Atribuir um acesso de identidade gerenciado a um recurso usando o PowerShell

As identidades gerenciadas para recursos do Azure são um recurso do Microsoft Entra ID. Cada um dos serviços do Azure que suportam as identidades geridas para os recursos do Azure estão sujeitos à sua própria linha de tempo. Certifique-se de que revê o estado de disponibilidade das identidades geridas para o seu recurso e problemas conhecidos antes de começar.

Depois de configurar um recurso do Azure com uma identidade gerenciada, você pode conceder à identidade gerenciada acesso a outro recurso, assim como qualquer entidade de segurança. Este exemplo mostra como conceder à identidade gerenciada de uma máquina virtual do Azure acesso a uma conta de armazenamento do Azure usando o PowerShell.

Nota

Recomendamos que utilize o módulo do Azure Az PowerShell para interagir com o Azure. Veja Instalar o Azure PowerShell para começar. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.

Pré-requisitos

• Se você não estiver familiarizado com identidades gerenciadas para recursos do Azure, confira a seção de visão geral. Certifique-se de revisar a diferença entre uma identidade gerenciada atribuída pelo sistema e atribuída pelo usuário.
• Se ainda não tem uma conta do Azure, inscreva-se numa conta gratuita antes de continuar.
• Para executar os scripts de exemplo, você tem duas opções:
  • Use o Azure Cloud Shell, que você pode abrir usando o botão Experimentar no canto superior direito dos blocos de código.
  • Execute scripts localmente instalando a versão mais recente do Azure PowerShell e, em seguida, entre no Azure usando Connect-AzAccounto .

Usar o RBAC do Azure para atribuir um acesso de identidade gerenciado a outro recurso

1. Habilite a identidade gerenciada em um recurso do Azure, como uma VM do Azure.

2. Neste exemplo, estamos dando a uma VM do Azure acesso a uma conta de armazenamento. Primeiro, usamos Get-AzVM para obter a entidade de serviço para a VM chamada myVM, que foi criada quando habilitamos a identidade gerenciada. Em seguida, use New-AzRoleAssignment para dar ao leitor de VM acesso a uma conta de armazenamento chamada myStorageAcct:

   $spID = (Get-AzVM -ResourceGroupName myRG -Name myVM).identity.principalid
   New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Reader" -Scope "/subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/<myStorageAcct>"
   

Próximos passos

• Visão geral da identidade gerenciada para recursos do Azure
• Para habilitar a identidade gerenciada em uma VM do Azure, consulte Configurar identidades gerenciadas para recursos do Azure em uma VM do Azure usando o PowerShell.