputer Virtual untuk membuat kumpulan skala komputer virtual dan mengaktifkan serta menghapus identitas terkelola yang ditetapkan sistem dan/atau pengguna dari kumpulan skala komputer virtual.
- Peran Kontributor Identitas Terkelola untuk membuat identitas terkelola yang ditetapkan pengguna.
- Peran Operator Identitas Terkelola untuk menetapkan dan menghapus identitas terkelola yang ditetapkan pengguna dari dan ke kumpulan skala komputer virtual.
Catatan

Tidak diperlukan penetapan peran direktori Microsoft Entra tambahan.

Gunakan lingkungan Bash di Azure Cloud Shell. Untuk informasi selengkapnya, lihat Mulai Cepat untuk Bash di Azure Cloud Shell.
Jika Anda lebih suka menjalankan perintah referensi CLI secara lokal, instal Azure CLI. Jika Anda menjalankan Windows atau macOS, pertimbangkan untuk menjalankan Azure CLI dalam kontainer Docker. Untuk informasi lebih lanjut, lihat Cara menjalankan Azure CLI di kontainer Docker.
- Jika Anda menggunakan instalasi lokal, masuk ke Azure CLI dengan menggunakan perintah login az. Untuk menyelesaikan proses autentikasi, ikuti langkah-langkah yang ditampilkan di terminal Anda. Untuk opsi masuk lainnya, lihat Masuk dengan Azure CLI.
- Saat Anda diminta, instal ekstensi Azure CLI pada penggunaan pertama. Untuk informasi selengkapnya tentang ekstensi, lihat Menggunakan ekstensi dengan Azure CLI.
- Jalankan versi az untuk menemukan versi dan pustaka dependen yang diinstal. Untuk meningkatkan ke versi terbaru, jalankan peningkatan az.

Identitas terkelola yang ditetapkan sistem

Di bagian ini, Anda mempelajari cara mengaktifkan dan menonaktifkan identitas terkelola yang ditetapkan sistem untuk kumpulan skala komputer virtual Azure menggunakan Azure CLI.

Mengaktifkan identitas terkelola yang ditetapkan sistem selama pembuatan kumpulan skala komputer virtual Azure

Untuk membuat kumpulan skala komputer virtual dengan identitas terkelola yang ditetapkan sistem yang diaktifkan:

Buat grup sumber daya untuk penahanan dan penyebaran kumpulan skala komputer virtual Anda dan sumber daya terkaitnya, menggunakan az group create. Anda dapat melewati langkah ini jika sudah memiliki grup sumber daya yang ingin Anda gunakan sebagai gantinya:
```
az group create --name myResourceGroup --location westus
```
Buat kumpulan skala komputer virtual. Contoh berikut membuat set skala mesin virtual bernama myVMSS dengan identitas terkelola yang ditetapkan sistem, seperti yang diminta oleh parameter --assign-identity, dengan --role dan --scope yang ditentukan. Parameter --admin-username dan --admin-password menentukan nama pengguna administratif dan akun kata sandi untuk masuk komputer virtual. Perbarui nilai ini sebagaimana mestinya untuk lingkungan Anda:
```
az vmss create --resource-group myResourceGroup --name myVMSS --image win2016datacenter --upgrade-policy-mode automatic --custom-data cloud-init.txt --admin-username azureuser --admin-password myPassword12 --assign-identity --generate-ssh-keys --role contributor --scope mySubscription
```

Mengaktifkan identitas terkelola yang ditetapkan sistem di kumpulan skala komputer virtual Azure

Jika Anda perlu Mengaktifkan identitas terkelola yang ditetapkan sistem di kumpulan skala komputer virtual Azure yang ada:

az vmss identity assign -g myResourceGroup -n myVMSS

Menonaktifkan identitas terkelola yang ditetapkan sistem dari kumpulan skala komputer virtual Azure

