Toegang tot een beheerde identiteit toewijzen aan een resource met behulp van PowerShell

Beheerde identiteiten voor Azure-resources is een functie van Microsoft Entra ID. Voor alle Azure-services die beheerde identiteiten voor Azure-resources ondersteunen, geldt een eigen tijdlijn. Controleer de beschikbaarheidsstatus van beheerde identiteiten voor uw resource en eventuele bekende problemen voordat u begint.

Zodra u een Azure-resource met een beheerde identiteit hebt geconfigureerd, kunt u de beheerde identiteit toegang geven tot een andere resource, net zoals elke beveiligingsprincipaal. In dit voorbeeld ziet u hoe u de beheerde identiteit van een virtuele Azure-machine toegang geeft tot een Azure-opslagaccount met behulp van PowerShell.

Notitie

Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Vereisten

• Als u niet bekend bent met beheerde identiteiten voor Azure-resources, raadpleegt u de sectie Overzicht. Let op dat u nagaat wat het verschil is tussen een door het systeem toegewezen en door de gebruiker toegewezen beheerde identiteit.
• Als u nog geen Azure-account hebt, registreer u dan voor een gratis account voordat u verdergaat.
• Als u de voorbeeldscripts wilt uitvoeren, hebt u twee opties:
  • Gebruik de Azure Cloud Shell, die u kunt openen met behulp van de knop Probeer het nu in de rechterbovenhoek van codeblokken.
  • Voer scripts lokaal uit door de nieuwste versie van Azure PowerShell te installeren en u vervolgens aan te melden bij Azure met Connect-AzAccount.

Azure RBAC gebruiken om toegang tot een beheerde identiteit toe te wijzen aan een andere resource

1. Schakel beheerde identiteit in voor een Azure-resource, zoals een Azure-VM.

2. In dit voorbeeld geven we een Virtuele Azure-machine toegang tot een opslagaccount. Eerst gebruiken we Get-AzVM om de service-principal op te halen voor de vm met de naam myVM, die is gemaakt toen we beheerde identiteiten hebben ingeschakeld. Gebruik vervolgens New-AzRoleAssignment om de VM-lezer toegang te geven tot een opslagaccount met de naammyStorageAcct:

   $spID = (Get-AzVM -ResourceGroupName myRG -Name myVM).identity.principalid
   New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Reader" -Scope "/subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/<myStorageAcct>"
   

Volgende stappen

• Overzicht van beheerde identiteit voor Azure-resources
• Zie Beheerde identiteiten configureren voor Azure-resources op een Azure-VM met behulp van PowerShell om beheerde identiteit in te schakelen voor Azure-resources.