Настройка управляемых удостоверений для ресурсов Azure в масштабируемом наборе виртуальных машин

Статья
2025-01-16

Управляемые удостоверения для ресурсов Azure предоставляют службам Azure автоматически управляемое удостоверение, которое хранится в Microsoft Entra ID. Это удостоверение можно использовать для проверки подлинности в любой службе, которая поддерживает аутентификацию Microsoft Entra, без использования учетных данных в коде.

Сведения об определении и деталях политики Azure см. в разделе "Использование политики Azure для назначения управляемых удостоверений (предварительная версия)".

Из этой статьи вы узнаете, как с помощью портала Azure выполнять приведенные ниже операции с управляемыми удостоверениями для ресурсов Azure в масштабируемом наборе виртуальных машин.

Если вы не знакомы с управляемыми идентификациями для ресурсов Azure, изучите раздел с обзором.
Если у вас нет учетной записи Azure, зарегистрируйтесь для получения бесплатной пробной учетной записи, прежде чем продолжать.
Для выполнения операций управления, описанных в этой статье, учетной записи нужно назначить следующие роли Azure:

Примечание.

Дополнительные назначения ролей каталога Microsoft Entra не требуются.
- Участник виртуальной машины для включения и удаления управляемого удостоверения, назначаемого системой, из масштабируемого набора виртуальных машин.

Управляемая идентификация, назначаемая системой

В этом разделе вы узнаете, как включить и отключить управляемое удостоверение, назначаемое системой, с помощью портала Azure.

Включение назначаемого системой управляемого идентификатора при создании наборов виртуальных машин с возможностью масштабирования.

В настоящее время портал Azure не поддерживает возможность включения управляемой идентичности, назначаемой системой, при создании набора масштабирования виртуальных машин. Сначала создайте масштабируемого набора виртуальных машин, а затем включите управляемое удостоверение, назначаемое системой, в масштабируемом наборе:

Создание масштабируемого набора виртуальных машин на портале Azure

Включение назначенной системой управляемой идентичности в существующем масштабируемом наборе виртуальных машин

Чтобы включить управляемую системой назначаемую идентичность в масштабируемом наборе виртуальных машин, который изначально был создан без неё, выполните следующее.

Войдите на портал Azure с помощью учетной записи, связанной с подпиской Azure, которая содержит масштабируемый набор виртуальных машин.
Перейдите к нужному масштабируемому набору виртуальных машин.
На вкладке Назначено системой в области Состояние нажмите кнопку Вкл., а затем — Сохранить.

Удаление системного управляемого удостоверения из набора масштабируемых виртуальных машин

Если для масштабируемого набора виртуальных машин управляемое удостоверение, назначаемое системой, больше не требуется, сделайте следующее.

Войдите на портал Azure с помощью учетной записи, связанной с подпиской Azure, которая содержит масштабируемый набор виртуальных машин. Также убедитесь, что ваша учетная запись принадлежит роли, которую предоставляет разрешение на запись в масштабируемом наборе виртуальных машин.
Перейдите к нужному масштабируемому набору виртуальных машин.
На вкладке Назначено системой в области Состояние нажмите кнопку Выкл., а затем — Сохранить.

Управляемое удостоверение, назначаемое пользователем

В этом разделе вы узнаете, как добавить и удалить назначаемое пользователем управляемое удостоверение из масштабируемого набора виртуальных машин с помощью портала Azure.

Назначение управляемой идентичности, назначенной пользователем, при создании набора масштабируемых виртуальных машин

В настоящее время Портал Azure не поддерживает присвоение пользовательского управляемого удостоверения во время создания масштабируемого набора виртуальных машин. Сначала создайте набор масштабирования виртуальных машин, а затем назначьте ему управляющее удостоверение, назначенное пользователем.

Назначение пользовательского управляемого удостоверения для существующего масштабируемого набора виртуальных машин

Войдите на портал Azure с помощью учетной записи, связанной с подпиской Azure, которая содержит масштабируемый набор виртуальных машин.
Перейдите в нужный масштабируемый набор виртуальных машин и щелкните Безопасность>Идентификация, Назначенный пользователем, а затем +Добавить.
Выберите ранее созданную управляемую идентичность, назначенную пользователю из списка.

Удалите назначенное пользователем управляемое удостоверение из масштабируемого набора виртуальных машин

Войдите на портал Azure с помощью учетной записи, связанной с подпиской Azure, которая содержит виртуальную машину.

Перейдите в нужный масштабируемый набор виртуальных машин и выберите Идентификатор, Назначено пользователем, выберите имя управляемого удостоверения, назначаемого пользователем, которое нужно удалить, а затем нажмите кнопку Удалить (выберите Да в области подтверждения).

Снимок экрана: удаление назначаемого пользователем удостоверения из масштабируемого набора виртуальных машин.

Следующие шаги

С помощью портала Azure предоставьте управляемому удостоверению масштабируемого набора виртуальных машин Azure доступ к другому ресурсу Azure.

В этой статье вы узнаете, как выполнять следующие операции с управляемыми удостоверениями для ресурсов Azure в масштабируемом наборе виртуальных машин Azure с помощью Azure CLI.

Включение и отключение управляемого удостоверения, назначаемого системой, в масштабируемом наборе виртуальных машин Azure
Добавление и удаление управляемого удостоверения, назначаемого пользователем, в масштабируемом наборе виртуальных машин Azure

Если у вас нет учетной записи Azure, зарегистрируйтесь для получения бесплатной пробной учетной записи, прежде чем продолжать.

Предварительные условия

Если вы не работали с управляемыми удостоверениями для ресурсов Azure, см. статью Что такое управляемые удостоверения для ресурсов Azure. Сведения об удостоверениях, назначаемых системой и назначаемых пользователем, см. в разделе Типы управляемых удостоверений.
Для выполнения операций управления, описанных в этой статье, учетной записи требуются следующие назначения управления доступом на основе ролей Azure:
- Соучастник виртуальных машин для создания набора масштабируемых виртуальных машин, а также для включения и удаления управляемого удостоверения, назначаемого системой, и/или управляемого удостоверения, назначаемого пользователем, из набора масштабируемых виртуальных машин.
- Роль Участник управляемого удостоверения: для создания управляемого удостоверения, назначаемого пользователем.
- Роль Оператор управляемого удостоверения: для назначения и удаления управляемого удостоверения, назначаемого пользователем, в масштабируемом наборе виртуальных машин.
Примечание.

Дополнительные назначения ролей каталога Microsoft Entra не требуются.

Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см. в статье "Начало работы с Azure Cloud Shell".
Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.
- Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других параметрах входа см. в статье "Проверка подлинности в Azure с помощью Azure CLI".
- Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений и управление ими с помощью Azure CLI.
- Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

Управляемое удостоверение, назначаемое системой

В этом разделе вы узнаете, как включить и отключить управляемое удостоверение, назначаемое системой, в масштабируемом наборе виртуальных машин Azure с помощью Azure CLI.

Включение управляемого удостоверения, назначаемого системой, во время создания масштабируемого набора виртуальных машин Azure

Чтобы создать масштабируемый набор виртуальных машин с включенной управляемой идентификацией, назначенной системой, следуйте следующим указаниям.

Для управления и развертывания вашего масштабируемого набора виртуальных машин и его связанных ресурсов создайте группу ресурсов с помощью команды az group create. Если вы уже создали группу ресурсов, которую можно использовать, этот шаг можно пропустить:
```
az group create --name myResourceGroup --location westus
```
Создание масштабируемого набора виртуальных машин. В приведенном ниже примере создается масштабируемый набор виртуальных машин myVMSS с управляемым удостоверением, назначаемым системой, в соответствии с запросом параметра --assign-identity с указанными --role и --scope. В параметрах --admin-username и --admin-password определяются имя и пароль учетной записи администратора для входа в виртуальную машину. Обновите эти значения в соответствии с условиями вашей среды.
```
az vmss create --resource-group myResourceGroup --name myVMSS --image win2016datacenter --upgrade-policy-mode automatic --custom-data cloud-init.txt --admin-username azureuser --admin-password myPassword12 --assign-identity --generate-ssh-keys --role contributor --scope mySubscription
```

Включение системно назначаемой управляемой идентичности в существующем наборе масштабируемых виртуальных машин Azure

Если нужно включить управляемое удостоверение, назначаемое системой, в имеющемся масштабируемом наборе виртуальных машин Azure, сделайте следующее.

az vmss identity assign -g myResourceGroup -n myVMSS

Отключите управляемое удостоверение, назначенное системой, в масштабируемом наборе виртуальных машин Azure.