Jika Anda memiliki kumpulan skala komputer virtual yang tidak lagi memerlukan identitas terkelola yang ditetapkan sistem, tetapi masih memerlukan identitas terkelola yang ditetapkan pengguna, gunakan perintah berikut:

az vmss update -n myVM -g myResourceGroup --set identity.type='UserAssigned'

Jika Anda memiliki komputer virtual yang tidak lagi memerlukan identitas terkelola yang ditetapkan sistem dan tidak memiliki identitas terkelola yang ditetapkan pengguna, gunakan perintah berikut:

Catatan

Nilai none peka huruf besar/kecil. Harus huruf kecil.

az vmss update -n myVM -g myResourceGroup --set identity.type="none"

Identitas terkelola yang ditetapkan pengguna

Di bagian ini, Anda mempelajari cara mengaktifkan dan menghapus identitas terkelola yang ditetapkan pengguna menggunakan Azure CLI.

Menetapkan identitas terkelola yang ditetapkan sistem selama pembuatan kumpulan skala komputer virtual

Bagian ini memandu Anda melalui pembuatan kumpulan skala komputer virtual dan penugasan identitas terkelola yang ditetapkan pengguna ke kumpulan skala komputer virtual. Jika sudah memiliki kumpulan skala komputer virtual yang ingin Anda gunakan, lewati bagian ini dan lanjutkan ke bagian berikutnya.

Anda dapat melewati langkah ini jika sudah memiliki grup sumber daya yang ingin Anda gunakan. Buat grup sumber daya untuk penahanan dan penyebaran identitas terkelola yang ditetapkan pengguna Anda, menggunakan az group create. Pastikan untuk mengganti nilai parameter <RESOURCE GROUP> dan <LOCATION> dengan nilai Anda sendiri. :
```
az group create --name <RESOURCE GROUP> --location <LOCATION>
```
Buat identitas terkelola yang ditetapkan pengguna menggunakan buat identitas az. Parameter -g menentukan grup sumber daya tempat identitas terkelola yang ditetapkan pengguna dibuat, dan parameter -n menentukan namanya. Pastikan untuk mengganti nilai parameter <RESOURCE GROUP> dan <USER ASSIGNED IDENTITY NAME> dengan nilai Anda sendiri:

Penting

Saat Anda membuat identitas terkelola yang ditetapkan pengguna, nama harus dimulai dengan huruf atau angka, dan dapat menyertakan kombinasi karakter alfanumerik, tanda hubung (-) dan garis bawah (_). Untuk penugasan ke komputer virtual atau skala komputer virtual yang diatur agar berfungsi dengan baik, namanya dibatasi hingga 24 karakter. Untuk informasi selengkapnya, lihat Tanya Jawab Umum dan masalah yang sering ditanyakan.
```
az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>
```
Respons berisi detail untuk identitas terkelola yang ditetapkan pengguna yang telah dibuat, serupa dengan yang berikut. Nilai sumber daya id yang ditetapkan ke identitas terkelola yang ditetapkan pengguna digunakan dalam langkah berikut.
```
{
     "clientId": "73444643-8088-4d70-9532-c3a0fdc190fz",
     "clientSecretUrl": "https://control-westcentralus.identity.azure.net/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/credentials?tid=5678&oid=9012&aid=73444643-8088-4d70-9532-c3a0fdc190fz",
     "id": "/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>",
     "location": "westcentralus",
     "name": "<USER ASSIGNED IDENTITY NAME>",
     "principalId": "e5fdfdc1-ed84-4d48-8551-fe9fb9dedfll",
     "resourceGroup": "<RESOURCE GROUP>",
     "tags": {},
     "tenantId": "733a8f0e-ec41-4e69-8ad8-971fc4b533bl",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"    
}
```
Buat kumpulan skala komputer virtual. Contoh berikut membuat set skala mesin virtual yang terkait dengan identitas terkelola yang ditetapkan pengguna baru, seperti yang ditentukan oleh parameter --assign-identity, dengan --role dan --scope yang ditentukan. Pastikan untuk mengganti nilai parameter <RESOURCE GROUP>, <VMSS NAME>, <USER NAME>, <PASSWORD>, <USER ASSIGNED IDENTITY>, <ROLE>, dan <SUBSCRIPTION> dengan nilai Anda sendiri.
```
az vmss create --resource-group <RESOURCE GROUP> --name <VMSS NAME> --image <SKU Linux Image> --admin-username <USER NAME> --admin-password <PASSWORD> --assign-identity <USER ASSIGNED IDENTITY> --role <ROLE> --scope <SUBSCRIPTION>
```

