Condividi tramite


Assegnare a un'identità gestita l'accesso a una risorsa di Azure o a un'altra risorsa

Identità gestite per le risorse di Azure è una funzionalità di Microsoft Entra ID. Tutti i servizi di Azure che supportano le identità gestite per le risorse di Azure sono soggetti alla sequenza temporale di tali entità. Prima di iniziare, assicurarsi di esaminare lo stato di disponibilità delle identità gestite per la risorsa e i problemi noti.

Questo articolo mostra come assegnare a un'identità gestita di una macchina virtuale di Azure l'accesso a un account di archiviazione di Azure. Dopo aver configurato una risorsa di Azure con un'identità gestita, è possibile concedere all'identità gestita l'accesso a un'altra risorsa, come per qualsiasi entità di sicurezza.

Prerequisiti

Usare il controllo degli accessi in base al ruolo di Azure per assegnare all'identità gestita l'accesso a un'altra risorsa usando il portale di Azure

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Importante

I passaggi descritti di seguito illustrano come concedere l'accesso a un servizio usando il controllo degli accessi in base al ruolo di Azure. Controllare la documentazione specifica del servizio su come concedere l'accesso. Vedere, ad esempio, Esplora dati di Azure per istruzioni. Per alcuni servizi di Azure è in corso l'adozione del controllo degli accessi in base al ruolo di Azure nel piano dati.

  1. Accedere al portale di Azure usando un account associato alla sottoscrizione di Azure in cui è stata configurata l'identità gestita.

  2. Passare alla risorsa desiderata in cui si desidera modificare il controllo di accesso. Poiché in questo esempio si concederà a una macchina virtuale di Azure l'accesso a un account di archiviazione e si passerà quindi all'account di archiviazione.

  3. Seleziona Controllo di accesso (IAM).

  4. Selezionare Aggiungi>Aggiungi assegnazione di ruolo per aprire la pagina Aggiungi assegnazione di ruolo.

  5. Selezionare il ruolo e l'identità gestita. Per la procedura dettagliata, vedere Assegnare ruoli di Azure usando il portale di Azure.

    Screenshot che mostra la pagina per l'aggiunta di un'assegnazione di ruolo.

Usare il controllo degli accessi in base al ruolo di Azure per assegnare all'identità gestita l'accesso a un'altra risorsa usando l'interfaccia della riga di comando di Azure

  1. In questo esempio si concede a una macchina virtuale di Azure l'accesso a un account di archiviazione. Prima di tutto usare il comando az resource list per ottenere l'entità servizio per una macchina virtuale denominata myVM:

    spID=$(az resource list -n myVM --query [*].identity.principalId --out tsv)
    

    Per un set di scalabilità di macchine virtuali di Azure il comando è uguale. In questo caso, tuttavia, si ottiene l'entità servizio per il set di scalabilità di macchine virtuali denominato "DevTestVMSS":

    spID=$(az resource list -n DevTestVMSS --query [*].identity.principalId --out tsv)
    
  2. Dopo aver ottenuto l'ID dell'entità servizio, usare il comando az role assignment create per concedere alla macchina virtuale o al set di scalabilità di macchine virtuali l'accesso Lettore a un account di archiviazione denominato "myStorageAcct":

    az role assignment create --assignee $spID --role 'Reader' --scope /subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/myStorageAcct
    

Usare il controllo degli accessi in base al ruolo di Azure per assegnare all'identità gestita l'accesso a un'altra risorsa usando PowerShell

Nota

È consigliabile usare il modulo Azure Az PowerShell per interagire con Azure. Per iniziare, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.

Per eseguire gli script in questo esempio, sono disponibili due opzioni:

  • Usare Azure Cloud Shell, che è possibile aprire con il pulsante Prova nell'angolo in alto a destra dei blocchi di codice.
  • Eseguire gli script in locale installando l'ultima versione di Azure PowerShell, quindi accedere ad Azure usando Connect-AzAccount.
  1. Abilitare l'identità gestita in una risorsa di Azure, ad esempio una macchina virtuale di Azure.

  2. Concedere alla macchina virtuale di Azure l'accesso a un account di archiviazione.

    1. Usare il comando Get-AzVM per ottenere l'entità servizio per la macchina virtuale denominata myVM, che è stata creata quando è stata abilitata l'identità gestita.
    2. Usare il comando New-AzRoleAssignment per concedere alla macchina virtuale l'accesso Lettore a un account di archiviazione denominato myStorageAcct:
    $spID = (Get-AzVM -ResourceGroupName myRG -Name myVM).identity.principalid
    New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Reader" -Scope "/subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/<myStorageAcct>"
    

Passaggi successivi