Если в масштабируемом наборе виртуальных машин не требуется управляемое удостоверение, назначаемое системой, но по-прежнему требуются управляемые удостоверения, назначаемые пользователем, используйте следующую команду.

az vmss update -n myVM -g myResourceGroup --set identity.type='UserAssigned'

Если имеется виртуальная машина, для которой не требуется управляемое удостоверение, назначаемое системой, и у которой нет управляемых удостоверений, назначаемых пользователем, используйте следующую команду.

Примечание.

В значении none учитывается регистр. Оно должно быть написано строчными буквами.

az vmss update -n myVM -g myResourceGroup --set identity.type="none"

Управляемое удостоверение, назначаемое пользователем

В этом разделе вы узнаете, как добавить и удалить управляемое удостоверение, назначаемое пользователем, с помощью Azure CLI.

Назначение управляемой идентичности, назначаемой пользователем, при создании масштабируемого множества виртуальных машин.

В этом разделе описывается, как создать масштабируемый набор виртуальных машин и задать назначаемое пользователем управляемое удостоверение в масштабируемом наборе виртуальных машин. Если у вас уже есть масштабируемый набор виртуальных машин, который вы хотите использовать, пропустите этот раздел и перейдите к следующему.

Если вы уже создали группу ресурсов, которую можно использовать, этот шаг можно пропустить. Создайте группу ресурсов для хранения и развертывания управляемого удостоверения, назначаемого пользователем, используя команду az group create. Не забудьте заменить значения параметров <RESOURCE GROUP> и <LOCATION> собственными. :
```
az group create --name <RESOURCE GROUP> --location <LOCATION>
```
Создайте управляемое удостоверение, назначаемое пользователем, с помощью команды az identity create. Параметр -g указывает группу ресурсов, в которой создается управляемое удостоверение, назначаемое пользователем, а параметр -n — его имя. Не забудьте заменить значения параметров <RESOURCE GROUP> и <USER ASSIGNED IDENTITY NAME> собственными:

Внимание

При создании управляемых удостоверений, назначаемых пользователем, имя должно начинаться с буквы или числа, а также может включать сочетание буквенно-цифровых символов, дефисов (-) и символов подчеркивания (_). Для корректной работы назначения виртуальной машины или набора виртуальных машин с изменяемой масштабируемостью имя должно содержать не более 24 знаков. Дополнительные сведения см. в разделе Часто задаваемые вопросы и известные проблемы.
```
az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>
```
Ответ содержит подробные сведения о созданном управляемом удостоверении, назначаемом пользователем, как показано ниже. Значение ресурса id, присвоенное управляемому удостоверению, назначенному пользователем, используется на следующем этапе.
```
{
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "clientSecretUrl": "https://control-westcentralus.identity.azure.net/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/credentials?tid=5678&oid=9012&aid=00001111-aaaa-2222-bbbb-3333cccc4444",
     "id": "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>",
     "location": "westcentralus",
     "name": "<USER ASSIGNED IDENTITY NAME>",
     "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
     "resourceGroup": "<RESOURCE GROUP>",
     "tags": {},
     "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"    
}
```
Создание масштабируемого набора виртуальных машин. В приведенном ниже примере создается масштабируемый набор виртуальных машин, связанный с новым управляемым удостоверением, назначаемым пользователем, в соответствии с параметром --assign-identity с указанными --role и --scope. Обязательно замените значения параметров <RESOURCE GROUP>, <VMSS NAME>, <USER NAME>, <PASSWORD>, <USER ASSIGNED IDENTITY>, <ROLE> и <SUBSCRIPTION> собственными.
```
az vmss create --resource-group <RESOURCE GROUP> --name <VMSS NAME> --image <SKU Linux Image> --admin-username <USER NAME> --admin-password <PASSWORD> --assign-identity <USER ASSIGNED IDENTITY> --role <ROLE> --scope <SUBSCRIPTION>
```

Назначение управляемого удостоверения, заданного пользователем, для существующего набора масштабирования виртуальных машин

Создайте управляемое удостоверение, назначаемое пользователем, с помощью команды az identity create. Параметр -g указывает группу ресурсов, в которой создается управляемое удостоверение, назначаемое пользователем, а параметр -n — его имя. Не забудьте заменить значения параметров <RESOURCE GROUP> и <USER ASSIGNED IDENTITY NAME> собственными:

az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>

Ответ содержит подробные сведения о созданном управляемом удостоверении, назначенном пользователем, как показано ниже.

{
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "clientSecretUrl": "https://control-westcentralus.identity.azure.net/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY >/credentials?tid=5678&oid=9012&aid=aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
     "id": "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY>",
     "location": "westcentralus",
     "name": "<USER ASSIGNED IDENTITY>",
     "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
     "resourceGroup": "<RESOURCE GROUP>",
     "tags": {},
     "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"    
}

Присвоение управляемого удостоверения, назначаемого пользователем, для масштабируемого набора виртуальных машин. Не забудьте заменить значения параметров <RESOURCE GROUP> и <VIRTUAL MACHINE SCALE SET NAME> собственными. <USER ASSIGNED IDENTITY> — свойство ресурса name удостоверения, назначаемого пользователем, созданное на предыдущем шаге.
```
az vmss identity assign -g <RESOURCE GROUP> -n <VIRTUAL MACHINE SCALE SET NAME> --identities <USER ASSIGNED IDENTITY>
```

Удаление управляемой идентичности, назначенной пользователем, из масштабируемого набора виртуальных машин Azure

Чтобы удалить назначенное пользователем управляемое удостоверение из масштабируемого набора виртуальных машин, используйте az vmss identity remove. Если это единственное назначаемое пользователем управляемое удостоверение, назначенное масштабируемой группе виртуальных машин, UserAssigned удаляется из значения типа удостоверения. Не забудьте заменить значения параметров <RESOURCE GROUP> и <VIRTUAL MACHINE SCALE SET NAME> собственными. Это <USER ASSIGNED IDENTITY> свойство управляемого удостоверения, назначаемое пользователем, которое можно найти в разделе удостоверений name масштабируемого набора виртуальных машин с помощью az vmss identity show:

az vmss identity remove -g <RESOURCE GROUP> -n <VIRTUAL MACHINE SCALE SET NAME> --identities <USER ASSIGNED IDENTITY>

Если в масштабируемом наборе виртуальных машин нет управляемого удостоверения, назначаемого системой, и вы хотите удалить из него все управляемые удостоверения, назначаемые пользователем, используйте следующую команду:

Примечание.

Значение none чувствительно к регистру. Оно должно быть написано строчными буквами.

az vmss update -n myVMSS -g myResourceGroup --set identity.type="none" identity.userAssignedIdentities=null

Если в масштабируемом наборе виртуальных машин есть управляемые идентичности, как назначаемые системой, так и назначаемые пользователем, вы можете удалить все назначенные пользователем управляемые идентичности, переключившись на использование только управляемой идентичности, назначенной системой. Используйте следующую команду:

az vmss update -n myVMSS -g myResourceGroup --set identity.type='SystemAssigned' identity.userAssignedIdentities=null

Следующие шаги

Обзор управляемых удостоверений для ресурсов Azure.
Полное краткое руководство по созданию масштабируемого набора виртуальных машин см. в разделе Создание масштабируемого набора виртуальных машин с использованием CLI.

В этой статье вы узнаете, как с помощью PowerShell выполнять операции с управляемыми удостоверениями для ресурсов Azure в масштабируемом наборе виртуальных машин.

Включение и отключение управляемого удостоверения, назначаемого системой, в масштабируемом наборе виртуальных машин
Добавление и удаление назначенной пользователем управляемой идентичности в группе масштабируемых виртуальных машин

Примечание.

Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Чтобы узнать, как перенести на модуль Az PowerShell, см. статью Перенос Azure PowerShell с AzureRM на Az.

Предварительные условия

Если вы не знакомы с управляемыми удостоверениями для ресурсов Azure, ознакомьтесь с разделом общих сведений. Убедитесь, что вы ознакомились с различиями между удостоверением, назначенным системой, и удостоверением, управляемым пользователем.
Если у вас нет учетной записи Azure, зарегистрируйтесь для получения бесплатной пробной учетной записи, прежде чем продолжать.
Для выполнения операций управления, описанных в этой статье, учетной записи требуются следующие назначения управления доступом на основе ролей Azure:

Примечание.

