Konfigurowanie tożsamości zarządzanych dla zasobów platformy Azure w zestawach skalowania maszyn wirtualnych przy użyciu programu PowerShell

Artykuł
10/25/2023

Tożsamości zarządzane dla zasobów platformy Azure to funkcja identyfikatora Entra firmy Microsoft. Każda usługa platformy Azure obsługująca tożsamości zarządzane dla zasobów platformy Azure ma własną oś czasu. Pamiętaj, aby przed rozpoczęciem sprawdzić stan dostępności tożsamości zarządzanych dla swojego zasobu i znane problemy.

Tożsamości zarządzane dla zasobów platformy Azure udostępniają usługom platformy Azure automatycznie zarządzaną tożsamość w usłudze Microsoft Entra ID. Za pomocą tej tożsamości można uwierzytelnić się w dowolnej usłudze obsługującej uwierzytelnianie usługi Microsoft Entra bez konieczności przechowywania poświadczeń w kodzie.

W tym artykule, korzystając z programu PowerShell, dowiesz się, jak wykonywać tożsamości zarządzane dla operacji zasobów platformy Azure w zestawie skalowania maszyn wirtualnych:

Włączanie i wyłączanie tożsamości zarządzanej przypisanej przez system w zestawie skalowania maszyn wirtualnych
Dodawanie i usuwanie tożsamości zarządzanej przypisanej przez użytkownika w zestawie skalowania maszyn wirtualnych

Uwaga

Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Wymagania wstępne

Jeśli nie znasz tożsamości zarządzanych dla zasobów platformy Azure, zapoznaj się z sekcją Przegląd. Pamiętaj, aby przejrzeć różnicę między tożsamością przypisaną przez system i tożsamością przypisaną przez użytkownika.
Jeśli nie masz jeszcze konta platformy Azure, utwórz bezpłatne konto przed kontynuowaniem.
Aby wykonać operacje zarządzania w tym artykule, twoje konto wymaga następujących przypisań kontroli dostępu opartej na rolach platformy Azure:

Uwaga

Nie są wymagane żadne dodatkowe przypisania ról katalogu Entra firmy Microsoft.
- Współautor maszyny wirtualnej w celu utworzenia zestawu skalowania maszyn wirtualnych oraz włączenia i usunięcia przypisanej przez system tożsamości zarządzanej i/lub przypisanej przez użytkownika z zestawu skalowania maszyn wirtualnych.
- Rola Współautor tożsamości zarządzanej w celu utworzenia tożsamości zarządzanej przypisanej przez użytkownika.
- Rola Operator tożsamości zarządzanej w celu przypisania i usunięcia tożsamości zarządzanej przypisanej przez użytkownika z zestawu skalowania maszyn wirtualnych i do niego.
Aby uruchomić przykładowe skrypty, dostępne są dwie opcje:
- Użyj usługi Azure Cloud Shell, którą można otworzyć za pomocą przycisku Wypróbuj w prawym górnym rogu bloków kodu.
- Uruchom skrypty lokalnie, instalując najnowszą wersję programu Azure PowerShell, a następnie zaloguj się do platformy Azure przy użyciu polecenia Connect-AzAccount.

Tożsamość zarządzana przypisana przez system

W tej sekcji dowiesz się, jak włączyć i usunąć tożsamość zarządzaną przypisaną przez system przy użyciu programu Azure PowerShell.

Włączanie tożsamości zarządzanej przypisanej przez system podczas tworzenia zestawu skalowania maszyn wirtualnych platformy Azure

Aby utworzyć zestaw skalowania maszyn wirtualnych z włączoną tożsamością zarządzaną przypisaną przez system:

Zapoznaj się z przykładem 1 w artykule referencyjnym dotyczącym polecenia cmdlet New-AzVmssConfig , aby utworzyć zestaw skalowania maszyn wirtualnych z tożsamością zarządzaną przypisaną przez system. Dodaj parametr -IdentityType SystemAssigned do New-AzVmssConfig polecenia cmdlet:
```
$VMSS = New-AzVmssConfig -Location $Loc -SkuCapacity 2 -SkuName "Standard_A0" -UpgradePolicyMode "Automatic" -NetworkInterfaceConfiguration $NetCfg -IdentityType SystemAssigned`
```

Włączanie tożsamości zarządzanej przypisanej przez system w istniejącym zestawie skalowania maszyn wirtualnych platformy Azure

Jeśli musisz włączyć tożsamość zarządzaną przypisaną przez system w istniejącym zestawie skalowania maszyn wirtualnych platformy Azure:

Upewnij się, że używane konto platformy Azure należy do roli, która daje uprawnienia do zapisu w zestawie skalowania maszyn wirtualnych, na przykład "Współautor maszyny wirtualnej".
Pobierz właściwości zestawu skalowania maszyn wirtualnych przy użyciu Get-AzVmss polecenia cmdlet . Następnie, aby włączyć tożsamość zarządzaną przypisaną przez system, użyj przełącznika -IdentityType polecenia cmdlet Update-AzVmsss :
```
Update-AzVmss -ResourceGroupName myResourceGroup -Name -myVmss -IdentityType "SystemAssigned"
```

Wyłączanie tożsamości zarządzanej przypisanej przez system z zestawu skalowania maszyn wirtualnych platformy Azure

Jeśli masz zestaw skalowania maszyn wirtualnych, który nie potrzebuje już przypisanej przez system tożsamości zarządzanej, ale nadal potrzebuje tożsamości zarządzanych przypisanych przez użytkownika, użyj następującego polecenia cmdlet:

Upewnij się, że twoje konto należy do roli, która daje uprawnienia do zapisu w zestawie skalowania maszyn wirtualnych, na przykład "Współautor maszyny wirtualnej".

