PowerShell を使用して、リソースにマネージド ID アクセスを割り当てるAssign a managed identity access to a resource using PowerShell

Azure リソースのマネージドID は、Azure Active Directory の機能です。Managed identities for Azure resources is a feature of Azure Active Directory. Azure リソースのマネージド ID をサポートする各 Azure サービスは、それぞれ固有のタイムラインの下で提供されます。Each of the Azure services that support managed identities for Azure resources are subject to their own timeline. ご利用のリソースに対するマネージド ID の提供状態と既知の問題をあらかじめ確認しておいてください。Make sure you review the availability status of managed identities for your resource and known issues before you begin.

マネージド ID で Azure リソースを構成した後、他のセキュリティ プリンシパルと同じように、別のリソースにマネージド ID アクセスを付与できます。Once you've configured an Azure resource with a managed identity, you can give the managed identity access to another resource, just like any security principal. この例では、PowerShell を使用して、Azure 仮想マシンのマネージド ID アクセスを Azure ストレージ アカウントに付与する方法について説明します。This example shows you how to give an Azure virtual machine's managed identity access to an Azure storage account using PowerShell.

注意

この記事は、新しい Azure PowerShell Az モジュールを使用するために更新されました。This article has been updated to use the new Azure PowerShell Az module. AzureRM モジュールはまだ使用でき、少なくとも 2020 年 12 月までは引き続きバグ修正が行われます。You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Az モジュールと AzureRM の互換性の詳細については、「Introducing the new Azure PowerShell Az module (新しい Azure PowerShell Az モジュールの概要)」を参照してください。To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Az モジュールのインストール手順については、Azure PowerShell のインストールを参照してください。For Az module installation instructions, see Install Azure PowerShell.

前提条件Prerequisites

RBAC を使用して他のリソースにマネージド ID アクセスを割り当てるUse RBAC to assign a managed identity access to another resource

Azure VM などの Azure リソースでマネージド ID を有効にした後、次のようにします。After you've enabled managed identity on an Azure resource, such as an Azure VM:

  1. Connect-AzAccount コマンドレットを使用して Azure にサインインします。Sign in to Azure using the Connect-AzAccount cmdlet. 次のように、マネージド ID を構成した Azure サブスクリプションに関連付けられているアカウントを使用します。Use an account that is associated with the Azure subscription under which you have configured the managed identity:

    Connect-AzAccount
    
  2. この例では、ストレージ アカウントに Azure VM アクセスを許可しています。In this example, we are giving an Azure VM access to a storage account. まず、Get-AzVM を使用して myVM という VM のサービス プリンシパルを取得します。これは、マネージド ID が有効になっているときに作成されたものです。First we use Get-AzVM to get the service principal for the VM named myVM, which was created when we enabled managed identity. 次に、New-AzRoleAssignment を使用して、VM の閲覧者アクセスを myStorageAcct というストレージ アカウントに付与します。Then, use New-AzRoleAssignment to give the VM Reader access to a storage account called myStorageAcct:

    $spID = (Get-AzVM -ResourceGroupName myRG -Name myVM).identity.principalid
    New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Reader" -Scope "/subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/<myStorageAcct>"
    

次の手順Next steps