Mengelola identitas terkelola yang ditetapkan pengguna

Identitas terkelola untuk sumber daya Azure menghilangkan kebutuhan untuk mengelola kredensial dalam kode. Anda dapat menggunakannya untuk mendapatkan token Azure Active Directory (Azure AD) yang dapat digunakan aplikasi Anda saat Anda mengakses sumber daya yang mendukung autentikasi Azure AD. Azure akan mengelola identitas untuk Anda.

Ada dua jenis identitas terkelola, yaitu identitas yang ditetapkan sistem dan identitas yang ditetapkan pengguna. Perbedaan utama di antara mereka adalah bahwa identitas terkelola yang ditetapkan sistem memiliki siklus hidup mereka yang terkait dengan sumber daya tempat identitas digunakan. Identitas terkelola yang ditetapkan pengguna dapat digunakan pada banyak sumber daya. Untuk mempelajari identitas terkelola selengkapnya, lihat Apa itu identitas terkelola untuk sumber daya Azure?.

Di artikel ini, Anda mempelajari cara membuat, mencantumkan, menghapus, atau menetapkan peran ke identitas terkelola yang ditetapkan pengguna menggunakan portal Azure.

Prasyarat

Membuat identitas terkelola yang ditetapkan pengguna

Untuk membuat identitas terkelola yang ditetapkan pengguna, akun Anda memerlukan penetapan peran Kontributor Identitas Terkelola.

  1. Masuk ke portal Azure menggunakan akun yang terkait dengan langganan Azure untuk membuat identitas terkelola yang ditetapkan pengguna.
  2. Di kotak penelusuran, masukkan Identitas Terkelola. Di bawah Layanan, pilih Identitas Terkelola.
  3. Pilih Tambah, dan masukkan nilai dalam kotak berikut di panel Buat Identitas Terkelola yang Ditetapkan Pengguna:
    • Langganan: Pilih langganan untuk membuat identitas terkelola yang ditetapkan pengguna.
    • Grup sumber daya: Pilih grup sumber daya untuk membuat identitas terkelola yang ditetapkan pengguna, atau pilih Buat baru untuk membuat grup sumber daya baru.
    • Wilayah: Pilih wilayah untuk menerapkan identitas terkelola yang ditetapkan pengguna, misalnya, US Barat.
    • Nama: Masukkan nama untuk identitas terkelola yang ditetapkan pengguna, misalnya, UAI1.

Penting

Saat Anda membuat identitas terkelola yang ditetapkan pengguna, hanya karakter alfanumerik (0-9, a-z, dan AZ) dan tanda hubung (-) yang didukung. Untuk penugasan ke komputer virtual atau skala komputer virtual yang diatur agar berfungsi dengan baik, namanya dibatasi hingga 24 karakter. Untuk informasi selengkapnya, lihat Tanya Jawab Umum dan masalah yang sering ditanyakan.

Cuplikan layar yang menampilkan panel Buat Identitas Terkelola yang Ditetapkan Pengguna.

  1. Pilih Tinjau + buat untuk meninjau perubahan.
  2. Pilih Buat.

Melihat daftar identitas terkelola yang ditetapkan pengguna

Untuk membuat daftar atau membaca identitas terkelola yang ditetapkan pengguna, akun Anda memerlukan penetapan peran Operator Identitas Terkelola atau Kontributor Identitas Terkelola.

  1. Masuk ke portal Azure menggunakan akun yang terkait dengan langganan Azure untuk mencantumkan identitas terkelola yang ditetapkan pengguna.

  2. Di kotak penelusuran, masukkan Identitas Terkelola. Di bawah Layanan, pilih Identitas Terkelola.

  3. Daftar identitas terkelola yang ditetapkan pengguna untuk langganan Anda akan ditampilkan. Untuk melihat detail identitas terkelola yang ditetapkan pengguna, pilih namanya.

    Cuplikan layar yang menampilkan daftar identitas terkelola yang ditetapkan pengguna.

Menghapus identitas terkelola yang ditetapkan pengguna

Untuk menghapus identitas terkelola yang ditetapkan pengguna, akun Anda memerlukan penetapan peran Kontributor Identitas Terkelola.

Menghapus identitas yang ditetapkan pengguna tidak menghapus identitas dari VM atau sumber daya yang ditetapkan. Untuk menghapus identitas yang ditetapkan pengguna dari VM, lihat Menghapus identitas terkelola yang ditetapkan pengguna dari VM.

