Gerir identidades geridas atribuídas pelo utilizador
As identidades gerenciadas para recursos do Azure eliminam a necessidade de gerenciar credenciais no código. Você pode usá-los para obter um token Microsoft Entra para seus aplicativos. Os aplicativos podem usar o token ao acessar recursos que oferecem suporte à autenticação do Microsoft Entra. O Azure gerencia a identidade para que você não precise fazê-lo.
Existem dois tipos de identidades geridas: atribuídas pelo sistema e atribuídas pelo utilizador. As identidades gerenciadas atribuídas ao sistema têm seu ciclo de vida vinculado ao recurso que as criou. Essa identidade é restrita a apenas um recurso e você pode conceder permissões à identidade gerenciada usando o RBAC (controle de acesso baseado em função) do Azure. As identidades gerenciadas atribuídas pelo usuário podem ser usadas em vários recursos. Para saber mais sobre identidades gerenciadas, consulte O que são identidades gerenciadas para recursos do Azure?.
Neste artigo, você aprenderá a criar, listar, excluir ou atribuir uma função a uma identidade gerenciada atribuída pelo usuário usando o portal do Azure.
Pré-requisitos
- Se você não estiver familiarizado com identidades gerenciadas para recursos do Azure, confira a seção de visão geral. Certifique-se de revisar a diferença entre uma identidade gerenciada atribuída pelo sistema e atribuída pelo usuário.
- Se você ainda não tiver uma conta do Azure, inscreva-se para obter uma conta gratuita antes de continuar.
Criar uma identidade gerida atribuída pelo utilizador
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Para criar uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função de Colaborador de Identidade Gerenciada .
Inicie sessão no portal do Azure.
Na caixa de pesquisa, introduza Identidades Geridas. Em Serviços, selecione Identidades Gerenciadas.
Selecione Adicionar e insira valores nas seguintes caixas no painel Criar identidade gerenciada atribuída ao usuário:
- Subscrição: escolha a subscrição em que criar a identidade gerida atribuída pelo utilizador.
- Grupo de recursos: escolha um grupo de recursos no qual criar a identidade gerenciada atribuída pelo usuário ou selecione Criar novo para criar um novo grupo de recursos.
- Região: escolha uma região para implantar a identidade gerenciada atribuída pelo usuário, por exemplo, West US.
- Nome: insira o nome da identidade gerenciada atribuída pelo usuário, por exemplo, UAI1.
Importante
Quando você cria identidades gerenciadas atribuídas pelo usuário, o nome deve começar com uma letra ou número e pode incluir uma combinação de caracteres alfanuméricos, hífenes (-) e sublinhados (_). Para que a atribuição a uma máquina virtual ou a uma escala de máquina virtual funcione corretamente, o nome é limitado a 24 caracteres. Para obter mais informações, veja FAQs e problemas conhecidos.
Selecione Rever + criar para rever as alterações.
Selecione Criar.
Listar identidades gerenciadas atribuídas pelo usuário
Para listar ou ler uma identidade gerenciada atribuída pelo usuário, sua conta precisa ter atribuições de função de Operador de Identidade Gerenciada ou de Colaborador de Identidade Gerenciada .
Inicie sessão no portal do Azure.
Na caixa de pesquisa, introduza Identidades Geridas. Em Serviços, selecione Identidades Gerenciadas.
É devolvida uma lista das identidades geridas atribuídas pelo utilizador para a sua subscrição. Para ver os detalhes de uma identidade gerenciada atribuída pelo usuário, selecione seu nome.
Agora você pode visualizar os detalhes sobre a identidade gerenciada, conforme mostrado na imagem.
Excluir uma identidade gerenciada atribuída pelo usuário
Para excluir uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função de Colaborador de Identidade Gerenciada .
A exclusão de uma identidade atribuída pelo usuário não a remove da VM ou do recurso ao qual foi atribuída. Para remover a identidade atribuída pelo usuário de uma VM, consulte Remover uma identidade gerenciada atribuída pelo usuário de uma VM.
Inicie sessão no portal do Azure.
Selecione a identidade gerenciada atribuída pelo usuário e selecione Excluir.
Na caixa de confirmação, selecione Sim.
Gerenciar o acesso a identidades gerenciadas atribuídas pelo usuário
Em alguns ambientes, os administradores optam por limitar quem pode gerenciar identidades gerenciadas atribuídas pelo usuário. Os administradores podem implementar essa limitação usando funções RBAC internas . Você pode usar essas funções para conceder a um usuário ou grupo em sua organização direitos sobre uma identidade gerenciada atribuída pelo usuário.
