Sdílet prostřednictvím

Konfigurace spravovaných identit na virtuálních počítačích Azure

  • Článek

Spravované identity pro prostředky Azure poskytují službám Azure automaticky spravovanou identitu v Microsoft Entra ID. Tuto identitu můžete použít k ověření v jakékoli službě, která podporuje ověřování Microsoft Entra, aniž byste ve vašem kódu museli mít přihlašovací údaje.

Informace o definici a podrobnostech služby Azure Policy najdete v tématu Přiřazení spravovaných identit (Preview) pomocí služby Azure Policy.

V tomto článku se dozvíte, jak povolit a zakázat spravované identity přiřazené systémem a uživatelem pro virtuální počítač Azure pomocí webu Azure Portal.

Požadavky

Spravovaná identita přiřazená systémem

V této části se dozvíte, jak povolit a zakázat spravovanou identitu přiřazenou systémem pro virtuální počítač pomocí webu Azure Portal.

Aktivace spravované identity přiřazené systémem při vytváření virtuálního počítače

Pokud chcete povolit spravovanou identitu přiřazenou systémem na virtuálním počítači během jeho vytváření, váš účet potřebuje přiřazení role Přispěvatel virtuálního počítače. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

Při vytváření virtuálního počítače s Windows nebo virtuálního počítače s Linuxem vyberte kartu Správa.

V části Identita zaškrtněte políčko Povolit spravovanou identitu přiřazenou systémem.

Snímek obrazovky znázorňující, jak povolit identitu přiřazenou systémem během vytváření virtuálního počítače

Povolit systémem přiřazenou spravovanou identitu na existujícím virtuálním počítači

Pokud chcete povolit spravovanou identitu přiřazenou systémem na virtuálním počítači, který byl původně zřízený bez ní, váš účet potřebuje roli Přispěvatel virtuálních počítačů. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

  1. Přihlaste se k webu Azure Portal pomocí účtu přidruženého k předplatnému Azure, které obsahuje virtuální počítač.

  2. Přejděte na požadovaný virtuální počítač a v části Zabezpečení vyberte Identita.

  3. V části Systém přiřazen, Stav, vyberte Zapnuto a potom klepněte na tlačítko Uložit:

    Snímek obrazovky zobrazující stránku Identita, kde je stav přiřazený systémem nastaven na

Odebrání spravované identity přiřazené systémem z virtuálního počítače

Pokud chcete odebrat spravovanou identitu přiřazenou systémem z virtuálního počítače, váš účet potřebuje přiřazení role Virtuální počítač – přispěvatel. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

Pokud máte virtuální počítač, který už nepotřebuje spravovanou identitu přiřazenou systémem:

  1. Přihlaste se k webu Azure Portal pomocí účtu přidruženého k předplatnému Azure, které obsahuje virtuální počítač.

  2. Přejděte na požadovaný virtuální počítač a v části Zabezpečení vyberte Identita.

  3. V části Systém přiřazen, Stav, vyberte Vypnuto a potom klepněte na tlačítko Uložit:

    Snímek obrazovky se stránkou konfigurace

Spravovaná identita přiřazená uživatelem

V této části se dozvíte, jak přidat a odebrat spravovanou identitu přiřazenou uživatelem z virtuálního počítače pomocí webu Azure Portal.

Přiřazení identity určené uživatelem při vytváření virtuálního počítače

Pokud chcete přiřadit identitu přiřazenou uživatelem k virtuálnímu počítači, váš účet potřebuje přiřazení rolí Přispěvatel virtuálních počítačů a Operátor spravované identity. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

Azure Portal v současné době nepodporuje přiřazování spravované identity přiřazené uživatelem při vytváření virtuálního počítače. Nejprve vytvořte virtuální počítač s Windows nebo virtuální počítač s Linuxema pak virtuálnímu počítači přiřaďte spravovanou identitu přiřazenou uživatelem.

Přiřazení spravované identity přiřazené uživatelem k existujícímu virtuálnímu počítači

Pokud chcete přiřadit identitu přiřazenou uživatelem k virtuálnímu počítači, váš účet potřebuje role Přispěvatel pro virtuální počítače a Operátor spravované identity. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

  1. Přihlaste se k webu Azure Portal pomocí účtu přidruženého k předplatnému Azure, které obsahuje virtuální počítač.

  2. Přejděte na požadovaný virtuální počítač a klikněte na Zabezpečení>Identity, uživatelem přiřazené a potom +Přidat. Klikněte na identitu přiřazenou uživatelem, kterou chcete přidat do virtuálního počítače, a potom klikněte na přidat.

  3. Ze seznamu vyberte dříve vytvořenou uživatelsky přiřazenou spravovanou identitu.

    Snímek obrazovky znázorňující stránku Identita s vybraným uživatelem a zvýrazněným tlačítkem Přidat

Odebrání spravované identity přiřazené uživatelem z virtuálního počítače

Pokud chcete odebrat uživatelem přiřazenou identitu z virtuálního počítače, váš účet potřebuje přiřazení role Přispěvatel virtuálního počítače. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

Přihlaste se k webu Azure Portal pomocí účtu přidruženého k předplatnému Azure, které obsahuje virtuální počítač.

Přejděte na požadovaný virtuální počítač a vyberte Zabezpečení>Identita, uživatelem přiřazené identity, název spravované identity, kterou chcete odstranit, a potom klikněte na Odebrat (klikněte na Ano v potvrzovacím podokně).

snímek obrazovky znázorňující odebrání spravované identity přiřazené uživatelem z virtuálního počítače

Další kroky

V tomto článku pomocí Azure CLI se naučíte provádět následující spravované identity pro operace prostředků Azure na virtuálním počítači Azure:

  • Povolení a zakázání spravované identity přiřazené systémem na virtuálním počítači Azure
  • Přidání a odebrání spravované identity přiřazené uživatelem na virtuálním počítači Azure

Pokud ještě nemáte účet Azure, zaregistrujte si bezplatný účet před tím, než budete pokračovat.

Požadavky

Spravovaná identita přiřazená systémem

V této části se dozvíte, jak povolit a zakázat spravovanou identitu přiřazenou systémem na virtuálním počítači Azure pomocí Azure CLI.

Povolení systémem přiřazené spravované identity během vytváření virtuálního počítače Azure

Pokud chcete vytvořit virtuální počítač Azure s povolenou spravovanou identitou přiřazenou systémem, váš účet musí mít roli Přispěvatel pro virtuální počítače. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

  1. Pomocí příkazu az group create vytvořte skupinu prostředků pro nasazení a uchování virtuálního počítače a souvisejících prostředků. Pokud už máte skupinu prostředků, kterou chcete použít, můžete tento krok přeskočit:

    az group create --name myResourceGroup --location westus

  2. Vytvořte virtuální počítač pomocí příkazu az vm create. Následující příklad vytvoří virtuální počítač nazvaný myVM se spravovanou identitou přiřazenou systémem podle parametru --assign-identity, se zadaným --role a --scope. Parametry --admin-username a --admin-password určují uživatelské jméno a heslo účtu správce pro přihlášení k virtuálnímu počítači. Aktualizujte tyto hodnoty odpovídajícím způsobem pro vaše prostředí:

    az vm create --resource-group myResourceGroup --name myVM --image win2016datacenter --generate-ssh-keys --assign-identity --role contributor --scope /Subscriptions/mySubscriptionId/resourceGroups/myResourceGroup --admin-username azureuser --admin-password myPassword12

Povolit systémem přidělenou spravovanou identitu na stávajícím virtuálním počítači Azure

Pokud chcete povolit spravovanou identitu přiřazenou systémem na virtuálním počítači, váš účet potřebuje přiřazení role Přispěvatel virtuálních počítačů. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

  1. Pokud používáte Azure CLI v místní konzole, nejprve se přihlaste k Azure pomocí příkazu az login. Použijte účet přidružený k předplatnému Azure, které obsahuje virtuální počítač.

    az login

  2. Pomocí příkazu az vm identity assign ve spojení s identity assignpřiřaďte systémem přidělenou identitu stávajícímu virtuálnímu počítači:

    az vm identity assign -g myResourceGroup -n myVm

Zakázání identity přiřazené systémem z virtuálního počítače Azure

Pokud chcete na virtuálním počítači zakázat spravovanou identitu přiřazenou systémem, musíte mít ve svém účtu přiřazení role Přispěvatel pro virtuální počítače. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

