Atribuir um acesso de identidade gerenciada a um recurso usando o PowerShell

Identidades gerenciadas para recursos do Azure é um recurso do Microsoft Entra ID. Cada um dos serviços do Azure que dão suporte a identidades gerenciadas para recursos do Azure está sujeito à própria linha do tempo. Não deixe de examinar o status de disponibilidade das identidades gerenciadas do seu recurso e os problemas conhecidos antes de começar.

Após configurar um recurso do Azure com uma identidade gerenciada, será possível conceder o acesso de identidade gerenciada a outro recurso, assim como qualquer entidade de segurança. Este exemplo mostra como conceder acesso de uma identidade gerenciada da máquina virtual do Azure para uma conta de armazenamento do Azure usando o PowerShell.

Observação

Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Confira Instalar o Azure PowerShell para começar. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.

Pré-requisitos

• Se você não estiver familiarizado com identidades gerenciadas para recursos do Azure, confira a seção de visão geral. Revise a diferença entre uma identidade gerenciada atribuída ao sistema e atribuída ao usuário.
• Se você ainda não tiver uma conta do Azure, inscreva-se em uma conta gratuita antes de continuar.
• Para executar os scripts de exemplo, você tem duas opções:
  • Use o Azure Cloud Shell, que você pode abrir usando o botão Experimentar no canto superior direito dos blocos de código.
  • Execute os scripts localmente instalando a versão mais recente do Azure PowerShell e, em seguida, entre no Azure usando Connect-AzAccount.

Usar o RBAC do Azure para atribuir um acesso de identidade gerenciada a outro recurso

1. Habilite a identidade gerenciada em um recurso do Azure, como uma VM do Azure.

2. Neste exemplo, fornecemos um acesso da VM do Azure para uma conta de armazenamento. Primeiro, usamos Get-AzVM para obter a entidade de serviço da VM chamada myVM, que foi criada quando habilitamos a identidade gerenciada. Em seguida, usamos New-AzRoleAssignment para fornecer à VM o acesso de Leitor em uma conta de armazenamento chamada myStorageAcct:

   $spID = (Get-AzVM -ResourceGroupName myRG -Name myVM).identity.principalid
   New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Reader" -Scope "/subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/<myStorageAcct>"
   

Próximas etapas

• Identidade gerenciada para visão geral dos recursos do Azure
• Para habilitar a identidade gerenciada em uma máquina virtual do Azure, consulte Configurar identidades gerenciadas para recursos do Azure em uma VM do Azure usando o PowerShell.