Toegang tot een beheerde identiteit toewijzen aan een resource met behulp van PowerShell
Beheerde identiteiten voor Azure-resources is een functie van Microsoft Entra ID. Voor alle Azure-services die beheerde identiteiten voor Azure-resources ondersteunen, geldt een eigen tijdlijn. Controleer de beschikbaarheidsstatus van beheerde identiteiten voor uw resource en eventuele bekende problemen voordat u begint.
Zodra u een Azure-resource met een beheerde identiteit hebt geconfigureerd, kunt u de beheerde identiteit toegang geven tot een andere resource, net zoals elke beveiligingsprincipaal. In dit voorbeeld ziet u hoe u de beheerde identiteit van een virtuele Azure-machine toegang geeft tot een Azure-opslagaccount met behulp van PowerShell.
Notitie
Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.
Vereisten
- Als u niet bekend bent met beheerde identiteiten voor Azure-resources, raadpleegt u de sectie Overzicht. Let op dat u nagaat wat het verschil is tussen een door het systeem toegewezen en door de gebruiker toegewezen beheerde identiteit.
- Als u nog geen Azure-account hebt, registreer u dan voor een gratis account voordat u verdergaat.
- Als u de voorbeeldscripts wilt uitvoeren, hebt u twee opties:
- Gebruik de Azure Cloud Shell, die u kunt openen met behulp van de knop Probeer het nu in de rechterbovenhoek van codeblokken.
- Voer scripts lokaal uit door de nieuwste versie van Azure PowerShell te installeren en u vervolgens aan te melden bij Azure met
Connect-AzAccount
.
Azure RBAC gebruiken om toegang tot een beheerde identiteit toe te wijzen aan een andere resource
Schakel beheerde identiteit in voor een Azure-resource, zoals een Azure-VM.
In dit voorbeeld geven we een Virtuele Azure-machine toegang tot een opslagaccount. Eerst gebruiken we Get-AzVM om de service-principal op te halen voor de vm met de naam
myVM
, die is gemaakt toen we beheerde identiteiten hebben ingeschakeld. Gebruik vervolgens New-AzRoleAssignment om de VM-lezer toegang te geven tot een opslagaccount met de naammyStorageAcct
:$spID = (Get-AzVM -ResourceGroupName myRG -Name myVM).identity.principalid New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Reader" -Scope "/subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/<myStorageAcct>"
Volgende stappen
- Overzicht van beheerde identiteit voor Azure-resources
- Zie Beheerde identiteiten configureren voor Azure-resources op een Azure-VM met behulp van PowerShell om beheerde identiteit in te schakelen voor Azure-resources.