Pokud máte virtuální počítač, který už nepotřebuje identitu přiřazenou systémem, ale přesto potřebuje identity přiřazené uživatelem, použijte následující příkaz:

az vm update -n myVM -g myResourceGroup --set identity.type='UserAssigned'

Pokud máte virtuální počítač, který už nepotřebuje identitu přiřazenou systémem a nemá žádné identity přiřazené uživatelem, použijte následující příkaz:

Poznámka:

V hodnotě none se rozlišují malá a velká písmena. Musí to být malá písmena.

az vm update -n myVM -g myResourceGroup --set identity.type="none"

Spravovaná identita přiřazená uživatelem

V této části se dozvíte, jak přidat a odebrat spravovanou identitu přiřazenou uživatelem z virtuálního počítače Azure pomocí Azure CLI. Pokud vytvoříte uživatelsky přiřazenou spravovanou identitu v jiné skupině prostředků než váš virtuální počítač. K jeho přiřazení k virtuálnímu počítači budete muset použít adresu URL spravované identity. Příklad:

--identities "/subscriptions/<SUBID>/resourcegroups/<RESROURCEGROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER_ASSIGNED_ID_NAME>"

Přiřazení spravované identity přiřazené uživatelem během vytváření virtuálního počítače Azure

Pokud chcete přiřadit identitu přiřazenou uživatelem k virtuálnímu počítači během jejího vytváření, váš účet potřebuje přiřazení rolí Přispěvatel virtuálních počítačů a Operátor spravované identity. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

  1. Tento krok můžete přeskočit, pokud už máte skupinu prostředků, kterou chcete použít. Pomocí příkazu az group create vytvořte skupinu prostředků pro správu a nasazení vaší uživatelsky přiřazené spravované identity. Nezapomeňte nahradit hodnoty parametrů <RESOURCE GROUP> a <LOCATION> vlastními hodnotami. :

    az group create --name <RESOURCE GROUP> --location <LOCATION>

  2. Vytvořte spravovanou identitu přiřazenou uživatelem pomocí příkazu az identity create. Parametr -g určuje skupinu prostředků, ve které se spravovaná identita přiřazená uživatelem vytvoří, a parametr -n určuje její název.

    Důležité

    Při vytváření spravovaných identit přiřazených uživatelem musí název začínat písmenem nebo číslem a může obsahovat kombinaci alfanumerických znaků, pomlček (-) a podtržítka (_). Aby přiřazení k virtuálnímu počítači nebo škálovací sadě virtuálních počítačů fungovalo správně, je název omezen na 24 znaků. Další informace najdete v tématu Nejčastější dotazy a známé problémy.

    az identity create -g myResourceGroup -n myUserAssignedIdentity

    Odpověď obsahuje podrobnosti o vytvořené spravované identitě přiřazené uživatelem, podobně jako v následujícím příkladu. Hodnota ID prostředku přiřazená spravované identitě přiřazené uživatelem se používá v následujícím kroku.

    {
    "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
    "clientSecretUrl": "https://control-westcentralus.identity.azure.net/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<myUserAssignedIdentity>/credentials?tid=5678&oid=9012&aid=aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
    "id": "/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>",
    "location": "westcentralus",
    "name": "<USER ASSIGNED IDENTITY NAME>",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "resourceGroup": "<RESOURCE GROUP>",
    "tags": {},
    "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
    "type": "Microsoft.ManagedIdentity/userAssignedIdentities"    
}

  3. Vytvořte virtuální počítač pomocí příkazu az vm create. Následující příklad vytvoří VM spojený s novou identitou přiřazenou uživatelem podle parametru --assign-identity, se specifikovanými --role a --scope. Nezapomeňte nahradit hodnoty parametru <RESOURCE GROUP>, , <VM NAME><USER NAME><PASSWORD><USER ASSIGNED IDENTITY NAME><ROLE>a <SUBSCRIPTION> parametru vlastními hodnotami.

    az vm create --resource-group <RESOURCE GROUP> --name <VM NAME> --image <SKU linux image>  --admin-username <USER NAME> --admin-password <PASSWORD> --assign-identity <USER ASSIGNED IDENTITY NAME> --role <ROLE> --scope <SUBSCRIPTION>

Přiřazení spravované identity přiřazené uživatelem k existujícímu virtuálnímu počítači Azure

Pokud chcete přiřadit identitu přiřazenou uživatelem k virtuálnímu počítači, váš účet potřebuje roli Přispěvatel pro virtuální počítače a roli Operátor spravovaných identit. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

  1. Vytvořte identitu přiřazenou uživatelem pomocí příkazu az identity create. Parametr -g určuje skupinu prostředků, ve které se vytvoří identita přiřazená uživatelem, a -n parametr určuje jeho název. Nezapomeňte nahradit hodnoty parametrů <RESOURCE GROUP> a <USER ASSIGNED IDENTITY NAME> vlastními hodnotami:

    Důležité

    Vytváření spravovaných identit přiřazených uživatelem se speciálními znaky (tj. podtržítkem) v názvu se v současné době nepodporuje. Použijte alfanumerické znaky. Vraťte se sem a přečtěte si nové informace. Další informace najdete v nejčastějších dotazech a známých problémech.

    az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>

    Odpověď obsahuje podrobnosti o vytvořené spravované identitě přiřazené uživatelem, podobně jako v následujícím příkladu.

    {
  "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "clientSecretUrl": "https://control-westcentralus.identity.azure.net/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/credentials?tid=5678&oid=9012&aid=aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
  "id": "/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>",
  "location": "westcentralus",
  "name": "<USER ASSIGNED IDENTITY NAME>",
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
  "resourceGroup": "<RESOURCE GROUP>",
  "tags": {},
  "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
  "type": "Microsoft.ManagedIdentity/userAssignedIdentities"    
}

  2. Přiřaďte k virtuálnímu počítači identitu přiřazenou uživatelem pomocí příkazu az vm identity assign. Nezapomeňte nahradit hodnoty parametrů <RESOURCE GROUP> a <VM NAME> vlastními hodnotami. Jedná se <USER ASSIGNED IDENTITY NAME> o vlastnost prostředku name spravované identity přiřazenou uživatelem, jak je vytvořeno v předchozím kroku. Pokud jste vytvořili uživatelsky přiřazenou spravovanou identitu ve jiné skupině prostředků než je váš virtuální počítač. Budete muset použít adresu URL spravované identity.

    az vm identity assign -g <RESOURCE GROUP> -n <VM NAME> --identities <USER ASSIGNED IDENTITY>

Odebrání spravované identity přiřazené uživatelem z virtuálního počítače Azure

Pokud chcete z virtuálního počítače odebrat uživatelsky přiřazenou identitu, váš účet potřebuje přiřazení role Přispěvatel virtuálních počítačů.

Pokud se jedná o jedinou spravovanou identitu přiřazenou uživatelem k virtuálnímu počítači, UserAssigned bude odebrána z hodnoty typu identity. Nezapomeňte nahradit hodnoty parametrů <RESOURCE GROUP> a <VM NAME> vlastními hodnotami. Bude to <USER ASSIGNED IDENTITY> vlastnost identity name přiřazená uživatelem, kterou najdete v části identit virtuálního počítače pomocí az vm identity show:

az vm identity remove -g <RESOURCE GROUP> -n <VM NAME> --identities <USER ASSIGNED IDENTITY>

Pokud váš virtuální počítač nemá spravovanou identitu přiřazenou systémem a chcete z ní odebrat všechny identity přiřazené uživatelem, použijte následující příkaz:

Poznámka:

V hodnotě none se rozlišují malá a velká písmena. Musí to být malá písmena.

az vm update -n myVM -g myResourceGroup --set identity.type="none" identity.userAssignedIdentities=null

Pokud má váš virtuální počítač identity přiřazené systémem i uživatelem, můžete odebrat všechny identity přiřazené uživatelem tak, že přejdete na používání pouze systémem přiřazených identit. Použijte následující příkaz:

az vm update -n myVM -g myResourceGroup --set identity.type='SystemAssigned' identity.userAssignedIdentities=null

Další kroky

V tomto článku se pomocí PowerShellu naučíte provádět následující spravované identity pro operace prostředků Azure na virtuálním počítači Azure.

