Compartilhar via


Como usar identidades gerenciadas para a Configuração de Aplicativos do Azure

Este artigo mostra como criar uma identidade gerenciada para a Configuração de Aplicativos do Azure. Uma identidade gerenciada do Microsoft Entra ID permite que a Configuração de Aplicativos do Azure acesse facilmente outros recursos protegidos pelo Microsoft Entra. A identidade é gerenciada pela plataforma do Azure. Não é necessário provisionar nem girar segredos. Para saber mais sobre identidades gerenciadas na ID do Microsoft Entra, consulte Identidades gerenciadas para recursos do Azure.

Seu aplicativo pode receber dois tipos de identidades:

  • Uma identidade atribuída ao sistema é vinculada ao repositório de configurações. Ela será excluída se o repositório de configurações for excluído. Um repositório de configurações só pode ter uma identidade atribuída ao sistema.
  • Uma identidade atribuída ao usuário é um recurso independente do Azure que pode ser atribuído ao repositório de configurações. Um repositório de configurações pode ter várias identidades atribuídas ao usuário.

Adicionando uma identidade designada pelo sistema

Criar um repositório da Configuração de Aplicativos com uma identidade atribuída ao sistema requer uma propriedade adicional a ser definida no repositório.

Usando a CLI do Azure

Para configurar uma identidade gerenciada usando a CLI do Azure, use o comando [az appconfig identity assign] para um repositório de configurações existente. Você tem três opções para executar os exemplos nesta seção:

As etapas a seguir descrevem a criação de um repositório da Configuração de Aplicativos e a atribuição de uma identidade usando a CLI:

  1. Se você estiver usando a CLI do Azure em um console local, primeiro entre no Azure usando o [az login]. Use a conta associada à assinatura do Azure:

    az login
    
  2. Crie um repositório da Configuração de Aplicativos usando a CLI. Para obter mais exemplos de como usar a CLI com a Configuração de Aplicativos do Azure, confira Exemplos de CLI da Configuração de Aplicativos:

    az group create --name myResourceGroup --location eastus
    az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free
    
  3. Execute o comando [az appconfig identity assign] para criar a identidade atribuída ao sistema para este repositório de configurações:

    az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup
    

Adicionar uma identidade atribuída ao usuário

Criar um aplicativo com uma identidade atribuída ao usuário exige que você crie a identidade e, em seguida, adicione o identificador de recursos ao repositório.

Observação

Você pode adicionar até 10 identidades gerenciadas atribuídas pelo usuário a um repositório de Configuração de Aplicativos.

Usando a CLI do Azure

Para configurar uma identidade gerenciada usando a CLI do Azure, use o comando [az appconfig identity assign] para um repositório de configurações existente. Você tem três opções para executar os exemplos nesta seção:

As etapas a seguir descrevem a criação de uma identidade atribuída ao usuário e um repositório da Configuração de Aplicativos e, em seguida, a atribuição de identidade ao repositório usando a CLI:

  1. Se você estiver usando a CLI do Azure em um console local, primeiro entre no Azure usando o [az login]. Use a conta associada à assinatura do Azure:

    az login
    
  2. Crie um repositório da Configuração de Aplicativos usando a CLI. Para obter mais exemplos de como usar a CLI com a Configuração de Aplicativos do Azure, confira Exemplos de CLI da Configuração de Aplicativos:

    az group create --name myResourceGroup --location eastus
    az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free
    
  3. Crie uma identidade atribuída ao usuário chamada myUserAssignedIdentity usando a CLI.

    az identity create --resource-group myResourceGroup --name myUserAssignedIdentity
    

    Na saída desse comando, observe o valor da propriedade id.

  4. Execute o comando [az appconfig identity assign] para atribuir a nova identidade do usuário a este repositório de configurações. Use o valor da propriedade id que você anotou na etapa anterior.

    az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup --identities /subscriptions/[subscription id]/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUserAssignedIdentity
    

Removendo uma identidade

Uma identidade atribuída ao sistema pode ser removida desabilitando o recurso com o comando az appconfig identity remove na CLI do Azure. As identidades atribuídas pelo usuário podem ser removidas individualmente. Remover uma identidade atribuída pelo sistema dessa maneira também a excluirá do Microsoft Entra ID. As identidades atribuídas pelo sistema também são automaticamente removidas do Microsoft Entra ID quando o recurso do aplicativo é excluído.

Próximas etapas