Inicie sessão no portal do Azure.
Na caixa de pesquisa, introduza Identidades Geridas. Em Serviços, selecione Identidades Gerenciadas.
É devolvida uma lista das identidades geridas atribuídas pelo utilizador para a sua subscrição. Selecione a identidade gerenciada atribuída pelo usuário que você deseja gerenciar.
Selecione Controlo de acesso (IAM) .
Escolha Adicionar atribuição de função.
No painel Adicionar atribuição de função, escolha a função a ser atribuída e escolha Avançar.
Escolha quem deve ter a função atribuída.
Nota
Você pode encontrar informações sobre como atribuir funções a identidades gerenciadas em Atribuir um acesso de identidade gerenciada a um recurso usando o portal do Azure
Neste artigo, você aprenderá a criar, listar, excluir ou atribuir uma função a uma identidade gerenciada atribuída pelo usuário usando a CLI do Azure.
Pré-requisitos
- Se você não estiver familiarizado com identidades gerenciadas para recursos do Azure, confira a seção de visão geral. Certifique-se de revisar a diferença entre uma identidade gerenciada atribuída pelo sistema e atribuída pelo usuário.
- Se você ainda não tiver uma conta do Azure, inscreva-se para obter uma conta gratuita antes de continuar.
Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, consulte Guia de início rápido para Bash no Azure Cloud Shell.
Se preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se estiver a utilizar o Windows ou macOS, considere executar a CLI do Azure num contentor Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.
Se estiver a utilizar uma instalação local, inicie sessão no CLI do Azure ao utilizar o comando az login. Para concluir o processo de autenticação, siga os passos apresentados no seu terminal. Para outras opções de entrada, consulte Entrar com a CLI do Azure.
Quando solicitado, instale a extensão da CLI do Azure na primeira utilização. Para obter mais informações sobre as extensões, veja Utilizar extensões com o CLI do Azure.
Execute o comando az version para localizar a versão e as bibliotecas dependentes instaladas. Para atualizar para a versão mais recente, execute o comando az upgrade.
Importante
Para modificar as permissões de usuário ao usar uma entidade de serviço de aplicativo usando a CLI, você deve fornecer à entidade de serviço mais permissões na API do Azure Ative Directory Graph porque partes da CLI executam solicitações GET na API do Graph. Caso contrário, você pode acabar recebendo uma mensagem "Privilégios insuficientes para concluir a operação". Para fazer essa etapa, vá para o Registro do aplicativo na ID do Microsoft Entra, selecione seu aplicativo, selecione permissões de API e role para baixo e selecione Azure Ative Directory Graph. A partir daí, selecione Permissões de aplicativo e adicione as permissões apropriadas.
Criar uma identidade gerida atribuída pelo utilizador
Para criar uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função de Colaborador de Identidade Gerenciada .
Use o comando az identity create para criar uma identidade gerenciada atribuída pelo usuário. O -g
parâmetro especifica o grupo de recursos onde criar a identidade gerenciada atribuída pelo usuário. O -n
parâmetro especifica seu nome. Substitua os valores e <USER ASSIGNED IDENTITY NAME>
parâmetro <RESOURCE GROUP>
pelos seus próprios valores.
Importante
Quando você cria identidades gerenciadas atribuídas pelo usuário, o nome deve começar com uma letra ou número e pode incluir uma combinação de caracteres alfanuméricos, hífenes (-) e sublinhados (_). Para que a atribuição a uma máquina virtual ou a uma escala de máquina virtual funcione corretamente, o nome é limitado a 24 caracteres. Para obter mais informações, veja FAQs e problemas conhecidos.
az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>
Listar identidades gerenciadas atribuídas pelo usuário
Para listar ou ler uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Operador de Identidade Gerenciada ou Colaborador de Identidade Gerenciada .
Para listar identidades gerenciadas atribuídas pelo usuário, use o comando az identity list . Substitua o <RESOURCE GROUP>
valor pelo seu próprio valor.
az identity list -g <RESOURCE GROUP>
Na resposta JSON, as identidades gerenciadas atribuídas pelo usuário têm o "Microsoft.ManagedIdentity/userAssignedIdentities"
valor retornado para a chave type
.
"type": "Microsoft.ManagedIdentity/userAssignedIdentities"
Excluir uma identidade gerenciada atribuída pelo usuário
Para excluir uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função de Colaborador de Identidade Gerenciada .
Para excluir uma identidade gerenciada atribuída pelo usuário, use o comando az identity delete . O parâmetro -n especifica seu nome. O parâmetro -g especifica o grupo de recursos onde a identidade gerenciada atribuída pelo usuário foi criada. Substitua os valores e <RESOURCE GROUP>
parâmetro <USER ASSIGNED IDENTITY NAME>
pelos seus próprios valores.
az identity delete -n <USER ASSIGNED IDENTITY NAME> -g <RESOURCE GROUP>
Nota
A exclusão de uma identidade gerenciada atribuída pelo usuário não removerá a referência de nenhum recurso ao qual ela foi atribuída. Remova-os de uma VM ou de uma máquina virtual definida usando o az vm/vmss identity remove
comando.
Próximos passos
Para obter uma lista completa dos comandos de identidade da CLI do Azure, consulte az identity.
Para obter informações sobre como atribuir uma identidade gerenciada atribuída pelo usuário a uma VM do Azure, consulte Configurar identidades gerenciadas para recursos do Azure em uma VM do Azure usando a CLI do Azure.
Saiba como usar a federação de identidades de carga de trabalho para identidades gerenciadas para acessar recursos protegidos do Microsoft Entra sem gerenciar segredos.
Neste artigo, você aprenderá a criar, listar, excluir ou atribuir uma função a uma identidade gerenciada atribuída pelo usuário usando o PowerShell.
Pré-requisitos
- Se você não estiver familiarizado com identidades gerenciadas para recursos do Azure, confira a seção de visão geral. Certifique-se de revisar a diferença entre uma identidade gerenciada atribuída pelo sistema e atribuída pelo usuário.
- Se você ainda não tiver uma conta do Azure, inscreva-se para obter uma conta gratuita antes de continuar.
- Para executar os scripts de exemplo, você tem duas opções:
- Use o Azure Cloud Shell, que você pode abrir usando o botão Experimentar no canto superior direito dos blocos de código.
- Execute scripts localmente com o Azure PowerShell, conforme descrito na próxima seção.
Neste artigo, você aprenderá a criar, listar e excluir uma identidade gerenciada atribuída pelo usuário usando o PowerShell.
Configurar o Azure PowerShell localmente
Para usar o Azure PowerShell localmente para este artigo em vez de usar o Cloud Shell:
Instale a versão mais recente do Azure PowerShell , caso ainda não o tenha feito.
Inicie sessão no Azure.
Connect-AzAccount
Instale a versão mais recente do PowerShellGet.
Install-Module -Name PowerShellGet -AllowPrerelease
Talvez seja necessário
Exit
sair da sessão atual do PowerShell depois de executar esse comando para a próxima etapa.Instale a versão de pré-lançamento do
Az.ManagedServiceIdentity
módulo para executar as operações de identidade gerenciada atribuídas pelo usuário neste artigo.Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
Criar uma identidade gerida atribuída pelo utilizador
Para criar uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função de Colaborador de Identidade Gerenciada .
Para criar uma identidade gerenciada atribuída pelo usuário, use o New-AzUserAssignedIdentity
comando. O ResourceGroupName
parâmetro especifica o grupo de recursos onde criar a identidade gerenciada atribuída pelo usuário. O -Name
parâmetro especifica seu nome. Substitua os valores e <USER ASSIGNED IDENTITY NAME>
parâmetro <RESOURCE GROUP>
pelos seus próprios valores.
Importante
Quando você cria identidades gerenciadas atribuídas pelo usuário, o nome deve começar com uma letra ou número e pode incluir uma combinação de caracteres alfanuméricos, hífenes (-) e sublinhados (_). Para que a atribuição a uma máquina virtual ou a uma escala de máquina virtual funcione corretamente, o nome é limitado a 24 caracteres. Para obter mais informações, veja FAQs e problemas conhecidos.
New-AzUserAssignedIdentity -ResourceGroupName <RESOURCEGROUP> -Name <USER ASSIGNED IDENTITY NAME>
Listar identidades gerenciadas atribuídas pelo usuário
Para listar ou ler uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Operador de Identidade Gerenciada ou Colaborador de Identidade Gerenciada .
Para listar identidades gerenciadas atribuídas pelo usuário, use o comando [Get-AzUserAssigned]. O -ResourceGroupName
parâmetro especifica o grupo de recursos onde a identidade gerenciada atribuída pelo usuário foi criada. Substitua o <RESOURCE GROUP>
valor pelo seu próprio valor.
