Kurz: Použití spravované identity přiřazené systémem na virtuálním počítači pro přístup k Azure Resource Manageru

V tomto rychlém startu se dozvíte, jak použít spravovanou identitu přiřazenou systémem jako identitu virtuálního počítače pro přístup k rozhraní API Azure Resource Manageru. Spravované identity pro prostředky Azure automaticky spravuje Azure a umožňují ověřování ve službách, které podporují ověřování Microsoft Entra, aniž byste museli do kódu vkládat přihlašovací údaje.

Spravované identity pro prostředky Azure jsou funkcí ID Microsoft Entra. Každá ze služeb Azure, které podporují spravované identity pro prostředky Azure, se řídí vlastní časovou osou. Než začnete, nezapomeňte zkontrolovat stav dostupnosti spravovaných identit pro váš prostředek a známé problémy.

Získáte následující informace:

  • Udělení přístupu virtuálnímu počítači ke skupině prostředků v Azure Resource Manageru
  • Získání přístupového tokenu pomocí identity virtuálního počítače a jeho použití k volání Azure Resource Manageru

Použití spravované identity přiřazené systémem na virtuálním počítači s Windows pro přístup k Resource Manageru

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Tento kurz vysvětluje, jak vytvořit identitu přiřazenou systémem, přiřadit ji k virtuálnímu počítači s Windows a pak tuto identitu použít pro přístup k rozhraní API Azure Resource Manageru. Identity spravovaných služeb se spravují automaticky v Azure. Umožňují ověřování pro služby, které podporují ověřování Microsoft Entra, aniž by museli vkládat přihlašovací údaje do kódu.

Získáte následující informace:

  • Udělte virtuálnímu počítači přístup k Azure Resource Manageru.
  • Získejte přístupový token pomocí spravované identity přiřazené systémem virtuálního počítače pro přístup k Resource Manageru.
  1. Přihlaste se k webu Azure Portal pomocí účtu správce.

  2. Přejděte na kartu Skupiny prostředků.

  3. Vyberte skupinu prostředků, ke které chcete udělit přístup spravované identity virtuálního počítače.

  4. Na levém panelu vyberte Řízení přístupu (IAM).

  5. Vyberte Přidat a pak vyberte Přidat přiřazení role.

  6. Na kartě Role vyberte Čtenář. Tato role umožňuje zobrazit všechny prostředky, ale neumožňuje provádět žádné změny.

  7. Na kartě Členové vyberte u možnosti Přiřadit přístup ke spravované identitě a pak vyberte + Vybrat členy.

  8. Ujistěte se, že je v rozevíracím seznamu Předplatné uvedené správné předplatné. V případě skupiny prostředků vyberte Všechny skupiny prostředků.

  9. V rozevíracím seznamu Spravovat identitu vyberte Virtuální počítač.

  10. V rozevíracím seznamu vyberte virtuální počítač a pak vyberte Uložit.

    Snímek obrazovky znázorňující přidání role čtenáře do spravované identity

Získání přístupového tokenu

Použijte spravovanou identitu přiřazenou systémem virtuálního počítače a pomocí Resource Manageru získejte přístupový token.

K dokončení tohoto postupu potřebujete klienta SSH. Pokud používáte Windows, můžete použít klienta SSH v Subsystém Windows pro Linux. Pokud potřebujete pomoc při konfiguraci klíčů klienta SSH, přečtěte si, jak na počítači s Windows v Azure používat klíče SSH nebo jak na linuxových virtuálních počítačích v Azure vytvářet a používat pár veřejného a privátního klíče SSH.

  1. Na portálu přejděte na virtuální počítač s Linuxem a v přehledu vyberte Připojit.
  2. Připojte se vybraným klientem SSH k virtuálnímu počítači.
  3. V okně terminálu pomocí nástroje curl< a0/> vytvořte požadavek na místní spravované identity koncového bodu prostředků Azure, abyste získali přístupový token pro Azure Resource Manager.   Požadavek curl na přístupový token je uvedený níže.
curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/' -H Metadata:true

Poznámka:

Hodnota parametru resource musí být přesná shoda s tím, co očekává ID Microsoft Entra. V případě ID prostředku Resource Manageru musíte do identifikátoru URI zahrnout koncové lomítko.

V odpovědi je přístupový token, který potřebujete pro přístup k Azure Resource Manageru.

Odpověď:

{
  "access_token":"eyJ0eXAiOi...",
  "refresh_token":"",
  "expires_in":"3599",
  "expires_on":"1504130527",
  "not_before":"1504126627",
  "resource":"https://management.azure.com",
  "token_type":"Bearer"
}

Tento přístupový token použijte pro přístup k Azure Resource Manageru; Pokud chcete například přečíst podrobnosti o skupině prostředků, ke které jste dříve udělili přístup k tomuto virtuálnímu počítači. Nahraďte hodnoty , <SUBSCRIPTION-ID>a <ACCESS-TOKEN> nahraďte hodnotami, <RESOURCE-GROUP>které jste vytvořili dříve.

