Configurar identidades gerenciadas para recursos do Azure em conjuntos de dimensionamento de máquina virtual usando o PowerShell

Identidades gerenciadas para recursos do Azure é um recurso do Microsoft Entra ID. Cada um dos serviços do Azure que suportam as identidades geridas para os recursos do Azure estão sujeitos à sua própria linha de tempo. Certifique-se de que revê o estado de disponibilidade das identidades geridas para o seu recurso e problemas conhecidos antes de começar.

As identidades geridas para os recursos do Azure proporcionam aos recursos do Azure uma identidade gerida automaticamente no Microsoft Entra ID. Pode utilizar esta identidade para se autenticar em qualquer serviço que suporte a autenticação do Microsoft Entra sem ter credenciais no código.

Neste artigo, usando o PowerShell, você aprenderá a executar as identidades gerenciadas para operações de recursos do Azure em um conjunto de dimensionamento de máquina virtual:

• Habilitar e desabilitar a identidade gerenciada atribuída ao sistema em um conjunto de dimensionamento de máquina virtual
• Adicionar e remover uma identidade gerenciada atribuída pelo usuário em um conjunto de dimensionamento de máquina virtual

Nota

Recomendamos que utilize o módulo do Azure Az PowerShell para interagir com o Azure. Veja Instalar o Azure PowerShell para começar. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.

Pré-requisitos

• Se você não estiver familiarizado com identidades gerenciadas para recursos do Azure, confira a seção de visão geral. Certifique-se de revisar a diferença entre uma identidade atribuída pelo sistema e gerenciada pelo usuário.

• Se ainda não tem uma conta do Azure, inscreva-se numa conta gratuita antes de continuar.

• Para executar as operações de gerenciamento neste artigo, sua conta precisa das seguintes atribuições de controle de acesso baseadas em função do Azure:

  Nota

  Não são necessárias atribuições adicionais de função de diretório do Microsoft Entra.

  • Colaborador de Máquina Virtual para criar um conjunto de dimensionamento de máquina virtual e habilitar e remover identidade gerenciada atribuída pelo sistema e/ou atribuída pelo usuário de um conjunto de dimensionamento de máquina virtual.
  • Função de Colaborador de Identidade Gerenciada para criar uma identidade gerenciada atribuída pelo usuário.
  • Função de Operador de Identidade Gerenciada para atribuir e remover uma identidade gerenciada atribuída pelo usuário de e para um conjunto de dimensionamento de máquina virtual.

• Para executar os scripts de exemplo, você tem duas opções:

  • Use o Azure Cloud Shell, que você pode abrir usando o botão Experimentar no canto superior direito dos blocos de código.
  • Execute scripts localmente instalando a versão mais recente do Azure PowerShell e, em seguida, entre no Azure usando Connect-AzAccounto .

Identidade gerida atribuída pelo sistema

Nesta seção, você aprenderá a habilitar e remover uma identidade gerenciada atribuída ao sistema usando o Azure PowerShell.

Habilitar a identidade gerenciada atribuída ao sistema durante a criação de um conjunto de escala de máquina virtual do Azure

Para criar um conjunto de dimensionamento de máquina virtual com a identidade gerenciada atribuída ao sistema habilitada:

1. Consulte o Exemplo 1 no artigo de referência do cmdlet New-AzVmssConfig para criar um conjunto de dimensionamento de máquina virtual com uma identidade gerenciada atribuída ao sistema. Adicione o parâmetro -IdentityType SystemAssigned ao New-AzVmssConfig cmdlet:

   $VMSS = New-AzVmssConfig -Location $Loc -SkuCapacity 2 -SkuName "Standard_A0" -UpgradePolicyMode "Automatic" -NetworkInterfaceConfiguration $NetCfg -IdentityType SystemAssigned`
   

Habilitar a identidade gerenciada atribuída ao sistema em um conjunto de escala de máquina virtual do Azure existente

Se você precisar habilitar uma identidade gerenciada atribuída ao sistema em um conjunto de escala de máquina virtual do Azure existente:

1. Verifique se a conta do Azure que você está usando pertence a uma função que lhe dá permissões de gravação no conjunto de escala da máquina virtual, como "Colaborador de Máquina Virtual".

2. Recupere as propriedades do conjunto de escala da máquina virtual usando o Get-AzVmss cmdlet. Em seguida, para habilitar uma identidade gerenciada atribuída ao sistema, use a -IdentityType opção no cmdlet Update-AzVmss :

   Update-AzVmss -ResourceGroupName myResourceGroup -Name -myVmss -IdentityType "SystemAssigned"
   

Desabilitar a identidade gerenciada atribuída ao sistema de um conjunto de dimensionamento de máquina virtual do Azure

Se você tiver um conjunto de dimensionamento de máquina virtual que não precisa mais da identidade gerenciada atribuída ao sistema, mas ainda precisa de identidades gerenciadas atribuídas pelo usuário, use o seguinte cmdlet:

1. Verifique se sua conta pertence a uma função que lhe dá permissões de gravação no conjunto de escala da máquina virtual, como "Colaborador de Máquina Virtual".

