Назначение доступа на основе управляемого удостоверения к ресурсу с помощью PowerShell

Управляемые удостоверения для ресурсов Azure — это функция идентификатора Microsoft Entra. Каждая служба Azure, которая поддерживает управляемые удостоверения для ресурсов Azure, используется в соответствии с собственной временной шкалой. Прежде чем начать работу, обязательно проверьте состояние доступности управляемых удостоверений для своего ресурса и ознакомьтесь с известными проблемами.

После настройки ресурса Azure с помощью управляемого удостоверения можно предоставить доступ на основе управляемого удостоверения другому ресурсу, как и любому субъекту безопасности. В этом примере показано, как предоставить управляемому удостоверению виртуальной машине Azure доступ к учетной записи хранения Azure с помощью PowerShell.

Примечание.

Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.

Необходимые компоненты

• Если вы не работали с управляемыми удостоверениями для ресурсов Azure, изучите общие сведения. Обратите внимание на различие между управляемыми удостоверениями, назначаемыми системой и назначаемыми пользователями.
• Если у вас нет учетной записи Azure, зарегистрируйтесь для получения бесплатной пробной учетной записи, прежде чем продолжать.
• Чтобы запустить примеры скриптов, у вас есть два варианта:
  • Используйте службу Azure Cloud Shell, которую можно открыть с помощью кнопки Попробовать в правом верхнем углу блоков кода.
  • Выполните скрипты локально, установив последнюю версию Azure PowerShell, а затем войдите в Azure с помощью команды Connect-AzAccount.

Назначение управляемому удостоверению прав доступа к другому ресурсу с помощью Azure RBAC

1. Включите управляемое удостоверение для ресурса Azure, например виртуальной машины Azure.

2. В этом примере мы предоставляем виртуальной машине Azure доступ к учетной записи хранения. Сначала с помощью Get-AzVM получите для виртуальной машины с именем myVM субъект-службу, который был создан при включении управляемого удостоверения. Затем с помощью New-AzRoleAssignment предоставьте этой виртуальной машине доступ для чтения к учетной записи хранения с именем myStorageAcct.

   $spID = (Get-AzVM -ResourceGroupName myRG -Name myVM).identity.principalid
   New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Reader" -Scope "/subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/<myStorageAcct>"
   

Следующие шаги

• Что такое управляемые удостоверения для ресурсов Azure?
• Дополнительные сведения см. в статье Настройка управляемых удостоверений для ресурсов Azure на виртуальной машине Azure с помощью PowerShell.