Дополнительные назначения ролей каталога Microsoft Entra не требуются.
- Участник виртуальных машин для создания масштабируемого набора виртуальных машин, а также для включения и удаления управляемого удостоверения, назначаемого системой, и (или) управляемого удостоверения, назначаемого пользователем, из масштабируемого набора виртуальных машин.
- Роль Участник управляемого удостоверения: для создания управляемого удостоверения, назначаемого пользователем.
- Роль Оператор управляемого удостоверения: для назначения и удаления управляемого удостоверения, назначаемого пользователем, в масштабируемом наборе виртуальных машин.
Выполнить примеры скриптов можно двумя приведенными ниже способами.
- Используйте службу Azure Cloud Shell, которую можно открыть с помощью кнопки Попробовать в правом верхнем углу блоков кода.
- Выполните скрипты локально, установив последнюю версию Azure PowerShell, а затем войдите в Azure с помощью команды Connect-AzAccount.

Управляемое системой удостоверение

В этом разделе вы узнаете, как включить и удалить управляемое удостоверение, назначаемое системой, с помощью Azure PowerShell.

Активировать управляемую удостоверенность, назначаемую системой, во время создания масштабируемого набора виртуальных машин Azure

Чтобы создать масштабируемый набор виртуальных машин с включенным управляемым удостоверением, назначаемым системой, сделайте следующее.

Инструкции по созданию масштабируемого набора виртуальных машин с управляемым удостоверением, назначаемым системой, приведены в примере 1 в справочной статье по командлету New-AzVmssConfig. Добавьте параметр -IdentityType SystemAssigned в командлет New-AzVmssConfig:
```
$VMSS = New-AzVmssConfig -Location $Loc -SkuCapacity 2 -SkuName "Standard_A0" -UpgradePolicyMode "Automatic" -NetworkInterfaceConfiguration $NetCfg -IdentityType SystemAssigned`
```

Включение управляемого удостоверения, назначаемого системой, в существующем масштабируемом наборе виртуальных машин Azure

Если нужно включить управляемое удостоверение, назначаемое системой, в существующем масштабируемом наборе виртуальных машин Azure, сделайте следующее.

Убедитесь, что используемая учетная запись принадлежит роли, которая предоставляет разрешения на запись в масштабируемом наборе виртуальных машин, например "Участник виртуальных машин".
Получите свойства масштабируемого набора виртуальных машин с помощью командлета Get-AzVmss. Затем, чтобы включить выделенное системой управляемое удостоверение, используйте параметр -IdentityType в командлете Update-AzVmss.
```
Update-AzVmss -ResourceGroupName myResourceGroup -Name -myVmss -IdentityType "SystemAssigned"
```

Отключите системное управляемое удостоверение в наборе масштабируемых виртуальных машин Azure

Убедитесь, что ваша учетная запись принадлежит роли, которая предоставляет права на запись в масштабируемом наборе виртуальных машин, например "Участник виртуальных машин".

Запустите следующий командлет:

Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType "UserAssigned"

При наличии масштабируемого набора виртуальных машин, для которого не требуется управляемое удостоверение, назначаемое системой, и у которого нет управляемых удостоверений, назначаемых пользователем, используйте следующую команду:
```
Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType None
```

Управляемое удостоверение, назначаемое пользователем

В этом разделе вы узнаете, как добавить и удалить назначаемое пользователем управляемое удостоверение из масштабируемого набора виртуальных машин с помощью Azure PowerShell.

Назначение управляемого удостоверения, назначаемого пользователем, во время создания масштабируемого набора виртуальных машин Azure

В настоящее время создание масштабируемого набора виртуальных машин с пользовательским управляемым удостоверением не поддерживается через PowerShell. См. следующий раздел, чтобы узнать, как добавить управляемое удостоверение, назначаемое пользователем, в существующий масштабируемый набор виртуальных машин. Загляните сюда позже, чтобы проверить наличие новой информации.

Назначение управляемого удостоверения, назначаемого пользователем, для существующего масштабируемого набора виртуальных машин Azure

Чтобы задать управляемое удостоверение, назначаемое пользователем, для существующего масштабируемого набора виртуальных машин Azure, выполните следующее.

Убедитесь, что ваша учетная запись принадлежит к роли, которая предоставляет права на запись в наборе масштабирующихся виртуальных машин, например, "Соавтор виртуальных машин".
Получите свойства масштабируемого набора виртуальных машин с помощью командлета Get-AzVM. Затем, чтобы задать управляемое удостоверение, назначаемое пользователем, для масштабируемого набора виртуальных машин, используйте параметры -IdentityType и -IdentityID в командлете Update-AzVmss. Замените <VM NAME>, <SUBSCRIPTION ID>, <RESOURCE GROUP>, <USER ASSIGNED ID1>, USER ASSIGNED ID2 собственными значениями.

Внимание

При создании управляемых удостоверений, назначаемых пользователем, имя должно начинаться с буквы или числа, а также может включать сочетание буквенно-цифровых символов, дефисов (-) и символов подчеркивания (_). Для корректной работы присвоения виртуальной машине или масштабируемому набору виртуальных машин имя должно содержать не более 24 символов. Дополнительные сведения см. в разделе Часто задаваемые вопросы и известные проблемы.
```
Update-AzVmss -ResourceGroupName <RESOURCE GROUP> -Name <VMSS NAME> -IdentityType UserAssigned -IdentityID "<USER ASSIGNED ID1>","<USER ASSIGNED ID2>"
```

Удаление назначенного пользователем управляемого удостоверения из масштабируемого набора виртуальных машин Azure

Если у масштабируемого набора виртуальных машин несколько управляемых удостоверений, назначаемых пользователем, с помощью приведенных ниже команд можно удалить все удостоверения, кроме последнего. Не забудьте заменить значения параметров <RESOURCE GROUP> и <VIRTUAL MACHINE SCALE SET NAME> собственными. <USER ASSIGNED IDENTITY NAME> — это имя управляемого удостоверения, назначаемого пользователем, которое следует оставить в масштабируемом наборе виртуальных машин. Эту информацию можно найти в разделе идентификации масштабируемого набора виртуальных машин с помощью команды az vmss show.

Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType UserAssigned -IdentityID "<USER ASSIGNED IDENTITY NAME>"

Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType None

Если в масштабируемом наборе виртуальных машин есть управляемые удостоверения, как системные, так и пользовательские, вы можете удалить все пользовательские управляемые удостоверения, переключившись на использование только системного управляемого удостоверения.

Update-AzVmss -ResourceGroupName myResourceGroup -Name myVmss -IdentityType "SystemAssigned"

Следующие шаги

Обзор управляемых удостоверений для ресурсов Azure.
Для получения полного руководства по быстрому старту создания виртуальных машин Azure, смотрите:
- Создание виртуальной машины Windows с помощью PowerShell
- Создание виртуальной машины Linux с помощью PowerShell

В этой статье вы узнаете, как выполнять приведенные ниже операции с управляемыми удостоверениями для ресурсов Azure в масштабируемом наборе виртуальных машин Azure с помощью шаблона развертывания Azure Resource Manager.

Включение и отключение системного управляемого удостоверения в масштабируемой группе виртуальных машин Azure.
Добавление и удаление управляемого удостоверения, назначаемого пользователем, в масштабируемом наборе виртуальных машин Azure

Предварительные условия

Если вы не знакомы с управляемыми удостоверениями для ресурсов Azure, изучите общие сведения. Обратите внимание на различие между управляемыми удостоверениями, назначаемыми системой и назначаемыми пользователями.
Если у вас нет учетной записи Azure, зарегистрируйтесь для получения бесплатной пробной учетной записи, прежде чем продолжать.
Для выполнения операций управления, описанных в этой статье, учетной записи требуются следующие назначения управления доступом на основе ролей Azure:

Примечание.

Дополнительные назначения ролей каталога Microsoft Entra не требуются.
- Участник виртуальной машины для создания масштабируемого набора виртуальных машин и включения или удаления системного или назначаемого пользователем управляемого удостоверения из масштабируемого набора виртуальных машин.
- Роль Участник управляемого удостоверения: для создания управляемого удостоверения, назначаемого пользователем.
- Роль Оператор управляемого удостоверения: для назначения и удаления управляемого удостоверения, назначаемого пользователем, в масштабируемом наборе виртуальных машин.

Шаблоны диспетчера ресурсов Azure

Так же как портал Azure и сценарии, шаблоны Azure Resource Manager предоставляют возможность развертывать новые или измененные ресурсы, определенные в группе ресурсов Azure. Доступно несколько способов редактирования и развертывания шаблона, локально и на портале, в том числе:

Применение пользовательского шаблона из Azure Marketplace, что позволяет создать шаблон с нуля или взять за основу существующий общий шаблон или шаблон быстрого запуска.
Получение из существующей группы ресурсов путем экспорта шаблона из исходного развертывания или из текущего состояния развертывания.
Использование локального редактора JSON (например, VS Code), а затем передача и развертывание с помощью PowerShell или интерфейса командной строки.
Использование проекта группы ресурсов Azure Visual Studio для создания и развертывания шаблона.