Poznámka:

Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Požadavky

  • Pokud neznáte spravované identity pro prostředky Azure, projděte si část s přehledem. Nezapomeňte zkontrolovat rozdíl mezi spravovanou identitou přiřazenou systémem a přiřazenou uživatelem.
  • Pokud ještě nemáte účet Azure, zaregistrujte si bezplatný účet před tím, než budete pokračovat.
  • Pokud chcete spustit ukázkové skripty, máte dvě možnosti:
    • Použijte Azure Cloud Shell, který můžete otevřít pomocí tlačítka Vyzkoušet v pravém horním rohu bloků kódu.
    • Spusťte skripty místně instalací nejnovější verze Azure PowerShellu a pak se přihlaste k Azure pomocí Connect-AzAccount.

Spravovaná identita přiřazená systémem

V této části si projdeme, jak povolit a zakázat spravovanou identitu přiřazenou systémem pomocí Azure PowerShellu.

Při vytváření virtuálního počítače Azure povolit systémově přiřazenou spravovanou identitu.

Pokud chcete vytvořit virtuální počítač Azure s povolenou spravovanou identitou přiřazenou systémem, váš účet potřebuje přiřazení role Přispěvatel pro virtuální počítače. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

  1. Projděte si jeden z následujících rychlých startů pro virtuální počítače Azure a vyplňte jenom potřebné části (Přihlášení k Azure, Vytvoření skupiny prostředků, Vytvoření síťové skupiny, Vytvoření virtuálního počítače).

    Když se dostanete do části Vytvoření virtuálního počítače, proveďte mírnou změnu syntaxe rutiny New-AzVMConfig . Nezapomeňte přidat -IdentityType SystemAssigned parametr pro zřízení virtuálního počítače s povolenou identitou přiřazenou systémem, například:

    $vmConfig = New-AzVMConfig -VMName myVM -IdentityType SystemAssigned ...

Povolení systémem přiřazené spravované identity na stávajícím Azure virtuálním počítači

Pokud chcete povolit spravovanou identitu přiřazovanou systémem na virtuálním počítači, který byl původně zřízený bez ní, váš účet potřebuje přiřazení role Přispěvatel Virtuálních Počítačů. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

  1. Pomocí rutiny Get-AzVM načtěte vlastnosti virtuálního počítače. Abyste povolili spravovanou identitu přiřazenou systémem, použijte přepínač -IdentityType v příkazové rutině Update-AzVM:

    $vm = Get-AzVM -ResourceGroupName myResourceGroup -Name myVM
Update-AzVM -ResourceGroupName myResourceGroup -VM $vm -IdentityType SystemAssigned

Přidání identity přiřazené systémem virtuálního počítače do skupiny

Jakmile na virtuálním počítači povolíte identitu přiřazenou systémem, můžete ji přidat do skupiny. Následující postup přidá identitu přiřazenou systémem virtuálního počítače do skupiny.

  1. Načtěte a poznamenejte si ObjectID (jak je uvedeno v Id poli vrácených hodnot) instančního objektu virtuálního počítače:

    Get-AzADServicePrincipal -displayname "myVM"

  2. Načtěte a poznamenejte si ObjectID (jak je to uvedeno v poli Id návratových hodnot) skupiny:

    Get-AzADGroup -searchstring "myGroup"

  3. Přidejte předmět služby virtuálního počítače do skupiny:

    New-MgGroupMember -GroupId "<Id of group>" -DirectoryObjectId "<Id of VM service principal>"

Zakázání spravované identity přiřazené systémem z virtuálního počítače Azure

Pokud chcete zakázat na virtuálním počítači spravovanou identitu přiřazenou systémem, váš účet potřebuje přiřazení role Přispěvatel pro virtuální počítače. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

Pokud máte virtuální počítač, který už nepotřebuje spravovanou identitu přiřazenou systémem, ale přesto potřebuje spravované identity přiřazené uživatelem, použijte následující rutinu:

  1. Načtěte vlastnosti virtuálního počítače pomocí rutiny Get-AzVM a nastavte parametr na -IdentityTypeUserAssigned :

    $vm = Get-AzVM -ResourceGroupName myResourceGroup -Name myVM
Update-AzVm -ResourceGroupName myResourceGroup -VM $vm -IdentityType "UserAssigned" -IdentityID "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/<RESROURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>..."

Pokud máte virtuální počítač, který už nepotřebuje spravovanou identitu přiřazenou systémem a nemá spravované identity přiřazené uživatelem, použijte následující příkazy:

$vm = Get-AzVM -ResourceGroupName myResourceGroup -Name myVM
Update-AzVm -ResourceGroupName myResourceGroup -VM $vm -IdentityType None

Spravovaná identita přiřazená uživatelem

V této části se dozvíte, jak přidat a odebrat spravovanou identitu přiřazenou uživatelem z virtuálního počítače pomocí Azure PowerShellu.

Přiřazení spravované identity přiřazené uživatelem k virtuálnímu počítači během vytváření

Pokud chcete přiřadit identitu přiřazenou uživatelem k virtuálnímu počítači, váš účet potřebuje přiřazení rolí Přispěvatel do virtuálních počítačů a Operátor spravovaných identit. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

  1. Projděte si jeden z následujících rychlých startů pro virtuální počítače Azure a vyplňte jenom potřebné části (Přihlášení k Azure, Vytvoření skupiny prostředků, Vytvoření síťové skupiny, Vytvoření virtuálního počítače).

    Když se dostanete do části Vytvoření virtuálního počítače, proveďte malou změnu New-AzVMConfig syntaxe rutiny. Přidejte parametry -IdentityType UserAssigned a -IdentityID pro zřízení virtuálního počítače s identitou přiřazenou uživatelem. Nahraďte <VM NAME>, <SUBSCRIPTION ID>, <RESROURCE GROUP> a <USER ASSIGNED IDENTITY NAME> vlastními hodnotami. Příklad:

    $vmConfig = New-AzVMConfig -VMName <VM NAME> -IdentityType UserAssigned -IdentityID "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/<RESROURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>..."

Přiřazení spravované identity přiřazené uživatelem k existujícímu virtuálnímu počítači Azure

Pokud chcete přiřadit identitu přiřazenou uživatelem k virtuálnímu počítači, váš účet potřebuje přiřazení rolí Přispěvatel virtuálních počítačů a Operátor spravované identity. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

  1. Vytvořte spravovanou identitu přiřazenou uživatelem pomocí rutiny New-AzUserAssignedIdentity . Všimněte si Id ve výstupu, protože tyto informace budete potřebovat v dalším kroku.

    Důležité

    Vytváření spravovaných identit přiřazených uživatelem podporuje pouze alfanumerické znaky, podtržítka a pomlčky (0-9 nebo a-z nebo A-Z, _ nebo -). Kromě toho by měl být název omezen na délku 3 až 128 znaků, aby přiřazení k virtuálnímu počítači nebo VMSS fungovalo správně. Další informace najdete v nejčastějších dotazech a známých problémech.

    New-AzUserAssignedIdentity -ResourceGroupName <RESOURCEGROUP> -Name <USER ASSIGNED IDENTITY NAME>

  2. Pomocí rutiny Get-AzVM načtěte vlastnosti virtuálního počítače. Na virtuální počítač Azure přiřadíte spravovanou identitu přiřazenou uživatelem pomocí přepínačů -IdentityType a -IdentityID u rutiny Update-AzVM. Hodnota parametru-IdentityId je hodnota, kterou Id jste si poznamenali v předchozím kroku. Nahraďte <VM NAME>, <SUBSCRIPTION ID>a <RESROURCE GROUP><USER ASSIGNED IDENTITY NAME> vlastními hodnotami.

    Varování

    Pokud chcete zachovat všechny dříve uživatelem přiřazené spravované identity přiřazené k virtuálnímu počítači, zadejte dotaz na Identity vlastnost objektu virtuálního počítače (například $vm.Identity). Pokud se vrátí nějaká spravovaná identita přiřazená uživatelem, zahrňte je do následujícího příkazu spolu s novou spravovanou identitou přiřazenou uživatelem, kterou chcete přiřadit k virtuálnímu počítači.

