Visão geral da autenticação de conta da Automação do Azure
Importante
As contas Executar como da Automação do Azure, incluindo contas Executar como Clássicas, foram desativadas em 30 de setembro de 2023 e substituídas por Identidades Gerenciadas. Não será mais possível criar ou renovar contas Executar como por meio do portal do Azure. Para obter mais informações, veja migrar de uma conta Executar como existente para identidade gerenciada.
A Automação do Azure permite automatizar tarefas em relação a recursos no Azure, locais e com outros provedores de nuvem, como AWS (Amazon Web Services). Você pode usar runbooks para automatizar suas tarefas ou um Hybrid Runbook Worker se você tiver processos comerciais ou operacionais para gerenciar fora do Azure. Trabalhar em qualquer um desses ambientes exige permissões com direitos mínimos necessários para acessar com segurança os recursos.
Este artigo aborda os vários cenários de autenticação compatíveis com a Automação do Azure e mostra como iniciar com base nos ambientes que você precisa gerenciar.
Conta de automação
Ao iniciar a Automação do Azure pela primeira vez, você deve criar pelo menos uma conta de Automação. As contas de Automação permitem que você isole seus recursos de Automação (runbooks, ativos e configurações) dos recursos contidos em outras contas. Você pode usar contas de Automação para separar os recursos em ambientes lógicos separados ou responsabilidades delegadas. Por exemplo, você pode usar uma conta para desenvolvimento, outra para produção e outra para seu ambiente local. Ou você pode dedicar uma conta de Automação para gerenciar atualizações do sistema operacional em todas as suas máquinas com Gerenciamento de Atualizações.
Uma conta de Automação do Azure é diferente de sua conta da Microsoft ou de contas criadas em sua assinatura do Azure. Para obter uma introdução à criação de uma conta de Automação, veja Criar uma conta de automação.
Recursos de automação
Os recursos de Automação para cada conta de Automação estão associados a uma única região do Azure, mas a conta pode gerenciar todos os recursos em sua assinatura do Azure. O principal motivo para criar contas de Automação em regiões diferentes seria se você tivesse políticas que exijam que dados e recursos sejam isolados em uma região específica.
Todas as tarefas que você cria em relação a recursos usando o Azure Resource Manager e os cmdlets do PowerShell na Automação do Azure devem ser autenticadas no Azure usando a autenticação baseada em credenciais de identidade organizacional do Microsoft Entra.
Identidades gerenciadas
Uma identidade gerenciada do Microsoft Entra ID permite que seu runbook acesse facilmente outros recursos protegidos pelo Microsoft Entra. A identidade é gerenciada pela plataforma do Azure e não exige provisionamento nem alternância de segredo. Para obter mais informações sobre identidades gerenciadas na ID do Microsoft Entra, consulte Identidades gerenciadas para recursos do Azure.
Identidades gerenciadas são a maneira recomendada de autenticar em seus runbooks e é o método de autenticação padrão na sua conta de automação.
Aqui estão alguns dos benefícios de usar identidades gerenciadas:
Usar uma identidade gerenciada em vez da conta Executar como da Automação simplifica o gerenciamento.
Identidades gerenciadas podem ser usadas sem nenhum custo adicional.
Você não precisa especificar o objeto Executar como conexão em seu código de runbook. Você pode acessar recursos usando a identidade gerenciada da sua conta de Automação de um runbook sem criar certificados, conexões etc.
Uma conta de automação pode autenticar usando dois tipos de identidades gerenciadas:
Uma identidade atribuída pelo sistema é vinculada ao seu aplicativo e é excluída se o seu aplicativo for excluído. Um aplicativo só pode ter uma identidade atribuída pelo sistema.
Uma identidade atribuída pelo usuário é um recurso independente do Azure que pode ser atribuído ao seu aplicativo. Um aplicativo pode ter várias identidades atribuídas pelo usuário.