Get-AzUserAssignedIdentity -ResourceGroupName <RESOURCE GROUP>
Na resposta, as identidades gerenciadas atribuídas pelo usuário têm o "Microsoft.ManagedIdentity/userAssignedIdentities"
valor retornado para a chave Type
.
Type :Microsoft.ManagedIdentity/userAssignedIdentities
Excluir uma identidade gerenciada atribuída pelo usuário
Para excluir uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função de Colaborador de Identidade Gerenciada .
Para excluir uma identidade gerenciada atribuída pelo usuário, use o Remove-AzUserAssignedIdentity
comando. O -ResourceGroupName
parâmetro especifica o grupo de recursos onde a identidade atribuída pelo usuário foi criada. O -Name
parâmetro especifica seu nome. Substitua os <RESOURCE GROUP>
valores e os <USER ASSIGNED IDENTITY NAME>
parâmetros pelos seus próprios valores.
Remove-AzUserAssignedIdentity -ResourceGroupName <RESOURCE GROUP> -Name <USER ASSIGNED IDENTITY NAME>
Nota
A exclusão de uma identidade gerenciada atribuída pelo usuário não removerá a referência de nenhum recurso ao qual ela foi atribuída. As atribuições de identidade devem ser removidas separadamente.
Próximos passos
Para obter uma lista completa e mais detalhes das identidades gerenciadas do Azure PowerShell para comandos de recursos do Azure, consulte Az.ManagedServiceIdentity.
Saiba como usar a federação de identidades de carga de trabalho para identidades gerenciadas para acessar recursos protegidos do Microsoft Entra sem gerenciar segredos.
Neste artigo, você cria uma identidade gerenciada atribuída pelo usuário usando o Gerenciador de Recursos do Azure.
Pré-requisitos
- Se você não estiver familiarizado com identidades gerenciadas para recursos do Azure, confira a seção de visão geral. Certifique-se de revisar a diferença entre uma identidade gerenciada atribuída pelo sistema e atribuída pelo usuário.
- Se você ainda não tiver uma conta do Azure, inscreva-se para obter uma conta gratuita antes de continuar.
Não é possível listar e excluir uma identidade gerenciada atribuída pelo usuário usando um modelo do Gerenciador de Recursos. Consulte os seguintes artigos para criar e listar uma identidade gerenciada atribuída pelo usuário:
- Listar identidade gerenciada atribuída pelo usuário
- Excluir identidade gerenciada atribuída ao usuário
Criação e edição de modelos
Os modelos do Resource Manager ajudam a implantar recursos novos ou modificados definidos por um grupo de recursos do Azure. Várias opções estão disponíveis para edição e implantação de modelos, tanto locais quanto baseadas em portal. Pode:
- Use um modelo personalizado do Azure Marketplace para criar um modelo do zero ou baseá-lo em um modelo comum ou de início rápido existente.
- Derive de um grupo de recursos existente exportando um modelo. Você pode exportá-los da implantação original ou do estado atual da implantação.
- Use um editor JSON local (como o VS Code) e, em seguida, carregue e implante usando o PowerShell ou a CLI do Azure.
- Use o projeto Visual Studio Azure Resource Group para criar e implantar um modelo.
Criar uma identidade gerida atribuída pelo utilizador
Para criar uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função de Colaborador de Identidade Gerenciada .
Para criar uma identidade gerenciada atribuída pelo usuário, use o modelo a seguir. Substitua o <USER ASSIGNED IDENTITY NAME>
valor pelos seus próprios valores.
Importante
Quando você cria identidades gerenciadas atribuídas pelo usuário, o nome deve começar com uma letra ou número e pode incluir uma combinação de caracteres alfanuméricos, hífenes (-) e sublinhados (_). Para que a atribuição a uma máquina virtual ou a uma escala de máquina virtual funcione corretamente, o nome é limitado a 24 caracteres. Para obter mais informações, veja FAQs e problemas conhecidos.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"resourceName": {
"type": "string",
"metadata": {
"description": "<USER ASSIGNED IDENTITY NAME>"
}
}
},
"resources": [
{
"type": "Microsoft.ManagedIdentity/userAssignedIdentities",
"name": "[parameters('resourceName')]",
"apiVersion": "2018-11-30",
"location": "[resourceGroup().location]"
}
],
"outputs": {
"identityName": {
"type": "string",
"value": "[parameters('resourceName')]"
}
}
}
Próximos passos
Para atribuir uma identidade gerenciada atribuída pelo usuário a uma VM do Azure usando um modelo do Gerenciador de Recursos, consulte Configurar identidades gerenciadas para recursos do Azure em uma VM do Azure usando um modelo.