    $vm = Get-AzVM -ResourceGroupName <RESOURCE GROUP> -Name <VM NAME>

# Get the list of existing identity IDs and then append to it
$identityIds = $vm.Identity.UserAssignedIdentities.Keys
$uid = "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/<RESROURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>"
$identityIds = $identityIds + $uid 

# Update the VM with added identity IDs
Update-AzVM -ResourceGroupName <RESOURCE GROUP> -VM $vm -IdentityType UserAssigned -IdentityID $uid

Odebrání spravované identity přiřazené uživatelem z virtuálního počítače Azure

Pokud chcete z virtuálního počítače odebrat identitu přiřazenou uživatelem, váš účet musí mít přiřazenou roli Přispěvatel pro virtuální počítače.

Pokud má váš virtuální počítač více spravovaných identit přiřazených uživatelem, můžete odebrat všechny identity kromě poslední identity pomocí následujících příkazů. Nezapomeňte nahradit hodnoty parametrů <RESOURCE GROUP> a <VM NAME> vlastními hodnotami. Jedná se <USER ASSIGNED IDENTITY NAME> o vlastnost názvu spravované identity přiřazenou uživatelem, která by měla zůstat na virtuálním počítači. Tyto informace lze zjistit pomocí dotazu k vyhledání Identity vlastnosti objektu virtuálního počítače. Příklad: $vm.Identity

$vm = Get-AzVm -ResourceGroupName myResourceGroup -Name myVm
Update-AzVm -ResourceGroupName myResourceGroup -VirtualMachine $vm -IdentityType UserAssigned -IdentityID <USER ASSIGNED IDENTITY NAME>

Pokud váš virtuální počítač nemá spravovanou identitu přiřazenou systémem a chcete z ní odebrat všechny spravované identity přiřazené uživatelem, použijte následující příkaz:

$vm = Get-AzVm -ResourceGroupName myResourceGroup -Name myVm
Update-AzVm -ResourceGroupName myResourceGroup -VM $vm -IdentityType None

Pokud má váš virtuální počítač spravované identity přiřazené systémem i spravované identity přiřazené uživatelem, můžete odebrat všechny spravované identity přiřazené uživatelem tak, že přepnete na použití jenom spravovaných identit přiřazených systémem.

$vm = Get-AzVm -ResourceGroupName myResourceGroup -Name myVm
Update-AzVm -ResourceGroupName myResourceGroup -VirtualMachine $vm -IdentityType "SystemAssigned"

Další kroky

V tomto článku se pomocí šablony nasazení Azure Resource Manageru naučíte provádět následující spravované identity pro operace prostředků Azure na virtuálním počítači Azure:

Požadavky

Šablony Azure Resource Manageru

Stejně jako u webu Azure Portal a skriptování vám šablony Azure Resource Manageru umožňují nasadit nové nebo upravené prostředky definované skupinou prostředků Azure. Pro úpravy a nasazení šablony je k dispozici několik možností, včetně místních i portálových:

Bez ohledu na zvolenou možnost je syntaxe šablony stejná při počátečním nasazení a opětovném nasazení. Povolení spravované identity přiřazené systémem nebo uživatelem na novém nebo existujícím virtuálním počítači se provádí stejným způsobem. Také ve výchozím nastavení Azure Resource Manager provádí přírůstkovou aktualizaci nasazení.

Spravovaná identita přiřazená systémem

V této části povolíte a zakážete spravovanou identitu přiřazenou systémem pomocí šablony Azure Resource Manageru.

Povolení spravované identity přiřazené systémem během vytváření virtuálního počítače Azure nebo na existujícím virtuálním počítači

Pokud chcete na virtuálním počítači povolit systémem přiřazenou spravovanou identitu, váš účet potřebuje přiřazení role Přispěvatel pro virtuální počítače. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

  1. Bez ohledu na to, jestli se přihlásíte k Azure místně nebo přes Azure Portal, použijte účet přidružený k předplatnému Azure, které obsahuje virtuální počítač.

  2. Pokud chcete povolit spravovanou identitu přiřazenou systémem, načtěte šablonu do editoru, vyhledejte Microsoft.Compute/virtualMachines prostředek zájmu v oddílu resources a přidejte "identity" vlastnost na stejné úrovni jako "type": "Microsoft.Compute/virtualMachines" vlastnost. Použijte následující syntax:

    "identity": {
    "type": "SystemAssigned"
},

  3. Až budete hotovi, měly by se do resource oddílu šablony přidat následující oddíly, které by měly vypadat přibližně takto:

     "resources": [
     {
         //other resource provider properties...
         "apiVersion": "2018-06-01",
         "type": "Microsoft.Compute/virtualMachines",
         "name": "[variables('vmName')]",
         "location": "[resourceGroup().location]",
         "identity": {
             "type": "SystemAssigned",
             }                        
     }
 ]

Přiřazení role systémově přiřazené spravované identity virtuálního počítače

Jakmile na virtuálním počítači povolíte spravovanou identitu přiřazenou systémem, můžete jí udělit roli, například přístup čtenáře ke skupině prostředků, ve které byla vytvořena. Podrobné informace, které vám pomůžou s tímto krokem, najdete v článku Přiřazení rolí Azure pomocí šablon Azure Resource Manageru.

Zakázání spravované identity přiřazené systémem z virtuálního počítače Azure

Pokud chcete odebrat systémem přiřazenou spravovanou identitu z virtuálního počítače, váš účet potřebuje roli Přispěvatel virtuálních počítačů. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

  1. Bez ohledu na to, jestli se přihlásíte k Azure místně nebo přes Azure Portal, použijte účet přidružený k předplatnému Azure, které obsahuje virtuální počítač.

  2. Načtěte šablonu do editoru a vyhledejte požadovaný prostředek v oddílu resources. Pokud máte virtuální počítač, který má pouze spravovanou identitu přiřazenou systémem, můžete ji zakázat změnou typu identity na None.

    Microsoft.Compute/virtualMachines API verze 2018-06-01

    Pokud má váš virtuální počítač jak systémem, tak uživatelem přiřazené spravované identity, odeberte SystemAssigned z typu identity a ponechte UserAssigned spolu s hodnotami ze slovníku userAssignedIdentities.

    Microsoft.Compute/virtualMachines API verze 2018-06-01

    Pokud má váš apiVersion2017-12-01 a váš virtuální počítač má jak systémem přiřazené, tak uživatelem přiřazené spravované identity, odeberte SystemAssigned z typu identity a ponechte UserAssigned spolu s polem identityIds uživatelem přiřazených spravovaných identit.

Následující příklad ukazuje, jak odebrat spravovanou identitu přiřazenou systémem z virtuálního počítače bez spravovaných identit přiřazených uživatelem:

{
    "apiVersion": "2018-06-01",
    "type": "Microsoft.Compute/virtualMachines",
    "name": "[parameters('vmName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "None"
    }
}

Spravovaná identita přiřazená uživatelem

V této části přiřadíte spravované identitě přiřazené uživatelem k virtuálnímu počítači Azure pomocí šablony Azure Resource Manageru.

Poznámka:

Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem pomocí šablony Azure Resource Manageru, přečtěte si téma Vytvoření spravované identity přiřazené uživatelem.

Přiřazení spravované identity přiřazené uživatelem k virtuálnímu počítači Azure

Pokud chcete přiřadit uživatelem přiřazenou identitu k virtuálnímu počítači, váš účet potřebuje přiřazení role Operátor spravované identity. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

  1. resources Pod element přidejte následující položku pro přiřazení spravované identity přiřazené uživatelem k virtuálnímu počítači. Nezapomeňte nahradit <USERASSIGNEDIDENTITY> názvem spravované identity přiřazené uživatelem, kterou jste vytvořili.

    Microsoft.Compute/virtualMachines API verze 2018-06-01

    Pokud váš apiVersion je 2018-06-01, spravované identity přiřazené uživatelem se ukládají ve formátu userAssignedIdentities slovníku a hodnota <USERASSIGNEDIDENTITYNAME> musí být uložena v proměnné definované v části variables vaší šablony.