Uruchom następujące polecenie cmdlet:

Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType "UserAssigned"

Jeśli masz zestaw skalowania maszyn wirtualnych, który nie potrzebuje już przypisanej przez system tożsamości zarządzanej i nie ma przypisanych przez użytkownika tożsamości zarządzanych, użyj następującego polecenia:
```
Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType None
```

Tożsamość zarządzana przypisana przez użytkownika

W tej sekcji dowiesz się, jak dodać i usunąć tożsamość zarządzaną przypisaną przez użytkownika z zestawu skalowania maszyn wirtualnych przy użyciu programu Azure PowerShell.

Przypisywanie tożsamości zarządzanej przypisanej przez użytkownika podczas tworzenia zestawu skalowania maszyn wirtualnych platformy Azure

Tworzenie nowego zestawu skalowania maszyn wirtualnych przy użyciu tożsamości zarządzanej przypisanej przez użytkownika nie jest obecnie obsługiwane za pośrednictwem programu PowerShell. Zobacz następną sekcję dotyczącą dodawania tożsamości zarządzanej przypisanej przez użytkownika do istniejącego zestawu skalowania maszyn wirtualnych. Wracaj tutaj, aby zapoznać się z aktualizacjami.

Przypisywanie tożsamości zarządzanej przypisanej przez użytkownika do istniejącego zestawu skalowania maszyn wirtualnych platformy Azure

Aby przypisać tożsamość zarządzaną przypisaną przez użytkownika do istniejącego zestawu skalowania maszyn wirtualnych platformy Azure:

Upewnij się, że twoje konto należy do roli, która daje uprawnienia do zapisu w zestawie skalowania maszyn wirtualnych, na przykład "Współautor maszyny wirtualnej".
Pobierz właściwości zestawu skalowania maszyn wirtualnych przy użyciu Get-AzVM polecenia cmdlet . Następnie, aby przypisać tożsamość zarządzaną przypisaną przez użytkownika do zestawu skalowania maszyn wirtualnych, użyj -IdentityType polecenia cmdlet Update-AzVmss i -IdentityID . Zastąp <VM NAME>wartości , , <SUBSCRIPTION ID>, <RESROURCE GROUP><USER ASSIGNED ID1>USER ASSIGNED ID2 , własnymi wartościami.

Ważne

Podczas tworzenia tożsamości zarządzanych przypisanych przez użytkownika nazwa musi zaczynać się literą lub cyfrą i może zawierać kombinację znaków alfanumerycznych, łączników (-) i podkreśleń (_). Aby przypisanie do maszyny wirtualnej lub zestawu skalowania maszyn wirtualnych działało prawidłowo, nazwa jest ograniczona do 24 znaków. Aby uzyskać więcej informacji, zobacz FAQs and known issues (Często zadawane pytania i znane problemy).
```
Update-AzVmss -ResourceGroupName <RESOURCE GROUP> -Name <VMSS NAME> -IdentityType UserAssigned -IdentityID "<USER ASSIGNED ID1>","<USER ASSIGNED ID2>"
```

Usuwanie tożsamości zarządzanej przypisanej przez użytkownika z zestawu skalowania maszyn wirtualnych platformy Azure

Jeśli zestaw skalowania maszyn wirtualnych ma wiele tożsamości zarządzanych przypisanych przez użytkownika, możesz usunąć wszystkie, ale ostatnie przy użyciu następujących poleceń. Upewnij się, że parametry <RESOURCE GROUP> i <VIRTUAL MACHINE SCALE SET NAME> zostały zastąpione własnymi wartościami. Jest <USER ASSIGNED IDENTITY NAME> to właściwość name tożsamości zarządzanej przypisanej przez użytkownika, która powinna pozostać w zestawie skalowania maszyn wirtualnych. Te informacje można znaleźć w sekcji tożsamości zestawu skalowania maszyn wirtualnych przy użyciu polecenia az vmss show:

Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType UserAssigned -IdentityID "<USER ASSIGNED IDENTITY NAME>"

Jeśli zestaw skalowania maszyn wirtualnych nie ma przypisanej przez system tożsamości zarządzanej i chcesz usunąć z niego wszystkie tożsamości zarządzane przypisane przez użytkownika, użyj następującego polecenia:

Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType None

Jeśli zestaw skalowania maszyn wirtualnych ma tożsamości zarządzane przypisane przez system i przypisane przez użytkownika, możesz usunąć wszystkie tożsamości zarządzane przypisane przez użytkownika, przełączając się tak, aby używać tylko tożsamości zarządzanej przypisanej przez system.

Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType "SystemAssigned"

Następne kroki

Omówienie tożsamości zarządzanych dla zasobów platformy Azure
Aby zapoznać się z pełnymi przewodnikami Szybki start tworzenia maszyn wirtualnych platformy Azure, zobacz:
- Tworzenie maszyny wirtualnej z systemem Windows przy użyciu programu PowerShell
- Tworzenie maszyny wirtualnej z systemem Linux przy użyciu programu PowerShell