Przypisywanie dostępu tożsamości zarządzanej do zasobu przy użyciu interfejsu wiersza polecenia platformy Azure
Tożsamości zarządzane dla zasobów platformy Azure to funkcja identyfikatora Entra firmy Microsoft. Każda usługa platformy Azure obsługująca tożsamości zarządzane dla zasobów platformy Azure ma własną oś czasu. Pamiętaj, aby przed rozpoczęciem sprawdzić stan dostępności tożsamości zarządzanych dla swojego zasobu i znane problemy.
Po skonfigurowaniu zasobu platformy Azure przy użyciu tożsamości zarządzanej możesz przyznać tożsamości zarządzanej dostęp do innego zasobu, podobnie jak każdy podmiot zabezpieczeń. W tym przykładzie pokazano, jak nadać tożsamości zarządzanej maszyny wirtualnej platformy Azure lub zestawowi skalowania maszyn wirtualnych dostęp do konta usługi Azure Storage przy użyciu interfejsu wiersza polecenia platformy Azure.
Jeśli nie masz jeszcze konta platformy Azure, utwórz bezpłatne konto przed kontynuowaniem.
Wymagania wstępne
- Jeśli nie znasz tożsamości zarządzanych dla zasobów platformy Azure, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure?. Aby dowiedzieć się więcej o typach tożsamości zarządzanych przypisanych przez system i przypisanych przez użytkownika, zobacz Typy tożsamości zarządzanych.
Użyj środowiska powłoki Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Szybki start dotyczący powłoki Bash w usłudze Azure Cloud Shell.
Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.
Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.
Po wyświetleniu monitu zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure podczas pierwszego użycia. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Korzystanie z rozszerzeń w interfejsie wiersza polecenia platformy Azure.
Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.
Przypisywanie dostępu tożsamości zarządzanej do innego zasobu przy użyciu kontroli dostępu opartej na rolach platformy Azure
Po włączeniu tożsamości zarządzanej w zasobie platformy Azure, takim jak maszyna wirtualna platformy Azure lub zestaw skalowania maszyn wirtualnych platformy Azure:
W tym przykładzie dajemy maszynie wirtualnej platformy Azure dostęp do konta magazynu. Najpierw użyjemy polecenia az resource list , aby uzyskać jednostkę usługi dla maszyny wirtualnej o nazwie myVM:
spID=$(az resource list -n myVM --query [*].identity.principalId --out tsv)
W przypadku zestawu skalowania maszyn wirtualnych platformy Azure polecenie jest takie samo, z wyjątkiem tutaj, otrzymujesz jednostkę usługi dla zestawu skalowania maszyn wirtualnych o nazwie "DevTestVMSS":
spID=$(az resource list -n DevTestVMSS --query [*].identity.principalId --out tsv)
Po utworzeniu identyfikatora jednostki usługi użyj polecenia az role assignment create , aby nadać maszynie wirtualnej lub zestawowi skalowania maszyn wirtualnych dostęp "Czytelnik" do konta magazynu o nazwie "myStorageAcct":
az role assignment create --assignee $spID --role 'Reader' --scope /subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/myStorageAcct
Następne kroki
- Omówienie tożsamości zarządzanych dla zasobów platformy Azure
- Aby włączyć tożsamość zarządzaną na maszynie wirtualnej platformy Azure, zobacz Konfigurowanie tożsamości zarządzanych dla zasobów platformy Azure na maszynie wirtualnej platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.
- Aby włączyć tożsamość zarządzaną w zestawie skalowania maszyn wirtualnych platformy Azure, zobacz Konfigurowanie tożsamości zarządzanych dla zasobów platformy Azure w zestawie skalowania maszyn wirtualnych przy użyciu interfejsu wiersza polecenia platformy Azure.