     {
     "apiVersion": "2018-06-01",
     "type": "Microsoft.Compute/virtualMachines",
     "name": "[variables('vmName')]",
     "location": "[resourceGroup().location]",
     "identity": {
         "type": "userAssigned",
         "userAssignedIdentities": {
             "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {}
         }
     }
 }

    Microsoft.Compute/virtualMachines API verze 2017-12-01

    apiVersion Pokud je vaše apiVersion nastavena na 2017-12-01, vaše spravované identity přiřazené uživatelem se ukládají do pole identityIds a hodnota <USERASSIGNEDIDENTITYNAME> musí být uložená v proměnné definované v části variables vaší šablony.

    {
    "apiVersion": "2017-12-01",
    "type": "Microsoft.Compute/virtualMachines",
    "name": "[variables('vmName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "userAssigned",
        "identityIds": [
            "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]"
        ]
    }
}

  2. Až budete hotovi, měly by se do resource oddílu šablony přidat následující oddíly, které by měly vypadat přibližně takto:

    Microsoft.Compute/virtualMachines API verze 2018-06-01

      "resources": [
     {
         //other resource provider properties...
         "apiVersion": "2018-06-01",
         "type": "Microsoft.Compute/virtualMachines",
         "name": "[variables('vmName')]",
         "location": "[resourceGroup().location]",
         "identity": {
             "type": "userAssigned",
             "userAssignedIdentities": {
                "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {}
             }
         }
     }
 ]

    Microsoft.Compute/virtualMachines API verze 2017-12-01

    "resources": [
     {
         //other resource provider properties...
         "apiVersion": "2017-12-01",
         "type": "Microsoft.Compute/virtualMachines",
         "name": "[variables('vmName')]",
         "location": "[resourceGroup().location]",
         "identity": {
             "type": "userAssigned",
             "identityIds": [
                "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]"
             ]
         }
     }
]

Odebrání spravované identity přiřazené uživatelem z virtuálního počítače Azure

Pokud chcete odebrat uživatelem přiřazenou identitu z virtuálního počítače, váš účet potřebuje přiřazení role Přispěvatel virtuálního počítače. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

  1. Bez ohledu na to, jestli se přihlásíte k Azure místně nebo přes Azure Portal, použijte účet přidružený k předplatnému Azure, které obsahuje virtuální počítač.

  2. Načtěte šablonu do editoru a vyhledejte Microsoft.Compute/virtualMachines požadovaný prostředek v sekci resources. Pokud máte virtuální počítač, který má jenom spravovanou identitu přiřazenou uživatelem, můžete ji zakázat změnou typu identity na None.

    Následující příklad ukazuje, jak odebrat všechny spravované identity přiřazené uživatelem z virtuálního počítače bez spravovaných identit přiřazených systémem:

     {
   "apiVersion": "2018-06-01",
   "type": "Microsoft.Compute/virtualMachines",
   "name": "[parameters('vmName')]",
   "location": "[resourceGroup().location]",
   "identity": {
       "type": "None"
       },
 }

    Microsoft.Compute/virtualMachines API verze 2018-06-01

    Pokud chcete odebrat jednu uživatelsky přiřazenou spravovanou identitu z virtuálního počítače, odeberte ji ze slovníku useraAssignedIdentities.

    Pokud máte systémem přiřazenou spravovanou identitu, ponechte ji v hodnotě type pod hodnotou identity.

    Microsoft.Compute/virtualMachines API verze 2017-12-01

    Pokud chcete z virtuálního počítače odebrat jednu spravovanou identitu přiřazenou uživatelem, odeberte ji z identityIds pole.

    Pokud máte spravovanou identitu přiřazenou systémem, ponechte ji pod hodnotou identity v hodnotě type.

Další kroky

  • Přehled spravovaných identit pro prostředky Azure

V tomto článku se pomocí CURL k volání koncového bodu REST Azure Resource Manageru naučíte provádět operace týkající se spravovaných identit pro prostředky Azure na virtuálním počítači Azure.

  • Povolení a zakázání spravované identity přiřazené systémem na virtuálním počítači Azure
  • Přidání a odebrání spravované identity přiřazené uživatelem na virtuálním počítači Azure

Pokud ještě nemáte účet Azure, zaregistrujte si bezplatný účet před tím, než budete pokračovat.

Požadavky

Spravovaná identita přiřazená systémem

V této části se dozvíte, jak povolit a zakázat spravovanou identitu přiřazenou systémem na virtuálním počítači Azure pomocí nástroje CURL k volání koncového bodu REST Azure Resource Manageru.

Povolení systémem přiřazené spravované identity během vytváření virtuálního počítače Azure

Pokud chcete vytvořit virtuální počítač Azure s povolenou spravovanou identitou přiřazenou systémem, váš účet potřebuje přiřazení role přispěvatele virtuálních počítačů. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

  1. Pomocí příkazu az group create vytvořte skupinu prostředků pro nasazení a uchování virtuálního počítače a souvisejících prostředků. Pokud už máte skupinu prostředků, kterou chcete použít, můžete tento krok přeskočit:

    az group create --name myResourceGroup --location westus

  2. Vytvořte síťové rozhraní pro virtuální počítač:

     az network nic create -g myResourceGroup --vnet-name myVnet --subnet mySubnet -n myNic

  3. Načtěte nosný přístupový token, který použijete v dalším kroku v autorizační hlavičce k vytvoření virtuálního počítače se spravovanou identitou přiřazenou systémem.

    az account get-access-token

  4. Pomocí Azure Cloud Shellu vytvořte virtuální počítač pomocí NÁSTROJE CURL pro volání koncového bodu REST Azure Resource Manageru. Následující příklad vytvoří virtuální počítač myVM s spravovanou identitou přiřazenou systémem, jak je uvedeno v textu požadavku hodnotou "identity":{"type":"SystemAssigned"}. Nahraďte <ACCESS TOKEN> hodnotou, kterou jste obdrželi v předchozím kroku, když jste požadovali nosný přístupový token a <SUBSCRIPTION ID> hodnotu podle potřeby pro vaše prostředí.

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PUT -d '{"location":"westus","name":"myVM","identity":{"type":"SystemAssigned"},"properties":{"hardwareProfile":{"vmSize":"Standard_D2_v2"},"storageProfile":{"imageReference":{"sku":"2016-Datacenter","publisher":"MicrosoftWindowsServer","version":"latest","offer":"WindowsServer"},"osDisk":{"caching":"ReadWrite","managedDisk":{"storageAccountType":"StandardSSD_LRS"},"name":"myVM3osdisk","createOption":"FromImage"},"dataDisks":[{"diskSizeGB":1023,"createOption":"Empty","lun":0},{"diskSizeGB":1023,"createOption":"Empty","lun":1}]},"osProfile":{"adminUsername":"azureuser","computerName":"myVM","adminPassword":"<SECURE PASSWORD STRING>"},"networkProfile":{"networkInterfaces":[{"id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myNic","properties":{"primary":true}}]}}}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"

    PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1

    Hlavičky požadavku

    Hlavička požadavku Popis
    Typ obsahu Povinné Nastavte na application/json.
    Autorizace Povinný Nastavte platný Bearer přístupový token.

    Text požadavku

      {
    "location":"westus",
    "name":"myVM",
    "identity":{
       "type":"SystemAssigned"
    },
    "properties":{
       "hardwareProfile":{
          "vmSize":"Standard_D2_v2"
       },
       "storageProfile":{
          "imageReference":{
             "sku":"2016-Datacenter",
             "publisher":"MicrosoftWindowsServer",
             "version":"latest",
             "offer":"WindowsServer"
          },
          "osDisk":{
             "caching":"ReadWrite",
             "managedDisk":{
                "storageAccountType":"StandardSSD_LRS"
             },
             "name":"myVM3osdisk",
             "createOption":"FromImage"
          },
          "dataDisks":[
             {
                "diskSizeGB":1023,
                "createOption":"Empty",
                "lun":0
             },
             {
                "diskSizeGB":1023,
                "createOption":"Empty",
                "lun":1
             }
          ]
       },
       "osProfile":{
          "adminUsername":"azureuser",
          "computerName":"myVM",
          "adminPassword":"myPassword12"
       },
       "networkProfile":{
          "networkInterfaces":[
             {
                "id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myNic",
                "properties":{
                   "primary":true
                }
             }
          ]
       }
    }
 }

Povolení identity přiřazené systémem na existujícím virtuálním počítači Azure

Pokud chcete povolit spravovanou identitu přiřazenou systémem na virtuálním počítači, který byl původně zřízen bez ní, váš účet potřebuje přiřazení role Přispěvatel virtuálních počítačů. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

  1. Načtěte nosný přístupový token, který použijete v dalším kroku v autorizační hlavičce k vytvoření virtuálního počítače se spravovanou identitou přiřazenou systémem.

    az account get-access-token

  2. Pomocí následujícího příkazu CURL zavolejte koncový bod REST Azure Resource Manageru, abyste povolili systémem přiřazenou spravovanou identitu na vašem virtuálním počítači, jak je identifikováno v textu požadavku hodnotou {"identity":{"type":"SystemAssigned"} pro virtuální počítač jménem myVM. Nahraďte <ACCESS TOKEN> hodnotou, kterou jste obdrželi v předchozím kroku, když jste požadovali nosný přístupový token a <SUBSCRIPTION ID> hodnotu podle potřeby pro vaše prostředí.