Saiba como usar a federação de identidades de carga de trabalho para identidades gerenciadas para acessar recursos protegidos do Microsoft Entra sem gerenciar segredos.
Neste artigo, você aprenderá a criar, listar e excluir uma identidade gerenciada atribuída pelo usuário usando REST.
Pré-requisitos
- Se você não estiver familiarizado com identidades gerenciadas para recursos do Azure, confira a seção de visão geral. Certifique-se de revisar a diferença entre uma identidade gerenciada atribuída pelo sistema e atribuída pelo usuário.
- Se você ainda não tiver uma conta do Azure, inscreva-se para obter uma conta gratuita antes de continuar.
- Você pode executar todos os comandos neste artigo na nuvem ou localmente:
- Para executar na nuvem, use o Azure Cloud Shell.
- Para executar localmente, instale o curl e a CLI do Azure.
Neste artigo, você aprenderá a criar, listar e excluir uma identidade gerenciada atribuída pelo usuário usando CURL para fazer chamadas de API REST.
Obter um token de acesso ao portador
Se estiver a executar localmente, inicie sessão no Azure através da CLI do Azure.
az login
Obtenha um token de acesso usando az account get-access-token.
az account get-access-token
Criar uma identidade gerida atribuída pelo utilizador
Para criar uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função de Colaborador de Identidade Gerenciada .
Importante
Quando você cria identidades gerenciadas atribuídas pelo usuário, o nome deve começar com uma letra ou número e pode incluir uma combinação de caracteres alfanuméricos, hífenes (-) e sublinhados (_). Para que a atribuição a uma máquina virtual ou a uma escala de máquina virtual funcione corretamente, o nome é limitado a 24 caracteres. Para obter mais informações, veja FAQs e problemas conhecidos.
curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview' -X PUT -d '{"loc
ation": "<LOCATION>"}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"
PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview HTTP/1.1
Cabeçalhos de solicitação
Cabeçalho do pedido | Description |
---|---|
Tipo de conteúdo | Obrigatório. Definido como application/json . |
Autorização | Obrigatório. Defina como um token de acesso válido Bearer . |
Corpo do pedido
Nome | Descrição |
---|---|
Localização | Obrigatório. Localização do recurso. |
Listar identidades gerenciadas atribuídas pelo usuário
Para listar ou ler uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Operador de Identidade Gerenciada ou Colaborador de Identidade Gerenciada .
curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities?api-version=2015-08-31-preview' -H "Authorization: Bearer <ACCESS TOKEN>"
GET https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities?api-version=2015-08-31-preview HTTP/1.1
Cabeçalho do pedido | Description |
---|---|
Tipo de conteúdo | Obrigatório. Definido como application/json . |
Autorização | Obrigatório. Defina como um token de acesso válido Bearer . |
Excluir uma identidade gerenciada atribuída pelo usuário
Para excluir uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função de Colaborador de Identidade Gerenciada .
Nota
A exclusão de uma identidade gerenciada atribuída pelo usuário não removerá a referência de nenhum recurso ao qual ela foi atribuída. Para remover uma identidade gerenciada atribuída pelo usuário de uma VM usando CURL, consulte Remover uma identidade atribuída pelo usuário de uma VM do Azure.
curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview' -X DELETE -H "Authorization: Bearer <ACCESS TOKEN>"
DELETE https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/TestRG/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview HTTP/1.1
Cabeçalho do pedido | Description |
---|---|
Tipo de conteúdo | Obrigatório. Definido como application/json . |
Autorização | Obrigatório. Defina como um token de acesso válido Bearer . |
Próximos passos
Para obter informações sobre como atribuir uma identidade gerenciada atribuída pelo usuário a uma VM do Azure ou a uma escala de máquina virtual definida usando CURL, consulte:
- Configurar identidades gerenciadas para recursos do Azure em uma VM do Azure usando chamadas de API REST
- Configurar identidades gerenciadas para recursos do Azure em um conjunto de dimensionamento de máquina virtual usando chamadas de API REST
Saiba como usar a federação de identidades de carga de trabalho para identidades gerenciadas para acessar recursos protegidos do Microsoft Entra sem gerenciar segredos.