Независимо оттого, какой вариант выбран, во время первоначального развертывания и повторного развертывания в шаблоне используется одинаковый синтаксис. Включение управляемых удостоверений для ресурсов Azure на новой или существующей виртуальной машине выполняется таким же образом. Коме того, по умолчанию Azure Resource Manager выполняет добавочное обновление для развертываний.

Управляемое удостоверение, назначаемое системой

В этом разделе вы узнаете, как включить и отключить управляемое удостоверение, назначаемое системой, с помощью шаблона Azure Resource Manager.

Включение управляемого удостоверения, назначаемого системой, для создаваемого или существующего масштабируемого набора виртуальных машин

После входа в Azure локально или через портал Azure используйте учетную запись, связанную с подпиской Azure, которая содержит масштабируемый набор виртуальных машин.
Чтобы включить управляемое удостоверение, назначаемое системой, загрузите шаблон в редактор, найдите интересующий ресурс Microsoft.Compute/virtualMachinesScaleSets в разделе ресурсов и добавьте свойство identity на том же уровне, что и свойство "type": "Microsoft.Compute/virtualMachinesScaleSets". Используйте следующий синтаксис:
```
"identity": {
    "type": "SystemAssigned"
}
```

Когда вы закончите, в раздел ресурсов шаблона следует добавить следующие разделы, которые должны выглядеть следующим образом:

 "resources": [
     {
         //other resource provider properties...
         "apiVersion": "2018-06-01",
         "type": "Microsoft.Compute/virtualMachineScaleSets",
         "name": "[variables('vmssName')]",
         "location": "[resourceGroup().location]",
         "identity": {
             "type": "SystemAssigned",
         },
        "properties": {
             //other resource provider properties...
             "virtualMachineProfile": {
                 //other virtual machine profile properties...

             }
         }
     }
 ]

Отключить системно назначаемое управляемое удостоверение в масштабируемом наборе виртуальных машин Azure

После входа в Azure локально или через портал Azure используйте учетную запись, связанную с подпиской Azure, которая содержит масштабируемый набор виртуальных машин.
Загрузив шаблон в редактор, найдите нужный ресурс Microsoft.Compute/virtualMachineScaleSets в разделе resources. Если у вашей виртуальной машины есть только управляемое удостоверение, назначаемое системой, его можно отключить, изменив тип удостоверения на None.

Microsoft.Compute/virtualMachineScaleSets API версии 2018-06-01

Если apiVersion имеет значение 2018-06-01 и в виртуальной машине есть управляемые удостоверения, назначаемые как системой, так и пользователем, удалите SystemAssigned из типа удостоверения и оставьте UserAssigned вместе со значениями словаря userAssignedIdentities.

Microsoft.Compute/virtualMachineScaleSets API версии 2018-06-01

Если apiVersion имеет значение 2017-12-01 и у масштабируемого набора виртуальных машин есть как системные, так и назначаемые пользователем управляемые удостоверения, удалите SystemAssigned из типа удостоверения и оставьте UserAssigned вместе с массивом identityIds управляемых удостоверений, назначаемых пользователем.

В следующем примере показано, как удалить системно назначенное управляемое удостоверение из масштабируемого набора виртуальных машин, не имеющего управляемых удостоверений, назначаемых пользователем.
```
{
    "name": "[variables('vmssName')]",
    "apiVersion": "2018-06-01",
    "location": "[parameters(Location')]",
    "identity": {
        "type": "None"
     }

}
```

Управляемое удостоверение, назначаемое пользователем

В этом разделе вы зададите управляемое удостоверение, назначаемое пользователем, для масштабируемого набора виртуальных машин с помощью шаблона Azure Resource Manager.

Примечание.

Чтобы создать управляемое удостоверение, назначаемое пользователем, с помощью шаблона Azure Resource Manager, обратитесь к разделу Создание управляемого удостоверения, назначаемого пользователем.

Назначение управляемой идентификации, назначенной пользователем, для набора масштабируемых виртуальных машин

Чтобы назначить управляемую идентичность, определяемую пользователем, для набора масштабируемых виртуальных машин, добавьте ниже приведенную запись в элемент resources. Не забудьте заменить <USERASSIGNEDIDENTITY> именем управляемого идентификатора, назначенного пользователем, который вы создали.

Microsoft.Compute/virtualMachineScaleSets API версии 2018-06-01

Если apiVersion имеет значение 2018-06-01, то управляемые удостоверения, назначаемые пользователем, хранятся в формате словаря userAssignedIdentities, а значение <USERASSIGNEDIDENTITYNAME> должно храниться в переменной, определенной в разделе variables шаблона.
```
{
    "name": "[variables('vmssName')]",
    "apiVersion": "2018-06-01",
    "location": "[parameters(Location')]",
    "identity": {
        "type": "userAssigned",
        "userAssignedIdentities": {
            "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {}
        }
    }

}
```
Microsoft.Compute/virtualMachineScaleSets API версии 2017-12-01

Если ваш apiVersion является 2017-12-01 или более ранней версией, то управляемые удостоверения, назначаемые пользователем, хранятся в массиве identityIds, а значение <USERASSIGNEDIDENTITYNAME> должно храниться в переменной, определенной в разделе переменных вашего шаблона.
```
{
    "name": "[variables('vmssName')]",
    "apiVersion": "2017-03-30",
    "location": "[parameters(Location')]",
    "identity": {
        "type": "userAssigned",
        "identityIds": [
            "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITY>'))]"
        ]
    }
}
```

По завершении шаблон должен выглядеть следующим образом.

Microsoft.Compute/virtualMachineScaleSets API версии 2018-06-01

"resources": [
     {
         //other resource provider properties...
         "apiVersion": "2018-06-01",
         "type": "Microsoft.Compute/virtualMachineScaleSets",
         "name": "[variables('vmssName')]",
         "location": "[resourceGroup().location]",
         "identity": {
             "type": "UserAssigned",
             "userAssignedIdentities": {
                 "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {}
             }
         },
        "properties": {
             //other virtual machine properties...
             "virtualMachineProfile": {
                 //other virtual machine profile properties...
             }
         }
     }
 ]

Microsoft.Compute/virtualMachines API версии 2017-12-01

"resources": [
     {
         //other resource provider properties...
         "apiVersion": "2017-12-01",
         "type": "Microsoft.Compute/virtualMachineScaleSets",
         "name": "[variables('vmssName')]",
         "location": "[resourceGroup().location]",
         "identity": {
             "type": "UserAssigned",
             "identityIds": [
                 "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]"
             ]
         },
        "properties": {
             //other virtual machine properties...
             "virtualMachineProfile": {
                 //other virtual machine profile properties...
             }
         }
     }
 ]

Удаление управляемого удостоверения, назначаемого пользователем, из масштабируемого набора виртуальных машин Azure

Если для масштабируемого набора виртуальных машин больше не требуется управляемое удостоверение, назначаемое пользователем, сделайте следующее.

После входа в Azure локально или через портал Azure используйте учетную запись, связанную с подпиской Azure, которая содержит масштабируемый набор виртуальных машин.
Загрузив шаблон в редактор, найдите нужный ресурс Microsoft.Compute/virtualMachineScaleSets в разделе resources. Если у масштабируемого набора виртуальных машин есть только управляемое удостоверение, назначаемое пользователем, его можно отключить, изменив тип удостоверения на None.

В следующем примере показано, как удалить все пользовательские управляемые удостоверения из виртуальной машины, не имеющей системных управляемых удостоверений.
```
{
    "name": "[variables('vmssName')]",
    "apiVersion": "2018-06-01",
    "location": "[parameters(Location')]",
    "identity": {
        "type": "None"
     }
}
```
Microsoft.Compute/virtualMachineScaleSets API версии 2018-06-01

Чтобы удалить отдельное управляемое удостоверение, назначаемое пользователем, из масштабируемого набора виртуальных машин, удалите его из словаря userAssignedIdentities.

Если у вас есть удостоверение, назначаемое системой, сохраните его в значении type в рамках значения identity.

Microsoft.Compute/virtualMachineScaleSets API версии 2017-12-01

Чтобы удалить отдельное управляемое удостоверение, назначаемое пользователем, из масштабируемого набора виртуальных машин, удалите его из массива identityIds.

Если у вас есть управляемое удостоверение, назначаемое системой, сохраните его в значении type в рамках значения identity.

Следующие шаги

Обзор управляемых удостоверений для ресурсов Azure.

Из этой статьи вы узнаете, как выполнять приведенные ниже операции с управляемыми удостоверениями для ресурсов Azure, используя CURL для выполнения вызовов к конечной точке REST Azure Resource Manager.

Включение и отключение управляемого удостоверения, назначаемого системой, в масштабируемом наборе виртуальных машин Azure
Добавление и удаление управляемого удостоверения, назначаемого пользователем, в масштабируемом наборе виртуальных машин Azure

Предварительные требования

Если вы не работали с управляемыми удостоверениями для ресурсов Azure, см. статью Что такое управляемые удостоверения для ресурсов Azure. Сведения об удостоверениях, назначаемых системой и назначаемых пользователем, см. в разделе Типы управляемых удостоверений.
Для выполнения операций управления, описанных в этой статье, учетной записи нужно назначить следующие роли Azure:
- Соавтор виртуальной машины для создания масштабируемого набора виртуальных машин, а также для включения и удаления управляемого удостоверения, назначенного системой или пользователем, из масштабируемого набора виртуальных машин.
- Роль Участник управляемого удостоверения: для создания управляемого удостоверения, назначаемого пользователем.
- Роль Оператор управляемого удостоверения позволяет назначать и удалять удостоверение, назначаемое пользователем, для масштабируемого набора виртуальных машин.
Примечание.

Дополнительные назначения ролей каталога Microsoft Entra не требуются.

Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см. в статье "Начало работы с Azure Cloud Shell".
Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.
- Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других параметрах входа см. в статье "Проверка подлинности в Azure с помощью Azure CLI".
- Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений и управление ими с помощью Azure CLI.
- Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

Системное управляемое удостоверение

В этом разделе описывается, как включить и отключить управляемое удостоверение, назначаемое системой, в масштабируемом наборе виртуальных машин, используя CURL для выполнения вызовов к конечной точке REST Azure Resource Manager.

Включите управляемую удостоверенность, назначаемую системой, при создании масштабируемого набора виртуальных машин

Чтобы создать масштабируемый набор виртуальных машин с включенным управляемым удостоверением, назначенным системой, необходимо создать масштабируемый набор виртуальных машин и получить маркер доступа для вызова конечной точки Resource Manager с значением типа управляемого удостоверения, назначаемого системой.

Создайте группу ресурсов для группировки и развертывания вашего масштабируемого набора виртуальных машин и связанных с ним ресурсов, используя команду az group create. Если вы уже создали группу ресурсов, которую можно использовать, этот шаг можно пропустить:
```
az group create --name myResourceGroup --location westus
```
Создайте сетевой интерфейс для масштабируемого набора виртуальных машин:
```
 az network nic create -g myResourceGroup --vnet-name myVnet --subnet mySubnet -n myNic
```
Получите маркер доступа типа Bearer, который понадобится на следующем шаге в заголовке Authorization для создания набора виртуальных машин с управляемой системой идентификацией.
```
az account get-access-token
```

С помощью Azure Cloud Shell создайте масштабируемый набор виртуальных машин, используя CURL для вызова конечной точки REST Azure Resource Manager. Приведенный ниже пример создает в группе ресурсов myResourceGroup масштабируемый набор виртуальных машин myVMSS с управляемым удостоверением, назначаемым системой, в соответствии со значением "identity":{"type":"SystemAssigned"} в тексте запроса. Замените <ACCESS TOKEN> на значение, полученное на предыдущем шаге при запросе токена доступа типа Bearer, и укажите вместо <SUBSCRIPTION ID> значение, подходящее для вашей среды.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2018-06-01' -X PUT -d '{"sku":{"tier":"Standard","capacity":3,"name":"Standard_D1_v2"},"location":"eastus","identity":{"type":"SystemAssigned"},"properties":{"overprovision":true,"virtualMachineProfile":{"storageProfile":{"imageReference":{"sku":"2016-Datacenter","publisher":"MicrosoftWindowsServer","version":"latest","offer":"WindowsServer"},"osDisk":{"caching":"ReadWrite","managedDisk":{"storageAccountType":"StandardSSD_LRS"},"createOption":"FromImage"}},"osProfile":{"computerNamePrefix":"myVMSS","adminUsername":"azureuser","adminPassword":"myPassword12"},"networkProfile":{"networkInterfaceConfigurations":[{"name":"myVMSS","properties":{"primary":true,"enableIPForwarding":true,"ipConfigurations":[{"name":"myVMSS","properties":{"subnet":{"id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVnet/subnets/mySubnet"}}}]}}]}},"upgradePolicy":{"mode":"Manual"}}}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"

PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2018-06-01 HTTP/1.1

Заголовки запроса

Заголовок запроса	Описание
Тип содержимого	Обязательный. Задайте значение `application/json`.
Авторизация	Обязательный. Задайте допустимый маркер доступа для `Bearer`.

Текст запроса

 {
    "sku":{
       "tier":"Standard",
       "capacity":3,
       "name":"Standard_D1_v2"
    },
    "location":"eastus",
    "identity":{
       "type":"SystemAssigned"
    },
    "properties":{
       "overprovision":true,
       "virtualMachineProfile":{
          "storageProfile":{
             "imageReference":{
                "sku":"2016-Datacenter",
                "publisher":"MicrosoftWindowsServer",
                "version":"latest",
                "offer":"WindowsServer"
             },
             "osDisk":{
                "caching":"ReadWrite",
                "managedDisk":{
                   "storageAccountType":"StandardSSD_LRS"
                },
                "createOption":"FromImage"
             }
          },
          "osProfile":{
             "computerNamePrefix":"myVMSS",
             "adminUsername":"azureuser",
             "adminPassword":"myPassword12"
          },
          "networkProfile":{
             "networkInterfaceConfigurations":[
                {
                   "name":"myVMSS",
                   "properties":{
                      "primary":true,
                      "enableIPForwarding":true,
                      "ipConfigurations":[
                         {
                            "name":"myVMSS",
                            "properties":{
                               "subnet":{
                                  "id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVnet/subnets/mySubnet"
                               }
                            }
                         }
                      ]
                   }
                }
             ]
          }
       },
       "upgradePolicy":{
          "mode":"Manual"
       }
    }
 }

Включение управляемого удостоверения, назначаемого системой, в существующем масштабируемом наборе виртуальных машин

Чтобы включить управляемое удостоверение, назначаемое системой, в существующем масштабируемом наборе виртуальных машин, нужно получить маркер доступа, а затем воспользоваться CURL для вызова конечной точки REST Resource Manager для изменения типа удостоверения.

Получите токен доступа типа Bearer и используйте его в заголовке авторизации на следующем шаге для создания масштабируемого набора виртуальных машин с управляемым удостоверением, назначенным системой.
```
az account get-access-token
```

Используйте следующую команду CURL для обращения к конечной точке REST Azure Resource Manager, чтобы включить системно назначаемое управляемое удостоверение в масштабируемом наборе виртуальных машин в соответствии со значением {"identity":{"type":"SystemAssigned"} в теле запроса для набора виртуальных машин, названного myVMSS. Замените <ACCESS TOKEN> значением, полученным на предыдущем шаге при запросе токена доступа Bearer, а вместо <SUBSCRIPTION ID> укажите значение, подходящее для вашей среды.

Внимание

Чтобы гарантировать, что вы не удалите существующие управляемые удостоверения, назначенные пользователем и прикрепленные к масштабируемому набору виртуальных машин, необходимо перечислить эти удостоверения с помощью следующей команды CURL: curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachineScaleSets/<VMSS NAME>?api-version=2018-06-01' -H "Authorization: Bearer <ACCESS TOKEN>". Если для масштабируемого набора виртуальных машин заданы управляемые удостоверения пользователя, как указано в значении identity в ответе, перейдите к шагу 3, чтобы узнать, как сохранить управляемые удостоверения пользователя при включении системного управляемого удостоверения в масштабируемом наборе виртуальных машин.

 curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"SystemAssigned"}}' -H "Content-Type: application/json" -H Authorization:"Bearer <ACCESS TOKEN>"

PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2018-06-01 HTTP/1.1

Заголовки запроса

Заголовок запроса	Описание
Тип содержимого	Обязательный. Задайте значение `application/json`.
Авторизация	Обязательный. Установите верный токен доступа для `Bearer`.

Текст запроса

 {
    "identity":{
       "type":"SystemAssigned"
    }
 }

Чтобы включить управляемое удостоверение, назначаемое системой, в масштабируемом наборе виртуальных машин с существующими управляемыми удостоверениями, назначаемыми пользователем, нужно добавить SystemAssigned в значение type.

Например, если для масштабируемого набора виртуальных машин заданы управляемые удостоверения, назначаемые пользователем, ID1 и ID2, и вы хотите добавить управляемое удостоверение, назначаемое системой, используйте приведенный ниже вызов CURL. Замените <ACCESS TOKEN> и <SUBSCRIPTION ID> значениями, уместными для вашей среды.

API версии 2018-06-01 хранит управляемые удостоверения, назначаемые пользователем, в значении userAssignedIdentities в формате словаря в отличие от значения identityIds в формате массива, используемого в API версии 2017-12-01.

Версия API 2018-06-01

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"SystemAssigned,UserAssigned", "userAssignedIdentities":{"/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{},"/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":{}}}}' -H "Content-Type: application/json" -H Authorization:"Bearer <ACCESS TOKEN>"

PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2018-06-01 HTTP/1.1

Заголовки запроса

Заголовок запроса	Описание
Content-Type	Обязательный. Задайте значение `application/json`.
Авторизация	Обязательный. Задайте допустимый маркер доступа для `Bearer`.

Текст запроса

 {
    "identity":{
       "type":"SystemAssigned,UserAssigned",
       "userAssignedIdentities":{
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{
          },
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":{

          }
       }
    }
 }

версия API от 2017-12-01

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2017-12-01' -X PATCH -d '{"identity":{"type":"SystemAssigned,UserAssigned", "identityIds":["/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1","/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2"]}}' -H "Content-Type: application/json" -H Authorization:"Bearer <ACCESS TOKEN>"

PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2017-12-01 HTTP/1.1

Заголовки запроса

Заголовок запроса	Описание
Content-Type	Обязательный. Задайте значение `application/json`.
Авторизация	Обязательный. Задайте допустимый маркер доступа для `Bearer`.

Текст запроса

 {
    "identity":{
       "type":"SystemAssigned,UserAssigned",
       "identityIds":[
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1",
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2"
       ]
    }
 }

Отключение системно назначенного управляемого удостоверения в наборе виртуальных машин с масштабируемой конфигурацией.

Чтобы отключить удостоверение, назначенное системой, в существующем масштабируемом наборе виртуальных машин, нужно получить маркер доступа, а затем использовать CURL для вызова REST-эндпоинта диспетчера ресурсов для изменения типа удостоверения на None.

Получите токен доступа Bearer, который вам понадобится на следующем шаге в заголовке Authorization для создания масштабируемого набора виртуальных машин с управляемой системой идентичностью.
```
az account get-access-token
```

Измените масштабируемый набор виртуальных машин, используя CURL для вызова конечной точки REST Azure Resource Manager, чтобы отключить управляемое удостоверение, назначаемое системой. Приведенный ниже пример отключает назначенное системой управляемое удостоверение, как указано в теле запроса значением {"identity":{"type":"None"}}, для масштабируемого набора виртуальных машин с именем myVMSS. Замените <ACCESS TOKEN> на значение, которое вы получили на предыдущем шаге при запросе Access-токена типа Bearer, и значение <SUBSCRIPTION ID>, подходящее для вашей среды.

Внимание

Чтобы предотвратить удаление существующих управляемых удостоверений, назначаемых пользователем, для масштабируемого набора виртуальных машин, нужно перечислить эти удостоверения с помощью следующей команды CURL: curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachineScaleSets/<VMSS NAME>?api-version=2018-06-01' -H "Authorization: Bearer <ACCESS TOKEN>". Если для масштабируемого набора виртуальных машин задано управляемое удостоверение, назначаемое пользователем, перейдите к шагу 3, где описано, как сохранить управляемые удостоверения, назначаемые пользователем, при удалении управляемого удостоверения, назначаемого системой, из масштабируемого набора виртуальных машин.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"None"}}' -H "Content-Type: application/json" -H Authorization:"Bearer <ACCESS TOKEN>"

PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2018-06-01 HTTP/1.1

Заголовки запроса

Заголовок запроса	Описание
Content-Type (Тип содержимого)	Обязательный. Задайте значение `application/json`.
Авторизация	Обязательный. Задайте допустимый маркер доступа для `Bearer`.

Текст запроса

 {
    "identity":{
       "type":"None"
    }
 }

Чтобы удалить управляемое удостоверение, назначаемое системой, из масштабируемого набора виртуальных машин, в котором есть управляемые удостоверения, назначаемые пользователем, удалите SystemAssigned из значения {"identity":{"type:" "}}, сохранив значение UserAssigned и значения словаря userAssignedIdentities, если используется API версии 2018-06-01. При использовании API версии 2017-12-01 или более ранних версий сохраните массив identityIds.

Управляемое удостоверение, назначаемое пользователем

В этом разделе описывается, как добавить и удалить управляемое удостоверение, назначаемое пользователем, в масштабируемом наборе виртуальных машин, используя CURL для выполнения вызовов к конечной точке REST Azure Resource Manager.

Назначение управляемого удостоверения пользователя при создании масштабируемого набора виртуальных машин

Получите токен доступа типа Bearer, который понадобится в следующем шаге в заголовке Authorization для создания масштабируемого набора виртуальных машин с управляемым удостоверением, назначаемым системой.
```
az account get-access-token
```
Создайте сетевой интерфейс для масштабируемого набора виртуальных машин:
```
 az network nic create -g myResourceGroup --vnet-name myVnet --subnet mySubnet -n myNic
```
Получите маркер доступа носителя, который понадобится в следующем шаге в заголовке авторизации для создания масштабируемого набора виртуальных машин с управляемым удостоверением, назначаемым системой.
```
az account get-access-token
```
Создайте управляемое удостоверение, назначаемое пользователем, используя инструкции, которые можно найти здесь: Создание управляемого удостоверения, назначаемого пользователем.

Создайте масштабируемый набор виртуальных машин, используя CURL для вызова конечной точки REST Azure Resource Manager. Приведенный ниже пример создает в группе ресурсов myResourceGroup масштабируемый набор виртуальных машин myVMSS с управляемым удостоверением, назначаемым пользователем, ID1 в соответствии со значением "identity":{"type":"UserAssigned"} в тексте запроса. Замените <ACCESS TOKEN> значением, полученным на предыдущем шаге при запросе маркера доступа носителя, а вместо <SUBSCRIPTION ID> укажите значение, подходящее для вашей среды.

API версии 2018-06-01

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2018-06-01' -X PUT -d '{"sku":{"tier":"Standard","capacity":3,"name":"Standard_D1_v2"},"location":"eastus","identity":{"type":"UserAssigned","userAssignedIdentities":{"/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{}}},"properties":{"overprovision":true,"virtualMachineProfile":{"storageProfile":{"imageReference":{"sku":"2016-Datacenter","publisher":"MicrosoftWindowsServer","version":"latest","offer":"WindowsServer"},"osDisk":{"caching":"ReadWrite","managedDisk":{"storageAccountType":"StandardSSD_LRS"},"createOption":"FromImage"}},"osProfile":{"computerNamePrefix":"myVMSS","adminUsername":"azureuser","adminPassword":"myPassword12"},"networkProfile":{"networkInterfaceConfigurations":[{"name":"myVMSS","properties":{"primary":true,"enableIPForwarding":true,"ipConfigurations":[{"name":"myVMSS","properties":{"subnet":{"id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVnet/subnets/mySubnet"}}}]}}]}},"upgradePolicy":{"mode":"Manual"}}}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"

PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2018-06-01 HTTP/1.1

Заголовки запроса

Заголовок запроса	Описание
Content-Type	Обязательный. Задайте значение `application/json`.
Авторизация	Обязательный. Задайте допустимый маркер доступа для `Bearer`.

