为托管标识分配对 Azure 资源或其他资源的访问权限

在 Azure 门户中使用 Azure RBAC 为托管标识分配对其他资源的访问权限

1. 使用与配置托管标识的 Azure 订阅关联的帐户登录 Azure 门户。

2. 转到要对其修改访问控制的相应资源。 在此示例中，你将授予 Azure 虚拟机 (VM) 对存储帐户的访问权限，然后可以导航到该存储帐户。

3. 选择“访问控制 (IAM)”。

4. 选择“添加”>“添加角色分配”，打开“添加角色分配”页面 。

5. 选择角色和托管标识。 有关详细步骤，请参阅使用 Azure 门户分配 Azure 角色。

   

在 CLI 中使用 Azure RBAC 为托管标识分配对其他资源的访问权限

• 如需在本地运行 CLI 参考命令，请安装 Azure CLI。 如果在 Windows 或 macOS 上运行，请考虑在 Docker 容器中运行 Azure CLI。 有关详细信息，请参阅如何在 Docker 容器中运行 Azure CLI。

  • 如果使用的是本地安装，请使用 az login 命令登录到 Azure CLI。 若要完成身份验证过程，请遵循终端中显示的步骤。 有关其他登录选项，请参阅使用 Azure CLI 登录。

  • 出现提示时，请在首次使用时安装 Azure CLI 扩展。 有关扩展详细信息，请参阅使用 Azure CLI 的扩展。

  • 运行 az version 以查找安装的版本和依赖库。 若要升级到最新版本，请运行 az upgrade。

1. 在此示例中，你将授予 Azure 虚拟机 (VM) 对存储帐户的托管访问权限。 首先使用 az resource list 获取名为 myVM 的 VM 的服务主体：

   spID=$(az resource list -n myVM --query [*].identity.principalId --out tsv)
   

   对于 Azure 虚拟机 (VM) 规模集，使用的命令相同，但获取名为“DevTestVMSS”的 VM 规模集的服务主体：

   spID=$(az resource list -n DevTestVMSS --query [*].identity.principalId --out tsv)
   

2. 获取服务主体 ID 后，立即使用 az role assignment create 授予虚拟机或虚拟机规模集对“myStorageAcct”存储帐户的“读取者”访问权限：

   az role assignment create --assignee $spID --role 'Reader' --scope /subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/myStorageAcct
   

在 PowerShell 中使用 Azure RBAC 为托管标识分配对其他资源的访问权限

你可以通过安装最新版的 Azure PowerShell 在本地运行脚本，然后使用 Connect-AzAccount -Environment AzureChinaCloud 登录到 Azure。

1. 在 Azure 资源上启用托管标识，如 Azure VM。

2. 授予 Azure 虚拟机 (VM) 访问存储帐户的权限。

   1. 使用 Get-AzVM 获取名为 myVM 的 VM 的服务主体，该 VM 是在启用托管标识时创建的。
   2. 使用 New-AzRoleAssignment 向 VM 提供对名为 myStorageAcct 的存储帐户的“读取者”访问权限：

   $spID = (Get-AzVM -ResourceGroupName myRG -Name myVM).identity.principalid
   New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Reader" -Scope "/subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/<myStorageAcct>"