2. Execute o seguinte cmdlet:

   Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType "UserAssigned"
   

3. Se você tiver um conjunto de dimensionamento de máquina virtual que não precise mais de identidade gerenciada atribuída ao sistema e não tenha identidades gerenciadas atribuídas pelo usuário, use o seguinte comando:

   Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType None
   

Identidade gerida atribuída pelo utilizador

Nesta seção, você aprenderá a adicionar e remover uma identidade gerenciada atribuída pelo usuário de um conjunto de dimensionamento de máquina virtual usando o Azure PowerShell.

Atribuir uma identidade gerenciada atribuída pelo usuário durante a criação de um conjunto de escala de máquina virtual do Azure

Atualmente, não há suporte para a criação de um novo conjunto de dimensionamento de máquina virtual com uma identidade gerenciada atribuída pelo usuário por meio do PowerShell. Consulte a próxima seção sobre como adicionar uma identidade gerenciada atribuída pelo usuário a um conjunto de escala de máquina virtual existente. Volte mais tarde para obter atualizações.

Atribuir uma identidade gerenciada atribuída pelo usuário a um conjunto de escala de máquina virtual do Azure existente

Para atribuir uma identidade gerenciada atribuída pelo usuário a um conjunto de escala de máquina virtual do Azure existente:

1. Verifique se sua conta pertence a uma função que lhe dá permissões de gravação no conjunto de escala da máquina virtual, como "Colaborador de Máquina Virtual".

2. Recupere as propriedades do conjunto de escala da máquina virtual usando o Get-AzVM cmdlet. Em seguida, para atribuir uma identidade gerenciada atribuída pelo usuário ao conjunto de dimensionamento da máquina virtual, use o -IdentityType cmdlet Update-AzVmss e -IdentityID ative a opção. Substitua <VM NAME>, <SUBSCRIPTION ID>, <RESROURCE GROUP>, <USER ASSIGNED ID1>, por USER ASSIGNED ID2 seus próprios valores.

   Importante

   Quando você cria identidades gerenciadas atribuídas pelo usuário, o nome deve começar com uma letra ou número e pode incluir uma combinação de caracteres alfanuméricos, hífenes (-) e sublinhados (_). Para que a atribuição a uma máquina virtual ou a uma escala de máquina virtual funcione corretamente, o nome é limitado a 24 caracteres. Para obter mais informações, veja FAQs e problemas conhecidos.

   Update-AzVmss -ResourceGroupName <RESOURCE GROUP> -Name <VMSS NAME> -IdentityType UserAssigned -IdentityID "<USER ASSIGNED ID1>","<USER ASSIGNED ID2>"
   

Remover uma identidade gerenciada atribuída pelo usuário de um conjunto de escala de máquina virtual do Azure

Se o conjunto de dimensionamento da máquina virtual tiver várias identidades gerenciadas atribuídas pelo usuário, você poderá remover todas, exceto a última, usando os comandos a seguir. Certifique-se de que substitui os valores de parâmetros <RESOURCE GROUP> e <VIRTUAL MACHINE SCALE SET NAME> pelos seus próprios valores. A <USER ASSIGNED IDENTITY NAME> é a propriedade name da identidade gerenciada atribuída pelo usuário, que deve permanecer no conjunto de escala da máquina virtual. Essas informações podem ser encontradas na seção de identidade do conjunto de dimensionamento de máquina virtual usando az vmss show:

Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType UserAssigned -IdentityID "<USER ASSIGNED IDENTITY NAME>"

Se o conjunto de dimensionamento da máquina virtual não tiver uma identidade gerenciada atribuída ao sistema e você quiser remover todas as identidades gerenciadas atribuídas pelo usuário dele, use o seguinte comando:

Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType None

Se o conjunto de dimensionamento da máquina virtual tiver identidades gerenciadas atribuídas pelo sistema e pelo usuário, você poderá remover todas as identidades gerenciadas atribuídas pelo usuário alternando para usar apenas a identidade gerenciada atribuída pelo sistema.

Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType "SystemAssigned"

Próximos passos

• Visão geral das identidades gerenciadas para recursos do Azure

• Para obter os inícios rápidos completos de criação de VM do Azure, consulte:

  • Criar uma máquina virtual do Windows com o PowerShell
  • Criar uma máquina virtual Linux com o PowerShell