Menetapkan identitas terkelola yang ditetapkan pengguna ke kumpulan skala komputer virtual yang ada

Buat identitas terkelola yang ditetapkan pengguna menggunakan buat identitas az. Parameter -g menentukan grup sumber daya tempat identitas terkelola yang ditetapkan pengguna dibuat, dan parameter -n menentukan namanya. Pastikan untuk mengganti nilai parameter <RESOURCE GROUP> dan <USER ASSIGNED IDENTITY NAME> dengan nilai Anda sendiri:

az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>

Respons berisi detail untuk identitas terkelola yang ditetapkan pengguna yang telah dibuat, serupa dengan yang berikut.

{
     "clientId": "73444643-8088-4d70-9532-c3a0fdc190fz",
     "clientSecretUrl": "https://control-westcentralus.identity.azure.net/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY >/credentials?tid=5678&oid=9012&aid=73444643-8088-4d70-9532-c3a0fdc190fz",
     "id": "/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY>",
     "location": "westcentralus",
     "name": "<USER ASSIGNED IDENTITY>",
     "principalId": "e5fdfdc1-ed84-4d48-8551-fe9fb9dedfll",
     "resourceGroup": "<RESOURCE GROUP>",
     "tags": {},
     "tenantId": "733a8f0e-ec41-4e69-8ad8-971fc4b533bl",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"    
}

Tetapkan identitas terkelola yang ditetapkan pengguna ke kumpulan skala komputer virtual yang ada. Pastikan untuk mengganti nilai parameter <RESOURCE GROUP> dan <VIRTUAL MACHINE SCALE SET NAME> dengan nilai Anda sendiri. <USER ASSIGNED IDENTITY> adalah properti name sumber daya identitas yang ditetapkan pengguna, seperti yang dibuat di langkah sebelumnya:
```
az vmss identity assign -g <RESOURCE GROUP> -n <VIRTUAL MACHINE SCALE SET NAME> --identities <USER ASSIGNED IDENTITY>
```

Menghapus identitas terkelola yang ditetapkan pengguna dari kumpulan skala komputer virtual Azure

Untuk menghapus identitas terkelola yang ditetapkan pengguna dari kumpulan skala komputer virtual menggunakan az vmss identity remove. Jika ini adalah satu-satunya identitas terkelola yang ditetapkan pengguna yang ditetapkan ke set skala komputer virtual, UserAssigned dihapus dari nilai jenis identitas. Pastikan untuk mengganti nilai parameter <RESOURCE GROUP> dan <VIRTUAL MACHINE SCALE SET NAME> dengan nilai Anda sendiri. <USER ASSIGNED IDENTITY> adalah properti identitas name terkelola yang ditetapkan pengguna, yang dapat ditemukan di bagian identitas set skala komputer virtual menggunakan az vmss identity show:

az vmss identity remove -g <RESOURCE GROUP> -n <VIRTUAL MACHINE SCALE SET NAME> --identities <USER ASSIGNED IDENTITY>

Jika set skala mesin virtual Anda tidak memiliki identitas terkelola yang ditetapkan sistem dan Anda ingin menghapus semua identitas terkelola yang ditetapkan pengguna dari mesin virtual, gunakan perintah berikut: