Como usar identidades gerenciadas para a Configuração de Aplicativos do Azure
Este artigo mostra como criar uma identidade gerenciada para a Configuração de Aplicativos do Azure. Uma identidade gerenciada do Microsoft Entra ID permite que a Configuração de Aplicativos do Azure acesse facilmente outros recursos protegidos pelo Microsoft Entra. A identidade é gerenciada pela plataforma do Azure. Não é necessário provisionar nem girar segredos. Para saber mais sobre identidades gerenciadas na ID do Microsoft Entra, consulte Identidades gerenciadas para recursos do Azure.
Seu aplicativo pode receber dois tipos de identidades:
- Uma identidade atribuída ao sistema é vinculada ao repositório de configurações. Ela será excluída se o repositório de configurações for excluído. Um repositório de configurações só pode ter uma identidade atribuída ao sistema.
- Uma identidade atribuída ao usuário é um recurso independente do Azure que pode ser atribuído ao repositório de configurações. Um repositório de configurações pode ter várias identidades atribuídas ao usuário.
Adicionando uma identidade designada pelo sistema
Criar um repositório da Configuração de Aplicativos com uma identidade atribuída ao sistema requer uma propriedade adicional a ser definida no repositório.
Usando a CLI do Azure
Para configurar uma identidade gerenciada usando a CLI do Azure, use o comando [az appconfig identity assign] para um repositório de configurações existente. Você tem três opções para executar os exemplos nesta seção:
- Usar o Azure Cloud Shell do portal do Azure.
- Use o Azure Cloud Shell inserido usando o botão “Experimentar”, localizado no canto superior direito de cada bloco de código abaixo.
- Instale a versão mais recente da CLI do Azure (2.1 ou mais recente) se você preferir usar um console da CLI local.
As etapas a seguir descrevem a criação de um repositório da Configuração de Aplicativos e a atribuição de uma identidade usando a CLI:
Se você estiver usando a CLI do Azure em um console local, primeiro entre no Azure usando o [az login]. Use a conta associada à assinatura do Azure:
az login
Crie um repositório da Configuração de Aplicativos usando a CLI. Para obter mais exemplos de como usar a CLI com a Configuração de Aplicativos do Azure, confira Exemplos de CLI da Configuração de Aplicativos:
az group create --name myResourceGroup --location eastus az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free
Execute o comando [az appconfig identity assign] para criar a identidade atribuída ao sistema para este repositório de configurações:
az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup
Adicionar uma identidade atribuída ao usuário
Criar um aplicativo com uma identidade atribuída ao usuário exige que você crie a identidade e, em seguida, adicione o identificador de recursos ao repositório.
Observação
Você pode adicionar até 10 identidades gerenciadas atribuídas pelo usuário a um repositório de Configuração de Aplicativos.
Usando a CLI do Azure
Para configurar uma identidade gerenciada usando a CLI do Azure, use o comando [az appconfig identity assign] para um repositório de configurações existente. Você tem três opções para executar os exemplos nesta seção:
- Usar o Azure Cloud Shell do portal do Azure.
- Use o Azure Cloud Shell inserido usando o botão “Experimentar”, localizado no canto superior direito de cada bloco de código abaixo.
- Instale a versão mais recente da CLI do Azure (2.0.31 ou mais recente) se você preferir usar um console da CLI local.
As etapas a seguir descrevem a criação de uma identidade atribuída ao usuário e um repositório da Configuração de Aplicativos e, em seguida, a atribuição de identidade ao repositório usando a CLI:
Se você estiver usando a CLI do Azure em um console local, primeiro entre no Azure usando o [az login]. Use a conta associada à assinatura do Azure:
az login
Crie um repositório da Configuração de Aplicativos usando a CLI. Para obter mais exemplos de como usar a CLI com a Configuração de Aplicativos do Azure, confira Exemplos de CLI da Configuração de Aplicativos:
az group create --name myResourceGroup --location eastus az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free
Crie uma identidade atribuída ao usuário chamada
myUserAssignedIdentity
usando a CLI.az identity create --resource-group myResourceGroup --name myUserAssignedIdentity
Na saída desse comando, observe o valor da propriedade
id
.Execute o comando [az appconfig identity assign] para atribuir a nova identidade do usuário a este repositório de configurações. Use o valor da propriedade
id
que você anotou na etapa anterior.az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup --identities /subscriptions/[subscription id]/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUserAssignedIdentity
Removendo uma identidade
Uma identidade atribuída ao sistema pode ser removida desabilitando o recurso com o comando az appconfig identity remove na CLI do Azure. As identidades atribuídas pelo usuário podem ser removidas individualmente. Remover uma identidade atribuída pelo sistema dessa maneira também a excluirá do Microsoft Entra ID. As identidades atribuídas pelo sistema também são automaticamente removidas do Microsoft Entra ID quando o recurso do aplicativo é excluído.