Observação
Só há suporte para identidades atribuídas pelo usuário em trabalhos de nuvem. Para saber mais sobre as diferentes identidades gerenciadas, confira Gerenciar tipos de identidade.
Para obter detalhes sobre como usar identidades gerenciadas, confira Habilitar identidade gerenciada para a Automação do Azure.
Permissões de assinatura
Você precisa da permissão Microsoft.Authorization/*/Write. Essa permissão é obtida por meio da associação de uma das seguintes funções do Azure:
Para saber mais sobre as permissões de assinatura clássicas, confira Administradores de assinatura do Azure Clássico.
Permissões do Microsoft Entra
Para renovar a entidade de serviço, você precisa ser membro de uma das seguintes funções internas do Microsoft Entra:
A associação pode ser atribuída a TODOS os usuários no locatário no nível do diretório, que é o comportamento padrão. Você pode conceder associação a qualquer função no nível do diretório. Para obter mais informações, confira Quem tem permissão para adicionar aplicativos à minha instância do Microsoft Entra?.
Permissões de conta de Automação
Para atualizar a conta da Automação, você precisa ser membro de uma das seguintes funções de conta da Automação:
Para saber mais sobre o Azure Resource Manager e modelos de implatação clássica, consulte Azure Resource Manager vs. implantação clássica.
Observação
As assinaturas do CSP (Provedor de Soluções de Nuvem) do Azure são compatíveis apenas com o modelo do Azure Resource Manager. Serviços que não pertencem ao Azure Resource Manager não estão disponíveis no programa. Quando você estiver usando uma assinatura do CSP, a conta Executar como Clássica do Azure não será criada, mas a conta Executar como do Azure será criada. Para saber mais sobre assinaturas de CSP, consulte Serviços disponíveis em assinaturas do CSP.
Controle de acesso baseado em função
O controle de acesso baseado em função está disponível com o Azure Resource Manager para conceder ações permitidas a uma conta de usuário do Microsoft Entra e uma conta Executar como e autenticar a entidade de serviço. Leia o artigo Controle de acesso baseado em função da Automação do Azure para obter mais informações que o ajudarão a desenvolver seu modelo para gerenciar permissões de Automação.
Se você tiver controles de segurança estritos para atribuição de permissão em grupos de recursos, será necessário atribuir a associação da conta Executar para a função Colaborador no grupo de recursos.
Observação
Recomendamos que não seja usada a função de Colaborador do Log Analytics para executar trabalhos de Automação. Em vez disso, crie a função personalizada de Colaborador de Automação do Azure e use-a para as ações relacionadas à Conta de automação.
Autenticação de runbook com Hybrid Runbook Worker
Runbooks em execução em um Hybrid Runbook Worker em seu datacenter ou em relação a serviços de computação em outros ambientes de nuvem, como a AWS, não podem usar o mesmo método que é normalmente usado para autenticar runbooks em recursos do Azure. Isso ocorre porque esses recursos estão em execução fora do Azure e, assim, exigirão suas próprias credenciais de segurança definidas na Automação para se autenticarem em recursos que acessarão localmente. Para obter mais informações sobre a autenticação de runbook com trabalho de runbook, veja Executar runbooks em um Hybrid Runbook Worker.
Para runbooks que usam Hybrid Runbook Workers em VMs do Azure, é possível usar autenticação de runbook com identidades gerenciadas em vez de contas Executar como para autenticar em recursos do Azure.
Próximas etapas
- Para criar uma conta de Automação no portal do Azure, veja Criar uma conta de Automação do Azure autônoma.
- Se preferir criar sua conta usando um modelo, veja Criar uma conta de Automação usando um modelo do Azure Resource Manager.
- Para autenticação usando Amazon Web Services, veja Autenticar runbooks com Amazon Web Services.
- Para obter uma lista de serviços do Azure que dão suporte para identidades gerenciadas para a funcionalidade de recursos do Azure, veja Serviços que dão suporte a identidades gerenciadas para recursos do Azure.