  1. Masuk ke portal Azure menggunakan akun yang terkait dengan langganan Azure untuk menghapus identitas terkelola yang ditetapkan pengguna.

  2. Pilih identitas terkelola yang ditetapkan pengguna, dan pilih Hapus.

  3. Di bawah kotak konfirmasi, pilih Ya.

    Cuplikan layar yang menampilkan Hapus identitas terkelola yang ditetapkan pengguna.

Menetapkan peran ke identitas terkelola yang ditetapkan pengguna

Untuk menetapkan peran ke identitas terkelola yang ditetapkan pengguna, akun Anda memerlukan penetapan peran Administrator Akses Pengguna.

  1. Masuk ke portal Azure menggunakan akun yang terkait dengan langganan Azure untuk mencantumkan identitas terkelola yang ditetapkan pengguna.

  2. Di kotak penelusuran, masukkan Identitas Terkelola. Di bawah Layanan, pilih Identitas Terkelola.

  3. Daftar identitas terkelola yang ditetapkan pengguna untuk langganan Anda akan ditampilkan. Pilih identitas terkelola yang ditetapkan pengguna yang ingin Anda tetapkan perannya.

  4. Pilih Kontrol akses (IAM) , lalu pilih Tambahkan penetapan peran.

    Cuplikan layar yang menampilkan awal identitas terkelola yang ditetapkan pengguna.

  5. Di panel Tambahkan penetapan peran, konfigurasikan nilai berikut, lalu pilih Simpan:

    • Peran: Peran yang akan ditetapkan.
    • Tetapkan akses ke: Sumber daya untuk menetapkan identitas terkelola yang ditetapkan pengguna.
    • Pilih: Anggota untuk diberikan akses.

    Cuplikan layar yang menampilkan IAM identitas terkelola yang ditetapkan pengguna.

Di artikel ini, Anda mempelajari cara membuat, mencantumkan, menghapus, atau menetapkan peran ke identitas terkelola yang ditetapkan pengguna menggunakan Azure CLI.

Prasyarat

  • Gunakan lingkungan Bash di Azure Cloud Shell.

    Luncurkan Cloud Shell di jendela baru

  • Jika mau, instal Azure CLI untuk menjalankan perintah referensi CLI.

    • Jika Anda menggunakan instalasi lokal, masuk ke Azure CLI dengan menggunakan perintah login az. Untuk menyelesaikan proses autentikasi, ikuti langkah-langkah yang ditampilkan di terminal Anda. Untuk opsi masuk tambahan, lihat Masuk dengan Azure CLI.

    • Saat diminta, instal ekstensi saat pertama kali menggunakan Azure CLI. Untuk informasi selengkapnya tentang ekstensi, lihat Menggunakan ekstensi dengan Azure CLI.

    • Jalankan versi az untuk menemukan versi dan pustaka dependen yang diinstal. Untuk memutakhirkan ke versi terbaru, jalankan pemutakhiran az.

Penting

Untuk mengubah izin pengguna saat Anda menggunakan prinsip layanan aplikasi menggunakan CLI, Anda harus memberikan lebih banyak izin kepada prinsip layanan di Azure Active Directory Graph API karena bagian dari CLI melakukan permintaan GET terhadap Graph API. Jika tidak, Anda mungkin akan menerima pesan "Hak istimewa tidak mencukupi untuk menyelesaikan operasi". Untuk melakukan langkah ini, masuk ke Pendaftaran aplikasi di Azure AD, pilih aplikasi Anda, pilih Izin API, dan gulir ke bawah lalu pilih Azure Active Directory Graph. Dari situ, pilih Izin aplikasi, lalu tambahkan izin yang sesuai.

Membuat identitas terkelola yang ditetapkan pengguna

Untuk membuat identitas terkelola yang ditetapkan pengguna, akun Anda memerlukan penetapan peran Kontributor Identitas Terkelola.

Gunakan perintah az identity create untuk membuat identitas terkelola yang ditetapkan pengguna. Parameter -g menentukan grup sumber daya tempat membuat identitas terkelola yang ditetapkan pengguna. Parameter -n menentukan namanya. Ganti nilai parameter <RESOURCE GROUP> dan <USER ASSIGNED IDENTITY NAME> dengan nilai Anda sendiri.

