Atribuir um acesso de identidade gerenciado a um recurso do Azure ou outro recurso

Identidades gerenciadas para recursos do Azure é um recurso do Microsoft Entra ID. Cada um dos serviços do Azure que suportam as identidades geridas para os recursos do Azure estão sujeitos à sua própria linha de tempo. Certifique-se de que revê o estado de disponibilidade das identidades geridas para o seu recurso e problemas conhecidos antes de começar.

Este artigo mostra como conceder a uma máquina virtual (VM) do Azure acesso de identidade gerenciada a uma conta de armazenamento do Azure. Depois de configurar um recurso do Azure com uma identidade gerenciada, você pode conceder à identidade gerenciada acesso a outro recurso, semelhante a qualquer entidade de segurança.

Pré-requisitos

Usar o RBAC do Azure para atribuir um acesso de identidade gerenciada a outro recurso usando o portal do Azure

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Importante

As etapas descritas abaixo mostram como você concede acesso a um serviço usando o RBAC do Azure. Verifique a documentação específica do serviço sobre como conceder acesso; por exemplo, verifique o Azure Data Explorer para obter instruções. Alguns serviços do Azure estão no processo de adoção do Azure RBAC no plano de dados.

  1. Entre no portal do Azure usando uma conta associada à assinatura do Azure para a qual você configurou a identidade gerenciada.

  2. Navegue até o recurso desejado que você deseja modificar o controle de acesso. Neste exemplo, você dará a uma máquina virtual (VM) do Azure acesso a uma conta de armazenamento e, em seguida, poderá navegar até a conta de armazenamento.

  3. Selecione Controlo de acesso (IAM) .

  4. Selecione Adicionar>atribuição de função para abrir a página Adicionar atribuição de função.

  5. Selecione a função e a identidade gerenciada. Para obter os passos detalhados, veja o artigo Atribuir funções do Azure com o portal do Azure.

    Captura de tela que mostra a página para adicionar uma atribuição de função.

Usar o RBAC do Azure para atribuir um acesso de identidade gerenciada a outro recurso usando a CLI

  • Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, consulte Guia de início rápido para Bash no Azure Cloud Shell.

  • Se preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se estiver a utilizar o Windows ou macOS, considere executar a CLI do Azure num contentor Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.

    • Se estiver a utilizar uma instalação local, inicie sessão no CLI do Azure ao utilizar o comando az login. Para concluir o processo de autenticação, siga os passos apresentados no seu terminal. Para outras opções de entrada, consulte Entrar com a CLI do Azure.

    • Quando solicitado, instale a extensão da CLI do Azure na primeira utilização. Para obter mais informações sobre as extensões, veja Utilizar extensões com o CLI do Azure.

    • Execute o comando az version para localizar a versão e as bibliotecas dependentes instaladas. Para atualizar para a versão mais recente, execute o comando az upgrade.

  1. Neste exemplo, você concede a uma máquina virtual (VM) do Azure acesso gerenciado a uma conta de armazenamento. Primeiro, use az resource list para obter a entidade de serviço para uma VM chamada myVM:

    spID=$(az resource list -n myVM --query [*].identity.principalId --out tsv)
    

    Para um conjunto de escala de Máquina Virtual (VM) do Azure, o comando é o mesmo, exceto aqui você obtém a entidade de serviço para o conjunto de VMs chamado "DevTestVMSS":

    spID=$(az resource list -n DevTestVMSS --query [*].identity.principalId --out tsv)
    
  2. Depois de ter o ID da entidade de serviço, use az role assignment create para dar à máquina virtual ou ao conjunto de escala da máquina virtual acesso ao Reader a uma conta de armazenamento chamada "myStorageAcct":

    az role assignment create --assignee $spID --role 'Reader' --scope /subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/myStorageAcct
    

Usar o RBAC do Azure para atribuir um acesso de identidade gerenciada a outro recurso usando o PowerShell

Nota

Recomendamos que utilize o módulo do Azure Az PowerShell para interagir com o Azure. Veja Instalar o Azure PowerShell para começar. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.

Para executar os scripts neste exemplo, você tem duas opções:

  • Use o Azure Cloud Shell, que você pode abrir usando o botão Experimentar no canto superior direito dos blocos de código.
  • Execute scripts localmente instalando a versão mais recente do Azure PowerShell e, em seguida, entre no Azure usando Connect-AzAccounto .
  1. Habilite a identidade gerenciada em um recurso do Azure, como uma VM do Azure.

  2. Dê à máquina virtual (VM) do Azure acesso a uma conta de armazenamento.

    1. Use Get-AzVM para obter a entidade de serviço para a VM chamada myVM, que foi criada quando você habilitou a identidade gerenciada.
    2. Use New-AzRoleAssignment para dar ao VM Reader acesso a uma conta de armazenamento chamada myStorageAcct:
    $spID = (Get-AzVM -ResourceGroupName myRG -Name myVM).identity.principalid
    New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Reader" -Scope "/subscriptions/<mySubscriptionID>/resourceGroups/<myResourceGroup>/providers/Microsoft.Storage/storageAccounts/<myStorageAcct>"
    

Próximos passos