    Důležité

    Abyste měli jistotu, že neodstraníte žádné existující spravované identity přiřazené uživatelem, které jsou přiřazené k virtuálnímu počítači, musíte pomocí tohoto příkazu CURL zobrazit seznam spravovaných identit přiřazených uživatelem: curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachines/<VM NAME>?api-version=2018-06-01' -H "Authorization: Bearer <ACCESS TOKEN>" Pokud máte k virtuálnímu počítači přiřazené všechny spravované identity přiřazené uživatelem, jak je uvedeno v identity hodnotě v odpovědi, přeskočte ke kroku 3, který ukazuje, jak zachovat spravované identity přiřazené uživatelem při povolování spravované identity přiřazené systémem na virtuálním počítači.

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"SystemAssigned"}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"

    PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1

    Hlavičky požadavku

    Hlavička požadavku Popis
    Typ obsahu Povinné. Nastavte na application/json.
    Autorizace Povinný Nastavte platný Bearer přístupový token.

    Text požadavku

     {  
    "identity":{  
       "type":"SystemAssigned"
    }
 }

  3. Pokud chcete povolit spravovanou identitu přidělenou systémem na virtuálním počítači se stávajícími spravovanými identitami přidělenými uživatelem, musíte přidat SystemAssigned na hodnotu type.

    Pokud má váš virtuální počítač například spravované identity ID1 přiřazené uživatelem a ID2 přiřazené k němu a chcete k virtuálnímu počítači přidat spravovanou identitu přiřazenou systémem, použijte následující volání CURL. Nahraďte <ACCESS TOKEN> a <SUBSCRIPTION ID> hodnotami vhodnými pro vaše prostředí.

    Verze 2018-06-01 rozhraní API ukládá spravované identity přiřazené uživatelem v userAssignedIdentities hodnotě ve formátu slovníku, na rozdíl od formátu pole použitého ve verzi 2017-12-01 rozhraní API.

    ROZHRANÍ API VERZE 2018-06-01

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"SystemAssigned, UserAssigned", "userAssignedIdentities":{"/subscriptions/<<SUBSCRIPTION ID>>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{},"/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":{}}}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"

    PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1

    Hlavičky požadavku

    Hlavička požadavku Popis
    Typ obsahu Povinné. Nastavte na application/json.
    Autorizace Povinné Nastavte platný Bearer přístupový token.

    Text požadavku

     {  
    "identity":{  
       "type":"SystemAssigned, UserAssigned",
       "userAssignedIdentities":{  
          "/subscriptions/<<SUBSCRIPTION ID>>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{  

          },
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":{  

          }
       }
    }
 }

    API verze 2017-12-01

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01' -X PATCH -d '{"identity":{"type":"SystemAssigned, UserAssigned", "identityIds":["/subscriptions/<<SUBSCRIPTION ID>>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1","/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2"]}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"

    PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01 HTTP/1.1

    Hlavičky požadavku

    Hlavička požadavku Popis
    Typ obsahu Povinné Nastavte na application/json.
    Autorizace Povinně. Nastavte platný Bearer přístupový token.

    Text požadavku

     {  
    "identity":{  
       "type":"SystemAssigned, UserAssigned",
       "identityIds":[  
          "/subscriptions/<<SUBSCRIPTION ID>>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1",
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2"
       ]
    }
 }

Zakázání spravované identity přiřazené systémem z virtuálního počítače Azure

Pokud chcete na virtuálním počítači zakázat systémem přiřazenou spravovanou identitu, váš účet potřebuje roli Přispěvatele pro virtuální počítače. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

  1. Načtěte nosný přístupový token, který použijete v dalším kroku v autorizační hlavičce k vytvoření virtuálního počítače se spravovanou identitou přiřazenou systémem.

    az account get-access-token

  2. Aktualizujte virtuální počítač pomocí nástroje CURL k volání koncového bodu REST Azure Resource Manageru, a zakažte tak spravovanou identitu přiřazenou systémem. Následující příklad zakáže spravovanou identitu přiřazenou systémem, jak je identifikována v textu požadavku hodnotou {"identity":{"type":"None"}} virtuálního počítače s názvem myVM. Nahraďte <ACCESS TOKEN> hodnotou, kterou jste obdrželi v předchozím kroku, když jste požadovali nosný přístupový token a <SUBSCRIPTION ID> hodnotu podle potřeby pro vaše prostředí.

    Důležité

    Abyste měli jistotu, že neodstraníte žádné existující spravované identity přiřazené uživatelem, které jsou přiřazené k virtuálnímu počítači, musíte pomocí tohoto příkazu CURL zobrazit seznam spravovaných identit přiřazených uživatelem: curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachines/<VM NAME>?api-version=2018-06-01' -H "Authorization: Bearer <ACCESS TOKEN>" Pokud máte k virtuálnímu počítači přiřazené všechny spravované identity přiřazené uživatelem, jak je uvedeno v identity hodnotě v odpovědi, přeskočte ke kroku 3, který ukazuje, jak zachovat spravované identity přiřazené uživatelem při zakazování spravované identity přiřazené systémem na virtuálním počítači.

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"None"}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"

    PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1

    Hlavičky požadavku

    Hlavička požadavku Popis
    Typ obsahu Povinné: Nastavte na application/json.
    Autorizace Povinné. Nastavte platný Bearer přístupový token.

    Text požadavku

     {  
    "identity":{  
       "type":"None"
    }
 }

    Pokud chcete odebrat spravovanou identitu přiřazenou systémem z virtuálního počítače, který má spravované identity přiřazené uživatelem, odeberte SystemAssigned z hodnoty {"identity":{"type:" "}}, zatímco ponecháte hodnoty UserAssigned a hodnoty slovníku userAssignedIdentities, pokud používáte API verzi 2018-06-01. Pokud používáte rozhraní API verze 2017-12-01 nebo starší, ponechte identityIds pole.

Spravovaná identita přiřazená uživatelem

V této části se dozvíte, jak přidat a odebrat spravovanou identitu přiřazenou uživatelem na virtuálním počítači Azure pomocí nástroje CURL k volání koncového bodu REST Azure Resource Manageru.

Přiřazení spravované identity přiřazené uživatelem během vytváření virtuálního počítače Azure

Pokud chcete přiřadit identitu přiřazenou uživatelem k virtuálnímu počítači, váš účet potřebuje přiřazení rolí Virtuální počítač - Přispěvatel a Operátor spravované identity. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

  1. Načtěte nosný přístupový token, který použijete v dalším kroku v autorizační hlavičce k vytvoření virtuálního počítače se spravovanou identitou přiřazenou systémem.

    az account get-access-token

  2. Vytvořte síťové rozhraní pro virtuální počítač:

     az network nic create -g myResourceGroup --vnet-name myVnet --subnet mySubnet -n myNic

  3. Načtěte nosný přístupový token, který použijete v dalším kroku v autorizační hlavičce k vytvoření virtuálního počítače se spravovanou identitou přiřazenou systémem.

    az account get-access-token

  4. Pomocí zde uvedených pokynů vytvořte spravovanou identitu přiřazenou uživatelem: Vytvořte spravovanou identitu přiřazenou uživatelem.

