Visão geral da autenticação de conta da Automação do Azure
Artigo
Importante
As contas Executar como da Automação do Azure, incluindo contas Executar como Clássicas, foram desativadas em 30 de setembro de 2023 e substituídas por Identidades Gerenciadas. Não será mais possível criar ou renovar contas Executar como por meio do portal do Azure. Para obter mais informações, veja migrar de uma conta Executar como existente para identidade gerenciada.
A Automação do Azure permite automatizar tarefas em relação a recursos no Azure, locais e com outros provedores de nuvem, como AWS (Amazon Web Services). Você pode usar runbooks para automatizar suas tarefas ou um Hybrid Runbook Worker se você tiver processos comerciais ou operacionais para gerenciar fora do Azure. Trabalhar em qualquer um desses ambientes exige permissões com direitos mínimos necessários para acessar com segurança os recursos.
Este artigo aborda os vários cenários de autenticação compatíveis com a Automação do Azure e mostra como iniciar com base nos ambientes que você precisa gerenciar.
Conta de automação
Ao iniciar a Automação do Azure pela primeira vez, você deve criar pelo menos uma conta de Automação. As contas de Automação permitem que você isole seus recursos de Automação (runbooks, ativos e configurações) dos recursos contidos em outras contas. Você pode usar contas de Automação para separar os recursos em ambientes lógicos separados ou responsabilidades delegadas. Por exemplo, você pode usar uma conta para desenvolvimento, outra para produção e outra para seu ambiente local. Ou você pode dedicar uma conta de Automação para gerenciar atualizações do sistema operacional em todas as suas máquinas com Gerenciamento de Atualizações.
Uma conta de Automação do Azure é diferente de sua conta da Microsoft ou de contas criadas em sua assinatura do Azure. Para obter uma introdução à criação de uma conta de Automação, veja Criar uma conta de automação.
Recursos de automação
Os recursos de Automação para cada conta de Automação estão associados a uma única região do Azure, mas a conta pode gerenciar todos os recursos em sua assinatura do Azure. O principal motivo para criar contas de Automação em regiões diferentes seria se você tivesse políticas que exijam que dados e recursos sejam isolados em uma região específica.
Todas as tarefas que você cria em relação a recursos usando o Azure Resource Manager e os cmdlets do PowerShell na Automação do Azure devem ser autenticadas no Azure usando a autenticação baseada em credenciais de identidade organizacional do Microsoft Entra.
Identidades gerenciadas
Uma identidade gerenciada do Microsoft Entra ID permite que seu runbook acesse facilmente outros recursos protegidos pelo Microsoft Entra. A identidade é gerenciada pela plataforma do Azure e não exige provisionamento nem alternância de segredo. Para obter mais informações sobre identidades gerenciadas na ID do Microsoft Entra, consulte Identidades gerenciadas para recursos do Azure.
Identidades gerenciadas são a maneira recomendada de autenticar em seus runbooks e é o método de autenticação padrão na sua conta de automação.
Aqui estão alguns dos benefícios de usar identidades gerenciadas:
Usar uma identidade gerenciada em vez da conta Executar como da Automação simplifica o gerenciamento.
Identidades gerenciadas podem ser usadas sem nenhum custo adicional.
Você não precisa especificar o objeto Executar como conexão em seu código de runbook. Você pode acessar recursos usando a identidade gerenciada da sua conta de Automação de um runbook sem criar certificados, conexões etc.
Uma conta de automação pode autenticar usando dois tipos de identidades gerenciadas:
Uma identidade atribuída pelo sistema é vinculada ao seu aplicativo e é excluída se o seu aplicativo for excluído. Um aplicativo só pode ter uma identidade atribuída pelo sistema.
Uma identidade atribuída pelo usuário é um recurso independente do Azure que pode ser atribuído ao seu aplicativo. Um aplicativo pode ter várias identidades atribuídas pelo usuário.
Observação
Só há suporte para identidades atribuídas pelo usuário em trabalhos de nuvem. Para saber mais sobre as diferentes identidades gerenciadas, confira Gerenciar tipos de identidade.
As assinaturas do CSP (Provedor de Soluções de Nuvem) do Azure são compatíveis apenas com o modelo do Azure Resource Manager. Serviços que não pertencem ao Azure Resource Manager não estão disponíveis no programa. Quando você estiver usando uma assinatura do CSP, a conta Executar como Clássica do Azure não será criada, mas a conta Executar como do Azure será criada. Para saber mais sobre assinaturas de CSP, consulte Serviços disponíveis em assinaturas do CSP.
Controle de acesso baseado em função
O controle de acesso baseado em função está disponível com o Azure Resource Manager para conceder ações permitidas a uma conta de usuário do Microsoft Entra e uma conta Executar como e autenticar a entidade de serviço. Leia o artigo Controle de acesso baseado em função da Automação do Azure para obter mais informações que o ajudarão a desenvolver seu modelo para gerenciar permissões de Automação.
Se você tiver controles de segurança estritos para atribuição de permissão em grupos de recursos, será necessário atribuir a associação da conta Executar para a função Colaborador no grupo de recursos.
Observação
Recomendamos que não seja usada a função de Colaborador do Log Analytics para executar trabalhos de Automação. Em vez disso, crie a função personalizada de Colaborador de Automação do Azure e use-a para as ações relacionadas à Conta de automação.
Autenticação de runbook com Hybrid Runbook Worker
Runbooks em execução em um Hybrid Runbook Worker em seu datacenter ou em relação a serviços de computação em outros ambientes de nuvem, como a AWS, não podem usar o mesmo método que é normalmente usado para autenticar runbooks em recursos do Azure. Isso ocorre porque esses recursos estão em execução fora do Azure e, assim, exigirão suas próprias credenciais de segurança definidas na Automação para se autenticarem em recursos que acessarão localmente. Para obter mais informações sobre a autenticação de runbook com trabalho de runbook, veja Executar runbooks em um Hybrid Runbook Worker.
Demonstrar os recursos do Microsoft Entra ID para modernizar as soluções de identidade, implementar soluções híbridas e implementar a governança de identidade.