Poznámka:

V adrese URL se rozlišují malá a velká písmena, proto se ujistěte, že používáte přesný případ, který jste použili dříve při pojmenování skupiny prostředků, a velká písmena "G" v části "resourceGroup".

curl https://management.azure.com/subscriptions/<SUBSCRIPTION-ID>/resourceGroups/<RESOURCE-GROUP>?api-version=2016-09-01 -H "Authorization: Bearer <ACCESS-TOKEN>" 

Odpověď zpět s konkrétními informacemi o skupině prostředků:

{
"id":"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/DevTest",
"name":"DevTest",
"location":"westus",
"properties":
{
  "provisioningState":"Succeeded"
  }
} 

Použití spravované identity přiřazené systémem na virtuálním počítači s Linuxem pro přístup ke skupině prostředků v Resource Manageru

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Tento kurz vysvětluje, jak vytvořit identitu přiřazenou systémem, přiřadit ji k virtuálnímu počítači s Linuxem a pak tuto identitu použít pro přístup k rozhraní API Azure Resource Manageru. Identity spravovaných služeb se spravují automaticky v Azure. Umožňují ověřování pro služby, které podporují ověřování Microsoft Entra, aniž by museli vkládat přihlašovací údaje do kódu.

Získáte informace pro:

  • Udělte virtuálnímu počítači přístup k Azure Resource Manageru.
  • Získejte přístupový token pomocí spravované identity přiřazené systémem virtuálního počítače pro přístup k Resource Manageru.
  1. Přihlaste se k webu Azure Portal pomocí účtu správce.

  2. Přejděte na kartu Skupiny prostředků.

  3. Vyberte skupinu prostředků, ke které chcete udělit přístup spravované identity virtuálního počítače.

  4. Na levém panelu vyberte Řízení přístupu (IAM).

  5. Vyberte Přidat a pak vyberte Přidat přiřazení role.

  6. Na kartě Role vyberte Čtenář. Tato role umožňuje zobrazit všechny prostředky, ale neumožňuje provádět žádné změny.

  7. Na kartě Členové v možnosti Přiřadit přístup vyberte Spravovaná identita a pak vyberte + Vybrat členy.

  8. Ujistěte se, že je v rozevíracím seznamu Předplatné uvedené správné předplatné. V případě skupiny prostředků vyberte Všechny skupiny prostředků.

  9. V rozevíracím seznamu Spravovat identitu vyberte Virtuální počítač.

  10. V možnosti Vybrat zvolte virtuální počítač v rozevíracím seznamu a pak vyberte Uložit.

    Snímek obrazovky znázorňující přidání role čtenáře do spravované identity

Získání přístupového tokenu

Použijte spravovanou identitu přiřazenou systémem virtuálního počítače a pomocí správce prostředků získejte přístupový token.

K dokončení tohoto postupu potřebujete klienta SSH. Pokud používáte Windows, můžete použít klienta SSH v Subsystém Windows pro Linux. Pokud potřebujete pomoc při konfiguraci klíčů klienta SSH, přečtěte si, jak na počítači s Windows v Azure používat klíče SSH nebo jak na linuxových virtuálních počítačích v Azure vytvářet a používat pár veřejného a privátního klíče SSH.

  1. Na webu Azure Portal přejděte na virtuální počítač s Linuxem.
  2. V přehledu vyberte Připojit.
  3. Připojte se vybraným klientem SSH k virtuálnímu počítači.
  4. V okně terminálu pomocí nástroje curl< a0/> vytvořte požadavek na místní spravované identity pro koncový bod prostředků Azure, abyste získali přístupový token pro Azure Resource Manager.   Požadavek curl na přístupový token je uvedený níže.
curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/' -H Metadata:true

Poznámka:

Hodnota parametru resource musí být přesná shoda s tím, co očekává ID Microsoft Entra. V případě ID prostředku Resource Manageru musíte do identifikátoru URI zahrnout koncové lomítko.

Odpověď zahrnuje přístupový token, který potřebujete pro přístup k Azure Resource Manageru.

Odpověď:

{
  "access_token":"eyJ0eXAiOi...",
  "refresh_token":"",
  "expires_in":"3599",
  "expires_on":"1504130527",
  "not_before":"1504126627",
  "resource":"https://management.azure.com",
  "token_type":"Bearer"
}

Tento přístupový token použijte pro přístup k Azure Resource Manageru. Pokud chcete například přečíst podrobnosti o skupině prostředků, ke které jste dříve udělili přístup k tomuto virtuálnímu počítači. Nahraďte hodnoty , <SUBSCRIPTION-ID>a <ACCESS-TOKEN> nahraďte hodnotami, <RESOURCE-GROUP>které jste vytvořili dříve.

Poznámka:

V adrese URL se rozlišují malá a velká písmena, proto se ujistěte, že používáte přesný případ, který jste použili dříve při pojmenování skupiny prostředků, a velká písmena "G" v resourceGroup.

curl https://management.azure.com/subscriptions/<SUBSCRIPTION-ID>/resourceGroups/<RESOURCE-GROUP>?api-version=2016-09-01 -H "Authorization: Bearer <ACCESS-TOKEN>" 

Odpověď zpět s konkrétními informacemi o skupině prostředků:

{
"id":"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/DevTest",
"name":"DevTest",
"location":"westus",
"properties":
{
  "provisioningState":"Succeeded"
  }
} 

Další kroky

V tomto rychlém startu jste zjistili, jak pomocí spravované identity přiřazené systémem na virtuálním počítači získat přístup k rozhraní API Azure Resource Manageru. Další informace o Azure Resource Manageru najdete tady: