Compartilhar via


Gerenciar identidades gerenciadas e atribuídas pelo usuário

As identidades gerenciadas para recursos do Azure eliminam a necessidade de gerenciar credenciais no código. Você pode usá-las para obter um token do Microsoft Entra para seus aplicativos. Os aplicativos podem usar o token ao acessar recursos que dão suporte à autenticação do Microsoft Entra. O Azure gerencia a identidade para que você não tenha que fazê-lo.

Há dois tipos de identidades gerenciadas: atribuída pelo sistema e atribuída pelo usuário. As identidades gerenciadas atribuídas pelo sistema têm seu ciclo de vida associado ao recurso que as criou. Essa identidade é restrita a apenas um recurso, e você pode conceder permissões à identidade gerenciada usando o RBAC (controle de acesso baseado em função) do Azure. As identidades gerenciadas atribuídas pelo usuário podem ser usadas em vários recursos. Para saber mais sobre identidades gerenciadas, confira O que são identidades gerenciadas para recursos do Azure?.

Neste artigo, você aprenderá a criar, listar, excluir ou atribuir uma função a uma identidade gerenciada atribuída pelo usuário usando o portal do Azure.

Pré-requisitos

Criar uma identidade gerenciada atribuída ao usuário

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Para criar uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Administrador de identidade gerenciada.

  1. Entre no portal do Azure.

  2. Na caixa de busca, insira Identidades gerenciadas. Em Serviços, selecione Identidades gerenciadas.

  3. Clique em Adicionar e insira valores nos seguintes campos no painel Criar identidade gerenciada atribuída pelo usuário:

    • Assinatura: escolha a assinatura para criar a identidade gerenciada atribuída ao usuário.
    • Grupo de recursos: escolha um grupo de recursos para criar a identidade gerenciada atribuída pelo usuário ou clique em Criar para criar um grupo de recursos.
    • Região: escolha uma região para implantar a identidade gerenciada atribuída pelo usuário, por exemplo Oeste dos EUA.
    • Nome: Esse é o nome da identidade gerenciada atribuída pelo usuário, por exemplo, UAI1.

    Importante

    Ao criar identidades gerenciadas atribuídas pelo usuário, o nome deve começar com uma letra ou número e pode incluir uma combinação de caracteres alfanuméricos, hifens (-) e sublinhados (_). Para que a atribuição a uma máquina virtual ou um conjunto de dimensionamento de máquinas virtuais funcione corretamente, o nome é limitado a 24 caracteres. Para mais informações, consulte Perguntas frequentes e problemas conhecidos

    Captura de tela que mostra o painel Criar Identidade Gerenciada Atribuída pelo Usuário.

  4. Clique em Examinar + criar para examinar as alterações.

  5. Selecione Criar.

Listar identidades gerenciadas atribuídas ao usuário

Para listar ou ler uma identidade gerenciada atribuída pelo usuário, a conta precisa ter a atribuição de função Operador de Identidade Gerenciada ou Colaborador de Identidade Gerenciada.

  1. Entre no portal do Azure.

  2. Na caixa de busca, insira Identidades gerenciadas. Em Serviços, selecione Identidades gerenciadas.

  3. Uma lista de identidades gerenciadas atribuídas ao usuário para a sua assinatura é retornada. Para ver os detalhes de uma identidade gerenciada atribuída pelo usuário, clique no nome.

  4. Agora você pode exibir os detalhes sobre a identidade gerenciada, conforme mostrado na imagem abaixo.

    Captura de tela que mostra o painel Criar Identidade Gerenciada Atribuída pelo Usuário.

Excluir uma identidade gerenciada atribuída ao usuário

Para excluir uma identidade gerenciada atribuída ao usuário, a conta precisa da atribuição de função Colaborador de Identidade Gerenciada.

A exclusão de uma identidade atribuída pelo usuário não a remove da VM (máquina virtual) ou recurso ao qual ela foi atribuída. Para remover uma identidade atribuída pelo usuário de uma VM, confira Remover uma identidade gerenciada atribuída pelo usuário de uma VM.

  1. Entre no portal do Azure.

  2. Selecione a identidade gerenciada atribuída pelo usuário e clique em Excluir.

  3. Na caixa de confirmação, selecione Sim.

    Captura de tela que mostra o painel Criar Identidade Gerenciada Atribuída pelo Usuário.

Gerenciar o acesso a identidades gerenciadas e atribuídas pelo usuário

Em alguns ambientes, os administradores optam por limitar quem pode gerenciar identidades gerenciadas atribuídas pelo usuário. Os administradores podem implementar essa limitação usando funções RBAC internas . É possível usar essas funções para conceder a um usuário ou grupo em seus direitos de organização uma identidade gerenciada atribuída pelo usuário.

  1. Entre no portal do Azure.

  2. Na caixa de busca, insira Identidades gerenciadas. Em Serviços, selecione Identidades gerenciadas.

  3. Uma lista de identidades gerenciadas atribuídas ao usuário para a sua assinatura é retornada. Selecione a identidade gerenciada atribuída pelo usuário à qual você deseja gerenciar.

  4. Selecione IAM (Controle de acesso) .

  5. Escolha Adicionar atribuição de função.

    Captura de tela que mostra a tela do controle de acesso por identidade gerenciada atribuída pelo usuário.

  6. No painel Adicionar atribuição de função, escolha a função a ser atribuída e selecione Avançar.

  7. Escolha quem deve ter a função atribuída.

Observação

É possível encontrar informações sobre a atribuição de funções a identidades gerenciadas em Atribuir um acesso de identidade gerenciada a um recurso usando o portal do Azure

Neste artigo, você aprenderá a criar, listar, excluir ou atribuir uma função a uma identidade gerenciada atribuída pelo usuário usando a CLI do Azure.

Pré-requisitos

Importante

Para modificar as permissões de usuário ao usar uma entidade de serviço de aplicativo usando a CLI, você deve fornecer as permissões adicionais da entidade de serviço na API do Graph do Azure AD porque partes da CLI executam solicitações GET em relação à API do Graph. Caso contrário, você pode acabar recebendo uma mensagem que diz “Privilégios insuficientes para concluir a operação”. Para fazer isso, você precisará entrar no Registro do aplicativo no Microsoft Entra ID, selecione o aplicativo, depois Permissões de API e role a página para selecionar Grafo do Azure Active Directory. A partir daí, selecione Permissões do aplicativo, e adicione as permissões apropriadas.

Criar uma identidade gerenciada atribuída ao usuário

Para criar uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Administrador de identidade gerenciada.

Use o comando az identity create para criar uma identidade gerenciada atribuída ao usuário. O parâmetro -g especifica o grupo de recursos em que a identidade gerenciada atribuída pelo usuário foi criada. O parâmetro -n especifica o nome. Substitua os valores de parâmetro <RESOURCE GROUP> e <USER ASSIGNED IDENTITY NAME> pelos seus próprios valores.

Importante

Ao criar identidades gerenciadas atribuídas pelo usuário, o nome deve começar com uma letra ou número e pode incluir uma combinação de caracteres alfanuméricos, hifens (-) e sublinhados (_). Para que a atribuição a uma máquina virtual ou um conjunto de dimensionamento de máquinas virtuais funcione corretamente, o nome é limitado a 24 caracteres. Para mais informações, consulte Perguntas frequentes e problemas conhecidos

az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>

Listar identidades gerenciadas atribuídas ao usuário

Para listar ou ler uma identidade gerenciada atribuída pelo usuário, a conta precisa da atribuição de função Operador de Identidade Gerenciada ou Colaborador de Identidade Gerenciada.

Para listar as identidades gerenciadas atribuídas ao usuário, use o comando az identity list. Substitua o valor <RESOURCE GROUP> por seus próprios valores.

az identity list -g <RESOURCE GROUP>

Na resposta JSON, as identidades gerenciadas atribuídas pelo usuário têm valor "Microsoft.ManagedIdentity/userAssignedIdentities" retornado para a chave type.

"type": "Microsoft.ManagedIdentity/userAssignedIdentities"

Excluir uma identidade gerenciada atribuída ao usuário

Para excluir uma identidade gerenciada atribuída ao usuário, a conta precisa da atribuição de função Colaborador de Identidade Gerenciada.

Para excluir uma identidade gerenciada atribuída ao usuário, use o comando az identity delete. O parâmetro -n especifica o nome. O parâmetro -g especifica o grupo de recursos em que a identidade gerenciada atribuída pelo usuário foi criada. Substitua os valores de parâmetro <USER ASSIGNED IDENTITY NAME> e <RESOURCE GROUP> pelos seus próprios valores.

az identity delete -n <USER ASSIGNED IDENTITY NAME> -g <RESOURCE GROUP>

Observação

A exclusão de uma identidade gerenciada atribuída ao usuário não removerá a referência de nenhum recurso ao qual foi atribuída. Remova-os de uma VM ou conjunto de dimensionamento de máquinas virtuais usando o comando az vm/vmss identity remove.

Próximas etapas

Para obter uma lista completa de comandos de identidade da CLI do Azure, consulte az identity.

Para obter informações sobre como atribuir uma identidade gerenciada atribuída pelo usuário a uma VM do Azure, confira Configurar identidades gerenciadas para recursos do Azure em uma VM do Azure usando CLI do Azure.

Saiba como usar a federação de identidade de carga de trabalho para identidades gerenciadas para acessar recursos protegidos do Microsoft Entra sem gerenciar segredos.

Neste artigo, você aprenderá a criar, listar, excluir ou atribuir uma função a uma identidade gerenciada atribuída pelo usuário usando o PowerShell.

Pré-requisitos

Neste artigo, você aprenderá a criar, listar e excluir uma identidade gerenciada atribuída pelo usuário usando o PowerShell.

Configurar o Azure PowerShell localmente

Para usar o Azure PowerShell localmente para este artigo em vez de usar Cloud Shell:

  1. Instale a versão mais recente do Azure PowerShell se ainda não o fez.

  2. Entre no Azure.

    Connect-AzAccount
    
  3. Instale a versão mais recente do PowerShellGet.

    Install-Module -Name PowerShellGet -AllowPrerelease
    

    Talvez seja necessário Exit da sessão atual do PowerShell depois de executar esse comando para a próxima etapa.

  4. Instale a versão de pré-lançamento do módulo Az.ManagedServiceIdentity para executar as operações de identidade gerenciada atribuídas pelo usuário neste artigo.

    Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
    

Criar uma identidade gerenciada atribuída ao usuário

Para criar uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Administrador de identidade gerenciada.

Para criar uma identidade gerenciada atribuída pelo usuário, use o comando New-AzUserAssignedIdentity. O parâmetro ResourceGroupName especifica o grupo de recursos em que a identidade gerenciada atribuída pelo usuário foi criada. O parâmetro -Name especifica o nome. Substitua os valores de parâmetro <RESOURCE GROUP> e <USER ASSIGNED IDENTITY NAME> pelos seus próprios valores.

Importante

Ao criar identidades gerenciadas atribuídas pelo usuário, o nome deve começar com uma letra ou número e pode incluir uma combinação de caracteres alfanuméricos, hifens (-) e sublinhados (_). Para que a atribuição a uma máquina virtual ou um conjunto de dimensionamento de máquinas virtuais funcione corretamente, o nome é limitado a 24 caracteres. Para mais informações, consulte Perguntas frequentes e problemas conhecidos

New-AzUserAssignedIdentity -ResourceGroupName <RESOURCEGROUP> -Name <USER ASSIGNED IDENTITY NAME>

Listar identidades gerenciadas atribuídas ao usuário

Para listar ou ler uma identidade gerenciada atribuída pelo usuário, a conta precisa da atribuição de função Operador de Identidade Gerenciada ou Colaborador de Identidade Gerenciada.

Para listar as identidades gerenciadas atribuídas pelo usuário, use o comando [Get-AzUserAssigned]. O parâmetro -ResourceGroupName especifica o grupo de recursos em que a identidade gerenciada atribuída ao usuário foi criada. Substitua o valor <RESOURCE GROUP> por seus próprios valores.

Get-AzUserAssignedIdentity -ResourceGroupName <RESOURCE GROUP>

Na resposta, as identidades gerenciadas atribuídas pelo usuário têm valor "Microsoft.ManagedIdentity/userAssignedIdentities" retornado para a chave Type.

Type :Microsoft.ManagedIdentity/userAssignedIdentities

Excluir uma identidade gerenciada atribuída ao usuário

Para excluir uma identidade gerenciada atribuída ao usuário, a conta precisa da atribuição de função Colaborador de Identidade Gerenciada.

Para excluir uma identidade gerenciada atribuída pelo usuário, use o comando Remove-AzUserAssignedIdentity. O parâmetro -ResourceGroupName especifica o grupo de recursos onde a identidade atribuída pelo usuário foi criada. O parâmetro -Name especifica o nome. Substitua os valores de parâmetros <RESOURCE GROUP> e <USER ASSIGNED IDENTITY NAME> pelos seus próprios valores.

Remove-AzUserAssignedIdentity -ResourceGroupName <RESOURCE GROUP> -Name <USER ASSIGNED IDENTITY NAME>

Observação

A exclusão de uma identidade gerenciada atribuída ao usuário não removerá a referência de nenhum recurso ao qual foi atribuída. Atribuições de identidade devem ser removidas separadamente.

Próximas etapas

Para obter uma lista completa e mais detalhes sobre as identidades gerenciadas do Azure PowerShell para os comandos de recursos do Azure, confira Az.ManagedServiceIdentity.

Saiba como usar a federação de identidade de carga de trabalho para identidades gerenciadas para acessar recursos protegidos do Microsoft Entra sem gerenciar segredos.

Neste artigo, você cria uma identidade gerenciada atribuída pelo usuário usando um ARM (Azure Resource Manager).

Pré-requisitos

Você não pode listar e excluir uma identidade gerenciada atribuída pelo usuário usando um modelo do ARM. Consulte os artigos a seguir para criar e listar uma identidade gerenciada atribuída ao usuário:

Criação e edição de modelo

Os modelos do Resource Manager ajudam você a implantar recursos novos ou modificados definidos por um grupo de recursos do Azure. Há várias opções disponíveis para a edição e a implantação do modelo, tanto locais quanto baseadas em portal. Você pode:

Criar uma identidade gerenciada atribuída ao usuário

Para criar uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Administrador de identidade gerenciada.

Para criar uma identidade gerenciada atribuída ao usuário, use o modelo a seguir. Substitua o valor <USER ASSIGNED IDENTITY NAME> por seus próprios valores.

Importante

Ao criar identidades gerenciadas atribuídas pelo usuário, o nome deve começar com uma letra ou número e pode incluir uma combinação de caracteres alfanuméricos, hifens (-) e sublinhados (_). Para que a atribuição a uma máquina virtual ou um conjunto de dimensionamento de máquinas virtuais funcione corretamente, o nome é limitado a 24 caracteres. Para mais informações, consulte Perguntas frequentes e problemas conhecidos

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "resourceName": {
          "type": "string",
          "metadata": {
            "description": "<USER ASSIGNED IDENTITY NAME>"
          }
        }
  },
  "resources": [
    {
      "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
      "name": "[parameters('resourceName')]",
      "apiVersion": "2018-11-30",
      "location": "[resourceGroup().location]"
    }
  ],
  "outputs": {
      "identityName": {
          "type": "string",
          "value": "[parameters('resourceName')]"
      }
  }
}

Próximas etapas

Para atribuir uma identidade gerenciada atribuída pelo usuário a uma VM do Azure usando um modelo do Resource Manager, confira Configurar identidades gerenciadas para recursos do Azure em uma VM do Azure usando um modelo.

Saiba como usar a federação de identidade de carga de trabalho para identidades gerenciadas para acessar recursos protegidos do Microsoft Entra sem gerenciar segredos.

Neste artigo, você aprenderá a criar, listar e excluir uma identidade gerenciada atribuída pelo usuário usando o REST.

Pré-requisitos

Neste artigo, você aprenderá como criar, listar e excluir uma identidade gerenciada atribuída pelo usuário usando CURL para fazer chamadas à API REST.

Obter um token de acesso de portador

  1. Se estiver em execução localmente, entre no Azure pela CLI do Azure.

    az login
    
  2. Obter um token de acesso usando az account get-access-token.

    az account get-access-token
    

Criar uma identidade gerenciada atribuída ao usuário

Para criar uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Administrador de identidade gerenciada.

Importante

Ao criar identidades gerenciadas atribuídas pelo usuário, o nome deve começar com uma letra ou número e pode incluir uma combinação de caracteres alfanuméricos, hifens (-) e sublinhados (_). Para que a atribuição a uma máquina virtual ou um conjunto de dimensionamento de máquinas virtuais funcione corretamente, o nome é limitado a 24 caracteres. Para mais informações, consulte Perguntas frequentes e problemas conhecidos

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview' -X PUT -d '{"loc
ation": "<LOCATION>"}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"
PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview HTTP/1.1

Cabeçalhos de solicitação

Cabeçalho da solicitação Descrição
Content-Type Obrigatórios. Defina como application/json.
Autorização Obrigatórios. Defina como um Bearer token de acesso válido.

Corpo da solicitação

Nome Descrição
Location Obrigatórios. Local do recurso.

Listar identidades gerenciadas atribuídas ao usuário

Para listar ou ler uma identidade gerenciada atribuída pelo usuário, a conta precisa da atribuição de função Operador de Identidade Gerenciada ou Colaborador de Identidade Gerenciada.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities?api-version=2015-08-31-preview' -H "Authorization: Bearer <ACCESS TOKEN>"
GET https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities?api-version=2015-08-31-preview HTTP/1.1
Cabeçalho da solicitação Descrição
Content-Type Obrigatórios. Defina como application/json.
Autorização Obrigatórios. Defina como um Bearer token de acesso válido.

Excluir uma identidade gerenciada atribuída ao usuário

Para excluir uma identidade gerenciada atribuída ao usuário, a conta precisa da atribuição de função Colaborador de Identidade Gerenciada.

Observação

A exclusão de uma identidade gerenciada atribuída ao usuário não removerá a referência de nenhum recurso ao qual foi atribuída. Para remover uma identidade gerenciada atribuída pelo usuário de uma VM usando CURL, confira Remover uma identidade atribuída pelo usuário de uma VM do Azure.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview' -X DELETE -H "Authorization: Bearer <ACCESS TOKEN>"
DELETE https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/TestRG/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview HTTP/1.1
Cabeçalho da solicitação Descrição
Content-Type Obrigatórios. Defina como application/json.
Autorização Obrigatórios. Defina como um Bearer token de acesso válido.

Próximas etapas

Para obter informações sobre como atribuir uma identidade gerenciada atribuída pelo usuário a uma VM do Azure ou conjunto de dimensionamento de máquinas virtuais usando CURL, confira:

Saiba como usar a federação de identidade de carga de trabalho para identidades gerenciadas para acessar recursos protegidos do Microsoft Entra sem gerenciar segredos.