Текст запроса

 {
    "sku":{
       "tier":"Standard",
       "capacity":3,
       "name":"Standard_D1_v2"
    },
    "location":"eastus",
    "identity":{
       "type":"UserAssigned",
       "userAssignedIdentities":{
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{

          }
       }
    },
    "properties":{
       "overprovision":true,
       "virtualMachineProfile":{
          "storageProfile":{
             "imageReference":{
                "sku":"2016-Datacenter",
                "publisher":"MicrosoftWindowsServer",
                "version":"latest",
                "offer":"WindowsServer"
             },
             "osDisk":{
                "caching":"ReadWrite",
                "managedDisk":{
                   "storageAccountType":"StandardSSD_LRS"
                },
                "createOption":"FromImage"
             }
          },
          "osProfile":{
             "computerNamePrefix":"myVMSS",
             "adminUsername":"azureuser",
             "adminPassword":"myPassword12"
          },
          "networkProfile":{
             "networkInterfaceConfigurations":[
                {
                   "name":"myVMSS",
                   "properties":{
                      "primary":true,
                      "enableIPForwarding":true,
                      "ipConfigurations":[
                         {
                            "name":"myVMSS",
                            "properties":{
                               "subnet":{
                                  "id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVnet/subnets/mySubnet"
                               }
                            }
                         }
                      ]
                   }
                }
             ]
          }
       },
       "upgradePolicy":{
          "mode":"Manual"
       }
    }
 }

API версии 2017-12-01

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2017-12-01' -X PUT -d '{"sku":{"tier":"Standard","capacity":3,"name":"Standard_D1_v2"},"location":"eastus","identity":{"type":"UserAssigned","identityIds":["/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"]},"properties":{"overprovision":true,"virtualMachineProfile":{"storageProfile":{"imageReference":{"sku":"2016-Datacenter","publisher":"MicrosoftWindowsServer","version":"latest","offer":"WindowsServer"},"osDisk":{"caching":"ReadWrite","managedDisk":{"storageAccountType":"StandardSSD_LRS"},"createOption":"FromImage"}},"osProfile":{"computerNamePrefix":"myVMSS","adminUsername":"azureuser","adminPassword":"myPassword12"},"networkProfile":{"networkInterfaceConfigurations":[{"name":"myVMSS","properties":{"primary":true,"enableIPForwarding":true,"ipConfigurations":[{"name":"myVMSS","properties":{"subnet":{"id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVnet/subnets/mySubnet"}}}]}}]}},"upgradePolicy":{"mode":"Manual"}}}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"

PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2017-12-01 HTTP/1.1

Заголовки запроса

Заголовок запроса	Описание
Content-Type	Обязательный. Задайте значение `application/json`.
Авторизация	Обязательный. Задайте допустимый маркер доступа для `Bearer`.

Текст запроса

 {
    "sku":{
       "tier":"Standard",
       "capacity":3,
       "name":"Standard_D1_v2"
    },
    "location":"eastus",
    "identity":{
       "type":"UserAssigned",
       "identityIds":[
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"
       ]
    },
    "properties":{
       "overprovision":true,
       "virtualMachineProfile":{
          "storageProfile":{
             "imageReference":{
                "sku":"2016-Datacenter",
                "publisher":"MicrosoftWindowsServer",
                "version":"latest",
                "offer":"WindowsServer"
             },
             "osDisk":{
                "caching":"ReadWrite",
                "managedDisk":{
                   "storageAccountType":"StandardSSD_LRS"
                },
                "createOption":"FromImage"
             }
          },
          "osProfile":{
             "computerNamePrefix":"myVMSS",
             "adminUsername":"azureuser",
             "adminPassword":"myPassword12"
          },
          "networkProfile":{
             "networkInterfaceConfigurations":[
                {
                   "name":"myVMSS",
                   "properties":{
                      "primary":true,
                      "enableIPForwarding":true,
                      "ipConfigurations":[
                         {
                            "name":"myVMSS",
                            "properties":{
                               "subnet":{
                                  "id":"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVnet/subnets/mySubnet"
                               }
                            }
                         }
                      ]
                   }
                }
             ]
          }
       },
       "upgradePolicy":{
          "mode":"Manual"
       }
    }
 }

Назначение управляемой идентичности, заданной пользователем, для уже существующего масштабируемого кластера виртуальных машин Azure

Получите токен доступа Bearer, который понадобится в следующем шаге в заголовке Authorization для создания масштабируемого набора виртуальных машин с системно назначенной управляемой идентификацией.
```
az account get-access-token
```
Создайте управляемое удостоверение, назначаемое пользователем, с помощью инструкций, найденных здесь: Создание управляемого удостоверения, назначаемого пользователем.

Чтобы убедиться, что вы не удаляете существующие управляемые удостоверения, назначенные пользователем или системой, для масштабируемого набора виртуальных машин, нужно с помощью следующей команды CURL получить список типов удостоверений, назначенных этому набору. Если у вас есть управляемые удостоверения, назначенные масштабируемому набору виртуальных машин, они перечислены в значении identity.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachineScaleSets/<VMSS NAME>?api-version=2018-06-01' -H "Authorization: Bearer <ACCESS TOKEN>"

GET https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachineScaleSets/<VMSS NAME>?api-version=2018-06-01 HTTP/1.1

Заголовки запроса

Заголовок запроса	Описание
Авторизация	Обязательный. Установите действительный токен доступа для `Bearer`.

Если для вашего масштабируемого набора виртуальных машин не заданы управляемые удостоверения, назначаемые пользователем или назначаемые системой, используйте приведенную ниже команду CURL для вызова конечной точки REST Azure Resource Manager, чтобы задать первое управляемое удостоверение, назначаемое пользователем, для масштабируемого набора виртуальных машин. Если для масштабируемого набора виртуальных машин заданы управляемые удостоверения, назначаемые пользователем или назначаемые системой, перейдите к шагу 5, где описано, как добавить несколько управляемых удостоверений, назначаемых пользователем, в масштабируемый набор виртуальных машин, сохранив при этом управляемое удостоверение, назначаемое системой.

Следующий пример задает управляемое удостоверение, назначаемое пользователем, ID1 для масштабируемого набора виртуальных машин myVMSS в группе ресурсов myResourceGroup. Замените <ACCESS TOKEN> значением, полученным на предыдущем шаге при запросе токена доступа Bearer, и значение <SUBSCRIPTION ID>, подходящее для вашей среды.

Версия API 2018-06-01

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2018-12-01' -X PATCH -d '{"identity":{"type":"userAssigned", "userAssignedIdentities":{"/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{}}}}' -H "Content-Type: application/json" -H Authorization:"Bearer <ACCESS TOKEN>"

PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2018-12-01 HTTP/1.1

Заголовки запроса

Заголовок запроса	Описание
Content-Type (Тип содержимого)	Обязательный. Задайте значение `application/json`.
Авторизация	Обязательный. Установите допустимый токен доступа для `Bearer`.

Текст запроса

 {
    "identity":{
       "type":"userAssigned",
       "userAssignedIdentities":{
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{

          }
       }
    }
 }

API версии 2017-12-01

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2017-12-01' -X PATCH -d '{"identity":{"type":"userAssigned", "identityIds":["/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"]}}' -H "Content-Type: application/json" -H Authorization:"Bearer <ACCESS TOKEN>"

PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2017-12-01 HTTP/1.1

Заголовки запроса

Заголовок запроса	Описание
Content-Type	Обязательный. Задайте значение `application/json`.
Авторизация	Обязательный. Установите допустимый токен доступа для `Bearer`.

Текст запроса

 {
    "identity":{
       "type":"userAssigned",
       "identityIds":[
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"
       ]
    }
 }

Если для масштабируемого набора виртуальных машин задано управляемое удостоверение, назначаемое пользователем или назначаемого системой, сделайте следующее.

Версия API 2018-06-01

Добавьте управляемое удостоверение, назначаемое пользователем, в значение словаря userAssignedIdentities.

Например, если у вас есть управляемое удостоверение, назначаемое системой, и управляемое удостоверение, назначаемое пользователем ID1, которые в данный момент назначены вашему набору масштабируемых виртуальных машин, и вы хотите добавить к нему управляемое удостоверение, назначаемое пользователем ID2, сделайте следующее.

curl  'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"SystemAssigned, UserAssigned", "userAssignedIdentities":{"/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{},"/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":{}}}}' -H "Content-Type: application/json" -H Authorization:"Bearer <ACCESS TOKEN>"

PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2018-06-01 HTTP/1.1

Заголовки запроса

Заголовок запроса	Описание
Тип содержимого	Обязательный. Задайте значение `application/json`.
Авторизация	Обязательный. Задайте допустимый маркер доступа для `Bearer`.

Текст запроса

 {
    "identity":{
       "type":"SystemAssigned, UserAssigned",
       "userAssignedIdentities":{
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1":{

          },
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":{

          }
       }
    }
 }

API версии 2017-12-01

Сохраните назначаемые пользователем управляемые удостоверения, которые вы хотите оставить в значении массива identityIds, при добавлении нового назначаемого пользователем управляемого удостоверения.

Например, если для масштабируемого набора виртуальных машин заданы системное удостоверение и пользовательское управляемое удостоверение ID1, и вы хотите добавить пользовательское управляемое удостоверение ID2, сделайте следующее.

curl  'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2017-12-01' -X PATCH -d '{"identity":{"type":"SystemAssigned, UserAssigned", "identityIds":["/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1","/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2"]}}' -H "Content-Type: application/json" -H Authorization:"Bearer <ACCESS TOKEN>"

PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2017-12-01 HTTP/1.1

Заголовки запроса

Заголовок запроса	Описание
Content-Type	Обязательный. Задайте значение `application/json`.
Авторизация	Обязательный. Задайте допустимый маркер доступа `Bearer`.