Penting

Saat Anda membuat identitas terkelola yang ditetapkan pengguna, hanya karakter alfanumerik (0-9, a-z, dan AZ) dan tanda hubung (-) yang didukung. Untuk penugasan ke komputer virtual atau skala komputer virtual yang diatur agar berfungsi dengan baik, namanya dibatasi hingga 24 karakter. Untuk informasi selengkapnya, lihat Tanya Jawab Umum dan masalah yang sering ditanyakan.

az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>

Melihat daftar identitas terkelola yang ditetapkan pengguna

Untuk membuat daftar atau membaca identitas terkelola yang ditetapkan pengguna, akun Anda memerlukan penetapan peran Operator Identitas Terkelola atau Kontributor Identitas Terkelola.

Untuk mencantumkan identitas terkelola yang ditetapkan pengguna, gunakan perintah az identity list. Ganti nilai <RESOURCE GROUP> dengan nilai Anda sendiri.

az identity list -g <RESOURCE GROUP>

Dalam respons JSON, identitas terkelola yang ditetapkan pengguna memiliki nilai "Microsoft.ManagedIdentity/userAssignedIdentities" yang dikembalikan untuk kunci type.

"type": "Microsoft.ManagedIdentity/userAssignedIdentities"

Menghapus identitas terkelola yang ditetapkan pengguna

Untuk menghapus identitas terkelola yang ditetapkan pengguna, akun Anda memerlukan penetapan peran Kontributor Identitas Terkelola.

Untuk menghapus identitas terkelola yang ditetapkan pengguna, gunakan perintah az identity delete. Parameter -n menentukan namanya. Parameter -g menentukan grup sumber daya tempat identitas terkelola yang ditetapkan pengguna dibuat. Ganti nilai parameter <USER ASSIGNED IDENTITY NAME> dan <RESOURCE GROUP> dengan nilai Anda sendiri.

az identity delete -n <USER ASSIGNED IDENTITY NAME> -g <RESOURCE GROUP>

Catatan

Menghapus identitas terkelola yang ditetapkan pengguna tidak akan menghapus referensi dari sumber daya yang ditetapkan. Hapus mereka dari kumpulan skala VM atau komputer virtual menggunakan perintah az vm/vmss identity remove.

Langkah berikutnya

Untuk daftar lengkap perintah identitas Azure CLI, lihat az identity.

Untuk informasi tentang cara menetapkan identitas terkelola yang ditetapkan pengguna ke Azure VM, lihat Mengonfigurasi identitas terkelola untuk sumber daya Azure di Azure VM menggunakan Azure CLI.

Dalam artikel ini, Anda mempelajari cara membuat, mencantumkan, menghapus, atau menetapkan peran ke identitas terkelola yang ditetapkan pengguna menggunakan PowerShell.

Prasyarat

Di artikel ini, Anda mempelajari cara membuat, mencantumkan, dan menghapus identitas terkelola yang ditetapkan pengguna menggunakan PowerShell.

Mengonfigurasi Azure PowerShell secara lokal

Untuk menggunakan Azure PowerShell secara lokal untuk artikel ini daripada menggunakan Cloud Shell:

  1. Instal versi terbaru Azure PowerShell jika Anda belum melakukannya.

  2. Masuk ke Azure.

    Connect-AzAccount
    
  3. Instal versi terbaru dari PowerShellGet.

    Install-Module -Name PowerShellGet -AllowPrerelease
    

    Anda mungkin perlu Exit dari sesi PowerShell saat ini setelah menjalankan perintah ini untuk langkah berikutnya.

  4. Instal versi prarilis modul Az.ManagedServiceIdentity ​​untuk melakukan operasi identitas terkelola yang ditetapkan pengguna dalam artikel ini.

    Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
    

Membuat identitas terkelola yang ditetapkan pengguna

Untuk membuat identitas terkelola yang ditetapkan pengguna, akun Anda memerlukan penetapan peran Kontributor Identitas Terkelola.

Untuk membuat identitas terkelola yang ditetapkan pengguna, gunakan perintah New-AzUserAssignedIdentity. Parameter ResourceGroupName menentukan grup sumber daya tempat membuat identitas terkelola yang ditetapkan pengguna. Parameter -Name menentukan namanya. Ganti nilai parameter <RESOURCE GROUP> dan <USER ASSIGNED IDENTITY NAME> dengan nilai Anda sendiri.