  5. Vytvořte virtuální počítač pomocí CURL pro volání koncového bodu REST Azure Resource Manageru. Následující příklad vytvoří virtuální počítač myVM ve skupině prostředků myResourceGroup se spravovanou identitou ID1přiřazenou uživatelem, jak je identifikováno v textu požadavku hodnotou "identity":{"type":"UserAssigned"}. Nahraďte <ACCESS TOKEN> hodnotou, kterou jste obdrželi v předchozím kroku, když jste požadovali nosný přístupový token a <SUBSCRIPTION ID> hodnotu podle potřeby pro vaše prostředí.

    ROZHRANÍ API VERZE 2018-06-01

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PUT -d '{"location":"westus","name":"myVM","identity":{"type":"UserAssigned","identityIds":["/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"]},"properties":{"hardwareProfile":{"vmSize":"Standard_D2_v2"},"storageProfile":{"imageReference":{"sku":"2016-Datacenter","publisher":"MicrosoftWindowsServer","version":"latest","offer":"WindowsServer"},"osDisk":{"caching":"ReadWrite","managedDisk":{"storageAccountType":"StandardSSD_LRS"},"name":"myVM3osdisk","createOption":"FromImage"},"dataDisks":[{"diskSizeGB":1023,"createOption":"Empty","lun":0},{"diskSizeGB":1023,"createOption":"Empty","lun":1}]},"osProfile":{"adminUsername":"azureuser","computerName":"myVM","adminPassword":"myPassword12"},"networkProfile":{"networkInterfaces":[{"id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myNic","properties":{"primary":true}}]}}}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"

    PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1

    Hlavičky požadavku

    Hlavička požadavku Popis
    Typ obsahu Povinné Nastavte na application/json.
    Autorizace Povinné Nastavte platný Bearer přístupový token.

    Text požadavku

     {  
    "location":"westus",
    "name":"myVM",
    "identity":{  
       "type":"UserAssigned",
       "identityIds":[  
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"
       ]
    },
    "properties":{  
       "hardwareProfile":{  
          "vmSize":"Standard_D2_v2"
       },
       "storageProfile":{  
          "imageReference":{  
             "sku":"2016-Datacenter",
             "publisher":"MicrosoftWindowsServer",
             "version":"latest",
             "offer":"WindowsServer"
          },
          "osDisk":{  
             "caching":"ReadWrite",
             "managedDisk":{  
                "storageAccountType":"StandardSSD_LRS"
             },
             "name":"myVM3osdisk",
             "createOption":"FromImage"
          },
          "dataDisks":[  
             {  
                "diskSizeGB":1023,
                "createOption":"Empty",
                "lun":0
             },
             {  
                "diskSizeGB":1023,
                "createOption":"Empty",
                "lun":1
             }
          ]
       },
       "osProfile":{  
          "adminUsername":"azureuser",
          "computerName":"myVM",
          "adminPassword":"myPassword12"
       },
       "networkProfile":{  
          "networkInterfaces":[  
             {  
                "id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myNic",
                "properties":{  
                   "primary":true
                }
             }
          ]
       }
    }
 }

    ROZHRANÍ API VERZE 2017-12-01

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01' -X PUT -d '{"location":"westus","name":"myVM","identity":{"type":"UserAssigned","identityIds":["/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"]},"properties":{"hardwareProfile":{"vmSize":"Standard_D2_v2"},"storageProfile":{"imageReference":{"sku":"2016-Datacenter","publisher":"MicrosoftWindowsServer","version":"latest","offer":"WindowsServer"},"osDisk":{"caching":"ReadWrite","managedDisk":{"storageAccountType":"StandardSSD_LRS"},"name":"myVM3osdisk","createOption":"FromImage"},"dataDisks":[{"diskSizeGB":1023,"createOption":"Empty","lun":0},{"diskSizeGB":1023,"createOption":"Empty","lun":1}]},"osProfile":{"adminUsername":"azureuser","computerName":"myVM","adminPassword":"myPassword12"},"networkProfile":{"networkInterfaces":[{"id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myNic","properties":{"primary":true}}]}}}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"

    PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01 HTTP/1.1

    Hlavičky požadavku

    Hlavička požadavku Popis
    Typ obsahu Povinné Nastavte na application/json.
    Autorizace Povinné. Nastavte platný Bearer přístupový token.

    Text požadavku

     {
    "location":"westus",
    "name":"myVM",
    "identity":{
       "type":"UserAssigned",
       "identityIds":[
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"
       ]
    },
    "properties":{
       "hardwareProfile":{
          "vmSize":"Standard_D2_v2"
       },
       "storageProfile":{
          "imageReference":{
             "sku":"2016-Datacenter",
             "publisher":"MicrosoftWindowsServer",
             "version":"latest",
             "offer":"WindowsServer"
          },
          "osDisk":{
             "caching":"ReadWrite",
             "managedDisk":{
                "storageAccountType":"StandardSSD_LRS"
             },
             "name":"myVM3osdisk",
             "createOption":"FromImage"
          },
          "dataDisks":[
             {
                "diskSizeGB":1023,
                "createOption":"Empty",
                "lun":0
             },
             {
                "diskSizeGB":1023,
                "createOption":"Empty",
                "lun":1
             }
          ]
       },
       "osProfile":{
          "adminUsername":"azureuser",
          "computerName":"myVM",
          "adminPassword":"myPassword12"
       },
       "networkProfile":{
          "networkInterfaces":[
             {
                "id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myNic",
                "properties":{
                   "primary":true
                }
             }
          ]
       }
    }
 }

Přiřazení spravované identity přiřazené uživatelem k existujícímu virtuálnímu počítači Azure

Pokud chcete přiřadit uživatelem přiřazenou identitu k virtuálnímu počítači, váš účet potřebuje přiřazení rolí Přispěvatel pro virtuální počítače a Operátor pro spravovanou identitu. Nejsou vyžadována žádná další přiřazení rolí adresáře Microsoft Entra.

  1. Načtěte nosný přístupový token, který použijete v dalším kroku v autorizační hlavičce k vytvoření virtuálního počítače se spravovanou identitou přiřazenou systémem.

    az account get-access-token

  2. Pomocí zde uvedených pokynů vytvořte spravovanou identitu přiřazenou uživatelem. Vytvořte spravovanou identitu přiřazenou uživatelem.

  3. Abyste měli jistotu, že neodstraníte existující spravované identity přiřazené uživatelem nebo systémem, které jsou přiřazené k virtuálnímu počítači, musíte pomocí následujícího příkazu CURL zobrazit seznam typů identit přiřazených k virtuálnímu počítači. Pokud máte spravované identity přiřazené ke škálovací sadě virtuálních počítačů, jsou uvedeny v hodnotě identity.

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachines/<VM NAME>?api-version=2018-06-01' -H "Authorization: Bearer <ACCESS TOKEN>" 

    GET https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachines/<VM NAME>?api-version=2018-06-01 HTTP/1.1

    Záhlaví požadavku

    Hlavička požadavku Popis
    Autorizace Vyžadováno. Nastavte platný Bearer přístupový token.

    Pokud máte k virtuálnímu počítači přiřazené nějaké spravované identity přiřazené uživatelem nebo systémem, jak je uvedeno v identity hodnotě v odpovědi, přeskočte ke kroku 5, který ukazuje, jak zachovat spravovanou identitu přiřazenou systémem při přidávání spravované identity přiřazené uživatelem na virtuálním počítači.

  4. Pokud nemáte přiřazené žádné spravované identity přiřazené uživatelem k virtuálnímu počítači, pomocí následujícího příkazu CURL zavolejte koncový bod REST Azure Resource Manageru a přiřaďte k virtuálnímu počítači první spravovanou identitu přiřazenou uživatelem.

    Následující příklad přiřadí spravovanou identitu ID1 přiřazenou uživatelem k virtuálnímu počítači myVM ve skupině prostředků myResourceGroup. Nahraďte <ACCESS TOKEN> hodnotou, kterou jste obdrželi v předchozím kroku, když jste požadovali nosný přístupový token a <SUBSCRIPTION ID> hodnotu podle potřeby pro vaše prostředí.

    ROZHRANÍ API VERZE 2018-06-01

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"UserAssigned", "userAssignedIdentities":{"/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{}}}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"

    PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1

    Hlavičky požadavku

    Hlavička požadavku Popis
    Typ obsahu Povinné: Nastavte na application/json.
    Autorizace Požadováno Nastavte platný Bearer přístupový token.