Текст запроса

 {
    "identity":{
       "type":"SystemAssigned, UserAssigned",
       "identityIds":[
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1",
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2"
       ]
    }
 }

Удалите назначенное пользователем управляемое удостоверение из масштабируемого набора виртуальных машин

Получите токен доступа типа Bearer, который вы будете использовать на следующем этапе в заголовке авторизации для создания набора масштабируемых виртуальных машин с системно назначаемым управляемым удостоверением.
```
az account get-access-token
```

Чтобы предотвратить удаление существующих управляемых удостоверений, назначаемых пользователем, которые нужно сохранить для масштабируемого набора виртуальных машин, или удалить управляемое удостоверение, назначаемое системой, нужно перечислить управляемые удостоверения с помощью следующей команды CURL.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachineScaleSets/<VMSS NAME>?api-version=2018-06-01' -H "Authorization: Bearer <ACCESS TOKEN>"

GET https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.Compute/virtualMachineScaleSets/<VMSS NAME>?api-version=2018-06-01 HTTP/1.1

Заголовки запроса

Заголовок запроса	Описание
Авторизация	Обязательный. Установите действительный токен доступа как `Bearer`.

Если у вас есть управляемые удостоверения, назначенные виртуальной машине, они перечислены в значении identity в ответе.

Например, если для вашего масштабируемого набора виртуальных машин назначены управляемые удостоверения, назначаемые пользователем, такие как ID1 и ID2, и вы хотите оставить только ID1, сохранив при этом управляемое удостоверение, назначаемое системой.

Версия API 2018-06-01

Добавьте null к управляемому удостоверению, назначенному пользователем, которое вы хотите удалить.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"SystemAssigned, UserAssigned", "userAssignedIdentities":{"/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":null}}}' -H "Content-Type: application/json" -H Authorization:"Bearer <ACCESS TOKEN>"

PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2018-06-01 HTTP/1.1

Заголовки запроса

Заголовок запроса	Описание
Content-Type	Обязательный. Задайте значение `application/json`.
Авторизация	Обязательный. Задайте действительный токен доступа для `Bearer`.

Текст запроса

 {
    "identity":{
       "type":"SystemAssigned, UserAssigned",
       "userAssignedIdentities":{
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID2":null
       }
    }
 }

API версии 2017-12-01

В массиве identityIds оставьте только те управляемые удостоверения, назначаемые пользователем, которые вы хотите сохранить.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2017-12-01' -X PATCH -d '{"identity":{"type":"SystemAssigned,UserAssigned", "identityIds":["/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"]}}' -H "Content-Type: application/json" -H Authorization:"Bearer <ACCESS TOKEN>"

PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2017-12-01 HTTP/1.1

Заголовки запроса

Заголовок запроса	Описание
Тип содержимого	Обязательный. Задайте значение `application/json`.
Авторизация	Обязательный. Установите действительный токен доступа для `Bearer`.

Текст запроса

 {
    "identity":{
       "type":"SystemAssigned,UserAssigned",
       "identityIds":[
          "/subscriptions/<SUBSCRIPTION ID>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ID1"
       ]
    }
 }

Если у масштабируемого набора виртуальных машин есть управляемые удостоверения, назначаемые системой и назначаемые пользователем, вы можете удалить все управляемые удостоверения, назначаемые пользователем, переключившись на использование только управляемого удостоверения, назначаемого системой, с помощью следующей команды.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"SystemAssigned"}}' -H "Content-Type: application/json" -H Authorization:"Bearer <ACCESS TOKEN>"

PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2018-06-01 HTTP/1.1

Заголовки запроса

Заголовок запроса	Description
Content-Type	Обязательный. Задайте значение `application/json`.
Авторизация	Обязательный. Задайте допустимый маркер доступа для `Bearer`.

Текст запроса

{
   "identity":{
      "type":"SystemAssigned"
   }
}

Если ваш масштабируемый набор виртуальных машин имеет только управляемые удостоверения, назначаемые пользователем, и вы хотите удалить их все, используйте следующую команду.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2018-06-01' -X PATCH -d '{"identity":{"type":"None"}}' -H "Content-Type: application/json" -H Authorization:"Bearer <ACCESS TOKEN>"

PATCH https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachineScaleSets/myVMSS?api-version=2018-06-01 HTTP/1.1

Заголовки запроса

Заголовок запроса	Описание
Тип содержимого	Обязательный. Задайте значение `application/json`.
Авторизация	Обязательный. Задайте допустимый маркер доступа для `Bearer`.

Текст запроса

{
   "identity":{
      "type":"None"
   }
}

Следующие шаги

Для получения информации о том, как создать, перечислить или удалить управляемые удостоверения, назначаемые пользователем, с помощью REST, смотрите:

Создайте, перечислите или удалите управляемую идентичность, назначаемую пользователем, используя вызовы REST API

Поделиться через

Настройка управляемых удостоверений для ресурсов Azure в масштабируемом наборе виртуальных машин

Управляемая идентификация, назначаемая системой

Включение назначаемого системой управляемого идентификатора при создании наборов виртуальных машин с возможностью масштабирования.

Включение назначенной системой управляемой идентичности в существующем масштабируемом наборе виртуальных машин

Удаление системного управляемого удостоверения из набора масштабируемых виртуальных машин

Управляемое удостоверение, назначаемое пользователем

Назначение управляемой идентичности, назначенной пользователем, при создании набора масштабируемых виртуальных машин

Назначение пользовательского управляемого удостоверения для существующего масштабируемого набора виртуальных машин

Удалите назначенное пользователем управляемое удостоверение из масштабируемого набора виртуальных машин

Следующие шаги

Предварительные условия

Управляемое удостоверение, назначаемое системой

Включение управляемого удостоверения, назначаемого системой, во время создания масштабируемого набора виртуальных машин Azure

Включение системно назначаемой управляемой идентичности в существующем наборе масштабируемых виртуальных машин Azure

Отключите управляемое удостоверение, назначенное системой, в масштабируемом наборе виртуальных машин Azure.

Управляемое удостоверение, назначаемое пользователем

Назначение управляемой идентичности, назначаемой пользователем, при создании масштабируемого множества виртуальных машин.

Назначение управляемого удостоверения, заданного пользователем, для существующего набора масштабирования виртуальных машин

Удаление управляемой идентичности, назначенной пользователем, из масштабируемого набора виртуальных машин Azure

Следующие шаги

Предварительные условия

Управляемое системой удостоверение

Активировать управляемую удостоверенность, назначаемую системой, во время создания масштабируемого набора виртуальных машин Azure

Включение управляемого удостоверения, назначаемого системой, в существующем масштабируемом наборе виртуальных машин Azure

Отключите системное управляемое удостоверение в наборе масштабируемых виртуальных машин Azure

Управляемое удостоверение, назначаемое пользователем

Назначение управляемого удостоверения, назначаемого пользователем, во время создания масштабируемого набора виртуальных машин Azure

Назначение управляемого удостоверения, назначаемого пользователем, для существующего масштабируемого набора виртуальных машин Azure

Удаление назначенного пользователем управляемого удостоверения из масштабируемого набора виртуальных машин Azure

Следующие шаги

Предварительные условия

Шаблоны диспетчера ресурсов Azure

Управляемое удостоверение, назначаемое системой

Включение управляемого удостоверения, назначаемого системой, для создаваемого или существующего масштабируемого набора виртуальных машин

Отключить системно назначаемое управляемое удостоверение в масштабируемом наборе виртуальных машин Azure

Управляемое удостоверение, назначаемое пользователем

Назначение управляемой идентификации, назначенной пользователем, для набора масштабируемых виртуальных машин

Удаление управляемого удостоверения, назначаемого пользователем, из масштабируемого набора виртуальных машин Azure

Следующие шаги

Предварительные требования

Системное управляемое удостоверение

Включите управляемую удостоверенность, назначаемую системой, при создании масштабируемого набора виртуальных машин

Включение управляемого удостоверения, назначаемого системой, в существующем масштабируемом наборе виртуальных машин

Отключение системно назначенного управляемого удостоверения в наборе виртуальных машин с масштабируемой конфигурацией.

Управляемое удостоверение, назначаемое пользователем

Назначение управляемого удостоверения пользователя при создании масштабируемого набора виртуальных машин

Назначение управляемой идентичности, заданной пользователем, для уже существующего масштабируемого кластера виртуальных машин Azure

Удалите назначенное пользователем управляемое удостоверение из масштабируемого набора виртуальных машин

Следующие шаги

Обратная связь

Дополнительные ресурсы