Penting

Saat Anda membuat identitas terkelola yang ditetapkan pengguna, hanya karakter alfanumerik (0-9, a-z, dan AZ) dan tanda hubung (-) yang didukung. Untuk penugasan ke komputer virtual atau skala komputer virtual yang diatur agar berfungsi dengan baik, namanya dibatasi hingga 24 karakter. Untuk informasi selengkapnya, lihat Tanya Jawab Umum dan masalah yang sering ditanyakan.

New-AzUserAssignedIdentity -ResourceGroupName <RESOURCEGROUP> -Name <USER ASSIGNED IDENTITY NAME>

Melihat daftar identitas terkelola yang ditetapkan pengguna

Untuk membuat daftar atau membaca identitas terkelola yang ditetapkan pengguna, akun Anda memerlukan penetapan peran Operator Identitas Terkelola atau Kontributor Identitas Terkelola.

Untuk membuat daftar identitas terkelola yang ditetapkan pengguna, gunakan perintah [Get-AzUserAssigned]. Parameter -ResourceGroupName menentukan grup sumber daya tempat identitas terkelola yang ditetapkan pengguna dibuat. Ganti nilai <RESOURCE GROUP> dengan nilai Anda sendiri.

Get-AzUserAssignedIdentity -ResourceGroupName <RESOURCE GROUP>

Sebagai respons, identitas terkelola yang ditetapkan pengguna memiliki nilai "Microsoft.ManagedIdentity/userAssignedIdentities" yang dikembalikan untuk kunci Type.

Type :Microsoft.ManagedIdentity/userAssignedIdentities

Menghapus identitas terkelola yang ditetapkan pengguna

Untuk menghapus identitas terkelola yang ditetapkan pengguna, akun Anda memerlukan penetapan peran Kontributor Identitas Terkelola.

Untuk menghapus identitas terkelola yang ditetapkan pengguna, gunakan perintah Remove-AzUserAssignedIdentity. Parameter -ResourceGroupName menentukan grup sumber daya tempat identitas yang ditetapkan pengguna dibuat. Parameter -Name menentukan namanya. Ganti nilai parameter <RESOURCE GROUP> dan <USER ASSIGNED IDENTITY NAME> dengan nilai Anda sendiri.

Remove-AzUserAssignedIdentity -ResourceGroupName <RESOURCE GROUP> -Name <USER ASSIGNED IDENTITY NAME>

Catatan

Menghapus identitas terkelola yang ditetapkan pengguna tidak akan menghapus referensi dari sumber daya yang ditetapkan. Penetapan identitas harus dihapus secara terpisah.

Langkah berikutnya

Untuk daftar lengkap dan detail selengkapnya tentang identitas terkelola Azure PowerShell untuk perintah sumber daya Azure, lihat Az.ManagedServiceIdentity.

Di artikel ini, Anda membuat identitas terkelola yang ditetapkan pengguna menggunakan Azure Resource Manager.

Prasyarat

Anda tidak dapat mencantumkan dan menghapus identitas terkelola yang ditetapkan pengguna menggunakan templat Resource Manager. Lihat artikel berikut ini untuk membuat dan mencantumkan identitas terkelola yang ditetapkan pengguna:

Pembuatan dan pengeditan templat

Seperti portal Azure dan pembuatan skrip, templat Resource Manager menyediakan kemampuan untuk menyebarkan sumber daya baru atau yang dimodifikasi yang ditentukan oleh grup sumber daya Azure. Beberapa opsi tersedia untuk pengeditan dan penyebaran templat, baik lokal maupun berbasis portal. Anda dapat:

Membuat identitas terkelola yang ditetapkan pengguna

Untuk membuat identitas terkelola yang ditetapkan pengguna, akun Anda memerlukan penetapan peran Kontributor Identitas Terkelola.

Untuk membuat identitas terkelola yang ditetapkan pengguna, gunakan templat berikut. Ganti nilai <USER ASSIGNED IDENTITY NAME> dengan nilai Anda sendiri.

Penting

Saat Anda membuat identitas terkelola yang ditetapkan pengguna, hanya karakter alfanumerik (0-9, a-z, dan AZ) dan tanda hubung (-) yang didukung. Untuk penugasan ke komputer virtual atau skala komputer virtual yang diatur agar berfungsi dengan baik, namanya dibatasi hingga 24 karakter. Untuk informasi selengkapnya, lihat Tanya Jawab Umum dan masalah yang sering ditanyakan.

