Tilldela en hanterad identitet åtkomst till en resurs med hjälp av PowerShell

Hanterade identiteter för Azure-resurser är en funktion i Microsoft Entra-ID. Alla Azure-tjänster som stöder hanterade identiteter för Azure-resurser har sin egen tidslinje. Var noga med att kontrollera tillgänglighetsstatus för hanterade identiteter för din resurs och kända problem innan du börjar.

När du har konfigurerat en Azure-resurs med en hanterad identitet kan du ge den hanterade identiteten åtkomst till en annan resurs, precis som alla säkerhetsobjekt. Det här exemplet visar hur du ger en hanterad identitet i en virtuell Azure-dator åtkomst till ett Azure Storage-konto med hjälp av PowerShell.

Kommentar

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Förutsättningar

• Om du inte känner till hanterade identiteter för Azure-resurser kan du läsa översiktsavsnittet. Se till att granska skillnaden mellan en systemtilldelad och användartilldelad hanterad identitet.
• Om du inte redan har ett Azure-konto registrerar du dig för ett kostnadsfritt konto innan du fortsätter.
• Om du vill köra exempelskripten har du två alternativ:
  • Använd Azure Cloud Shell, som du kan öppna med hjälp av knappen Prova i det övre högra hörnet av kodblock.
  • Kör skript lokalt genom att installera den senaste versionen av Azure PowerShell och logga sedan in på Azure med .Connect-AzAccount

Använda Azure RBAC för att tilldela en hanterad identitet åtkomst till en annan resurs

1. Aktivera hanterad identitet på en Azure-resurs, till exempel en virtuell Azure-dator.

2. I det här exemplet ger vi en virtuell Azure-dator åtkomst till ett lagringskonto. Först använder vi Get-AzVM för att hämta tjänstens huvudnamn för den virtuella datorn med namnet myVM, som skapades när vi aktiverade hanterad identitet. Använd sedan New-AzRoleAssignment för att ge vm-läsarenåtkomst till ett lagringskonto med namnet myStorageAcct:

   $spID = (Get-AzVM -ResourceGroupName myRG -Name myVM).identity.principalid
   New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Reader" -Scope "/subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/<myStorageAcct>"
   

Nästa steg

• Översikt över hanterad identitet för Azure-resurser
• Information om hur du aktiverar hanterad identitet på en virtuell Azure-dator finns i Konfigurera hanterade identiteter för Azure-resurser på en virtuell Azure-dator med Hjälp av PowerShell.