    Text požadavku

     {
    "identity":{
       "type":"UserAssigned",
       "userAssignedIdentities":{
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{

          }
       }
    }
 }

    ROZHRANÍ API VERZE 2017-12-01

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01' -X PATCH -d '{"identity":{"type":"userAssigned", "identityIds":["/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"]}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"

    PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01 HTTP/1.1

    Požadované hlavičky

    Hlavička požadavku Popis
    Typ obsahu Povinné Nastavte na application/json.
    Autorizace Povinné Nastavte platný Bearer přístupový token.

    Text požadavku

     {
    "identity":{
       "type":"userAssigned",
       "identityIds":[
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"
       ]
    }
 }

  5. Pokud máte přiřazenou existující spravovanou identitu přiřazenou uživatelem nebo systémem přiřazenou k virtuálnímu počítači:

    ROZHRANÍ API VERZE 2018-06-01

    Přidejte uživatelsky přiřazenou spravovanou identitu do hodnoty slovníku userAssignedIdentities.

    Pokud máte například spravovanou identitu přiřazenou systémem a spravovanou identitu ID1 přiřazenou uživatelem, která je aktuálně přiřazená k virtuálnímu počítači a chcete do ní přidat spravovanou identitu ID2 přiřazenou uživatelem:

    curl  'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"SystemAssigned, UserAssigned", "userAssignedIdentities":{"/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{},"/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":{}}}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"

    PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1

    Hlavičky požadavku

    Hlavička požadavku Popis
    Typ obsahu Povinné Nastavte na application/json.
    Autorizace Požadováno. Nastavte platný Bearer přístupový token.

    Text požadavku

     {
    "identity":{
       "type":"SystemAssigned, UserAssigned",
       "userAssignedIdentities":{
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{

          },
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":{

          }
       }
    }
 }

    ROZHRANÍ API VERZE 2017-12-01

    Při přidávání nové spravované identity přiřazené uživatelem ponechte ty existující, které chcete zachovat, v hodnotě pole identityIds.

    Pokud máte například spravovanou identitu přiřazenou systémem a spravovanou identitu ID1 přiřazenou uživatelem, která je aktuálně přiřazená k virtuálnímu počítači a chcete do ní přidat spravovanou identitu ID2 přiřazenou uživatelem:

    curl  'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01' -X PATCH -d '{"identity":{"type":"SystemAssigned,UserAssigned", "identityIds":["/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1","/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2"]}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"

    PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01 HTTP/1.1

    Hlavičky požadavku

    Hlavička požadavku Popis
    Typ obsahu Povinné. Nastavte na application/json.
    Autorizace Povinné. Nastavte platný Bearer přístupový token.

    Text požadavku

     {
    "identity":{
       "type":"SystemAssigned,UserAssigned",
       "identityIds":[
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1",
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2"
       ]
    }
 }

Odebrání spravované identity přiřazené uživatelem z virtuálního počítače Azure

Pokud chcete odebrat uživatelsky přiřazenou identitu u virtuálního počítače, váš účet potřebuje přiřazení role Přispěvatel pro virtuální počítače.

  1. Načtěte nosný přístupový token, který použijete v dalším kroku v autorizační hlavičce k vytvoření virtuálního počítače se spravovanou identitou přiřazenou systémem.

    az account get-access-token

  2. Abyste měli jistotu, že neodstraníte žádné existující spravované identity přiřazené uživatelem, které chcete zachovat přiřazené k virtuálnímu počítači nebo odebrat spravovanou identitu přiřazenou systémem, musíte spravované identity vypsat pomocí následujícího příkazu CURL:

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachines/<VM NAME>?api-version=2018-06-01' -H "Authorization: Bearer <ACCESS TOKEN>"

    GET https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachines/<VM NAME>?api-version=2018-06-01 HTTP/1.1

    Hlavičky požadavku

    Hlavička požadavku Popis
    Typ obsahu Povinné Nastavte na application/json.
    Autorizace Povinné: Nastavte platný Bearer přístupový token.

    Pokud jste ke virtuálnímu počítači přiřadili spravované identity, jsou uvedené v odpovědi v hodnotě identity .

    Pokud máte například spravované identity ID1 a ID2 přiřazené k vašemu virtuálnímu počítači a chcete zachovat pouze ID1 a ponechat systémem přiřazenou identitu:

    ROZHRANÍ API VERZE 2018-06-01

    Přidejte null ke spravované identitě přiřazené uživatelem, kterou chcete odebrat:

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"SystemAssigned, UserAssigned", "userAssignedIdentities":{"/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":null}}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"

    PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1

    Hlavičky požadavku

    Hlavička požadavku Popis
    Typ obsahu Vyžadováno Nastavte na application/json.
    Autorizace Povinné. Nastavte platný Bearer přístupový token.

    Text požadavku

     {
    "identity":{
       "type":"SystemAssigned, UserAssigned",
       "userAssignedIdentities":{
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":null
       }
    }
 }

    ROZHRANÍ API VERZE 2017-12-01

    Zachovejte pouze spravované identity přiřazené uživatelem, které chcete zachovat v identityIds poli:

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01' -X PATCH -d '{"identity":{"type":"SystemAssigned, UserAssigned", "identityIds":["/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"]}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"

    PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2017-12-01 HTTP/1.1

    Hlavičky požadavku

    Hlavička požadavku Popis
    Typ obsahu Povinný Nastavte na application/json.
    Autorizace Povinné. Nastavte platný Bearer přístupový token.

    Text požadavku

     {
    "identity":{
       "type":"SystemAssigned, UserAssigned",
       "identityIds":[
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"
       ]
    }
 }

Pokud má váš virtuální počítač spravované identity přiřazené systémem i spravované identity přiřazené uživatelem, můžete odebrat všechny spravované identity přiřazené uživatelem tak, že pomocí následujícího příkazu přepnete jenom spravovanou identitu přiřazenou systémem:

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"SystemAssigned"}}' -H "Content-Type: application/json" -H "Authorization:Bearer <ACCESS TOKEN>"

PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1

Hlavičky požadavku

Hlavička požadavku Popis
Typ obsahu Je vyžadováno. Nastavte na application/json.
Autorizace Povinný Nastavte platný Bearer přístupový token.

Text požadavku

{
   "identity":{
      "type":"SystemAssigned"
   }
}

Pokud má váš virtuální počítač jenom spravované identity přiřazené uživatelem a chcete je všechny odebrat, použijte následující příkaz:

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"None"}}' -H "Content-Type: application/json" -H Authorization:"Bearer <ACCESS TOKEN>"

PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM?api-version=2018-06-01 HTTP/1.1

Hlavičky požadavku

Hlavička požadavku Popis
Typ obsahu Povinné. Nastavte na application/json.
Autorizace Povinné: Nastavte platný Bearer přístupový token.

Text požadavku

{
   "identity":{
      "type":"None"
   }
}

Další kroky

Informace o tom, jak vytvořit, vypsat nebo odstranit spravované identity přiřazené uživatelem pomocí rest, najdete v tématu:

V tomto článku se dozvíte, jak povolit a odebrat spravované identity pro prostředky Azure pro virtuální počítač Azure pomocí sady Azure SDK.

Požadavky

Podpora sad Azure SDK se spravovanými identitami pro prostředky Azure

Azure podporuje více programovacích platforem prostřednictvím řady sad SDK pro Azure. Některé z nich byly aktualizovány tak, aby podporovaly spravované identity pro prostředky Azure, a poskytují odpovídající ukázky pro předvedení využití. Tento seznam se aktualizuje, protože se přidává další podpora:

SDK Vzorek
.NET Správa prostředku z virtuálního počítače s povolenými spravovanými identitami pro prostředky Azure
Java Správa úložiště z virtuálního počítače s povolenými spravovanými identitami pro prostředky Azure
Node.js Vytvoření virtuálního počítače s povolenou spravovanou identitou přiřazenou systémem
Python Vytvoření virtuálního počítače s povolenou spravovanou identitou přiřazenou systémem
Ruby Vytvoření virtuálního počítače Azure s povolenou identitou přiřazenou systémem

Další kroky

  • Další informace o použití webu Azure Portal, PowerShellu, rozhraní příkazového řádku a šablon prostředků najdete v souvisejících článcích v části Konfigurace identity pro virtuální počítač Azure.