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "resourceName": {
          "type": "string",
          "metadata": {
            "description": "<USER ASSIGNED IDENTITY NAME>"
          }
        }
  },
  "resources": [
    {
      "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
      "name": "[parameters('resourceName')]",
      "apiVersion": "2018-11-30",
      "location": "[resourceGroup().location]"
    }
  ],
  "outputs": {
      "identityName": {
          "type": "string",
          "value": "[parameters('resourceName')]"
      }
  }
}

Langkah berikutnya

Untuk informasi tentang cara menetapkan identitas terkelola yang ditetapkan pengguna ke Azure VM menggunakan templat Resource Manager, lihat Mengonfigurasi identitas terkelola untuk sumber daya Azure di Azure VM menggunakan templat.

Di artikel ini, Anda mempelajari cara membuat, mencantumkan, dan menghapus identitas terkelola yang ditetapkan pengguna menggunakan REST.

Prasyarat

Dalam artikel ini, Anda mempelajari cara membuat, mencantumkan, dan menghapus identitas terkelola yang ditetapkan pengguna menggunakan CURL untuk melakukan panggilan REST API.

Dapatkan token akses pembawa

  1. Jika Anda menjalankan secara lokal, masuk ke Azure melalui Azure CLI.

    az login
    
  2. Dapatkan token akses menggunakan az account get-access-token.

    az account get-access-token
    

Membuat identitas terkelola yang ditetapkan pengguna

Untuk membuat identitas terkelola yang ditetapkan pengguna, akun Anda memerlukan penetapan peran Kontributor Identitas Terkelola.

Penting

Saat Anda membuat identitas terkelola yang ditetapkan pengguna, hanya karakter alfanumerik (0-9, a-z, dan AZ) dan tanda hubung (-) yang didukung. Untuk penugasan ke komputer virtual atau skala komputer virtual yang diatur agar berfungsi dengan baik, namanya dibatasi hingga 24 karakter. Untuk informasi selengkapnya, lihat Tanya Jawab Umum dan masalah yang sering ditanyakan.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview' -X PUT -d '{"loc
ation": "<LOCATION>"}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"
PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview HTTP/1.1

Header permintaan

Meminta kop Deskripsi
Content-Type Wajib diisi. Atur ke application/json.
Authorization Wajib diisi. Atur ke token akses Bearer yang valid.

Isi permintaan

Nama Deskripsi
Lokasi Wajib diisi. Lokasi sumber daya.

Identitas terkelola yang ditetapkan pengguna

Untuk membuat daftar atau membaca identitas terkelola yang ditetapkan pengguna, akun Anda memerlukan penetapan peran Operator Identitas Terkelola atau Kontributor Identitas Terkelola.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities?api-version=2015-08-31-preview' -H "Authorization: Bearer <ACCESS TOKEN>"
GET https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities?api-version=2015-08-31-preview HTTP/1.1
Header permintaan Deskripsi
Content-Type Wajib diisi. Atur ke application/json.
Authorization Wajib diisi. Atur ke token akses Bearer yang valid.

Menghapus identitas terkelola yang ditetapkan pengguna

Untuk menghapus identitas terkelola yang ditetapkan pengguna, akun Anda memerlukan penetapan peran Kontributor Identitas Terkelola.

Catatan

Menghapus identitas terkelola yang ditetapkan pengguna tidak akan menghapus referensi dari sumber daya yang ditetapkan. Untuk menghapus identitas terkelola yang ditetapkan pengguna dari VM menggunakan CURL, lihat Menghapus identitas yang ditetapkan pengguna dari Azure VM.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview' -X DELETE -H "Authorization: Bearer <ACCESS TOKEN>"
DELETE https://management.azure.com/subscriptions/80c696ff-5efa-4909-a64d-f1b616f423ca/resourceGroups/TestRG/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview HTTP/1.1
Header permintaan Deskripsi
Content-Type Wajib diisi. Atur ke application/json.
Authorization Wajib diisi. Atur ke token akses Bearer yang valid.

Langkah berikutnya

Untuk informasi tentang cara menetapkan identitas terkelola yang ditetapkan pengguna ke kumpulan skala Azure VM atau komputer virtual menggunakan CURL, lihat: