Configurar uma identidade gerenciada para um centro de desenvolvimento

Este guia explica como adicionar e configurar uma identidade gerenciada para seu centro de desenvolvimento de Ambientes de Implantação do Azure para habilitar a implantação segura para equipes de desenvolvimento.

Os Ambientes de Implantação do Azure usam identidades gerenciadas para fornecer às equipes de desenvolvimento recursos de implantação de autoatendimento sem lhes dar acesso às assinaturas nas quais os recursos do Azure são criados. Uma identidade gerenciada adiciona recursos de privilégios elevados e autenticação segura a qualquer serviço que ofereça suporte à autenticação Microsoft Entra.

A identidade gerenciada anexada a um centro de desenvolvimento deve receber a função de Colaborador e a função de Administrador de Acesso de Usuário nas assinaturas de implantação para cada tipo de ambiente. Quando uma implantação de ambiente é solicitada, o serviço concede as permissões apropriadas às identidades de implantação configuradas para o tipo de ambiente para implantar em nome do usuário. A identidade gerenciada anexada a um centro de desenvolvimento também é usada para adicionar a um catálogo e acessar definições de ambiente no catálogo.

Adicionar uma identidade gerenciada

Nos Ambientes de Implantação Azure, é possível escolher entre dois tipos de identidades gerenciadas:

• Identidade atribuída pelo sistema: uma identidade atribuída pelo sistema está vinculada ao centro de desenvolvimento ou ao tipo de ambiente do projeto. Uma identidade atribuída pelo sistema é excluída quando o recurso anexado é excluído. Um centro de desenvolvimento ou tipo de ambiente de projeto pode ter somente uma identidade atribuída pelo sistema.
• Identidade atribuída pelo usuário: uma identidade atribuída pelo usuário é um recurso autônomo do Azure que você pode atribuir ao centro de desenvolvimento ou a um tipo de ambiente de projeto. Para Ambientes de Implantação do Azure, um centro de desenvolvimento ou um tipo de ambiente de projeto pode ter apenas uma identidade atribuída pelo usuário.

Como prática recomendada de segurança, se você optar por usar identidades atribuídas pelo usuário, use identidades diferentes para seu projeto e para seu centro de desenvolvimento. As identidades de projeto devem ter acesso mais limitado aos recursos em comparação com um centro de desenvolvimento.

Observação

Nos Ambientes de Implantação do Azure, se você adicionar uma identidade atribuída pelo sistema e uma identidade atribuída pelo usuário, somente a identidade atribuída pelo usuário será usada.

Adicionar uma identidade gerenciada atribuída pelo sistema

1. Entre no portal do Azure e acesse Ambientes de Implantação Azure.

2. Em Centros de desenvolvimento, selecione seu centro de desenvolvimento.

3. No menu esquerdo em Configurações, selecione Identidade.

4. Em Atribuído ao sistema, defina Status como Ativado.

5. Selecione Salvar.

   

6. Na caixa de diálogo Habilitar identidade gerenciada atribuída pelo sistema, selecione Sim.

Adicionar uma identidade gerenciada atribuída pelo usuário

1. Entre no portal do Azure e acesse Ambientes de Implantação Azure.

2. Em Centros de desenvolvimento, selecione seu centro de desenvolvimento.

3. No menu esquerdo em Configurações, selecione Identidade.

4. Em Atribuído pelo usuário, selecione Adicionar para anexar uma identidade existente.

   

5. Em Adicionar identidade gerenciada atribuída ao usuário, insira ou selecione as seguintes informações:

   1. Em Assinatura, selecione a assinatura na qual a identidade existe.
   2. Em Identidades gerenciadas atribuídas ao usuário, selecione uma identidade existente.
   3. Selecione Adicionar.

Atribuir uma atribuição de função de assinatura

A identidade anexada ao centro de desenvolvimento deve receber as funções de Colaborador e Administrador de Acesso de Usuário para todas as assinaturas de implantação e a função Leitor para todas as assinaturas que contêm o projeto relevante. Quando um usuário cria ou implanta um ambiente, o serviço concede acesso apropriado à identidade de implantação anexada ao tipo de ambiente do projeto. A identidade de implantação usa o acesso para executar implantações em nome do usuário. Você pode usar a identidade gerenciada para capacitar os desenvolvedores a criar ambientes sem conceder acesso à assinatura.

Adicionar uma atribuição de função a uma identidade gerenciada atribuída pelo sistema

1. No portal do Azure, navegue até seu centro de desenvolvimento em Ambientes de Implantação do Azure.

2. No menu esquerdo em Configurações, selecione Identidade.

3. Em Atribuído pelo sistema>Permissões, selecione Atribuições de função do Azure.

   

4. Para conceder acesso de Colaborador à assinatura, selecione Adicionar atribuição de função (versão prévia) insira ou selecione as seguintes informações, em seguida selecione Salvar:

   Nome	Valor
   Escopo	Subscription
   Assinatura	Selecione a assinatura na qual a identidade gerenciada deve ser usada.
   Função	Colaborador

5. Para conceder acesso de usuário administrador à assinatura, selecione Adicionar atribuição de função (versão prévia) insira ou selecione as seguintes informações, em seguida selecione Salvar:

   Nome	Valor
   Escopo	Subscription
   Assinatura	Selecione a assinatura na qual a identidade gerenciada deve ser usada.
   Função	Administrador de Acesso do Usuário

Adicionar uma atribuição de função a uma identidade gerenciada atribuída pelo usuário

1. No portal do Azure, navegue até o centro de desenvolvimento.

2. No menu esquerdo em Configurações, selecione Identidade.

3. Em Atribuído pelo usuário, selecione a identidade.

4. No menu esquerdo, selecione Atribuições de função do Azure.

5. Para conceder acesso de Colaborador à assinatura, selecione Adicionar atribuição de função (versão prévia) insira ou selecione as seguintes informações, em seguida selecione Salvar:

   Nome	Valor
   Escopo	Subscription
   Assinatura	Selecione a assinatura na qual a identidade gerenciada deve ser usada.
   Função	Colaborador

6. Para conceder acesso de usuário administrador à assinatura, selecione Adicionar atribuição de função (versão prévia) insira ou selecione as seguintes informações, em seguida selecione Salvar:

   Nome	Valor
   Escopo	Subscription
   Assinatura	Selecione a assinatura na qual a identidade gerenciada deve ser usada.
   Função	Administrador de Acesso do Usuário

Conceda o acesso da identidade gerenciada ao segredo do cofre de chaves

Você pode configurar seu cofre de chaves para usar uma política de acesso ao cofre de chaves ou o controle de acesso baseado em função do Azure.

Observação

Antes de adicionar um repositório como um catálogo, você deve conceder à identidade gerenciada acesso ao segredo do cofre de chaves que contém o token de acesso pessoal do repositório.

Política de acesso do cofre de chaves

Se o cofre de chaves estiver configurado para usar uma política de acesso do cofre de chaves:

1. No portal do Azure, acesse o cofre de chaves que contém o segredo com o token de acesso pessoal.

2. No menu esquerdo, selecione Políticas do Access e, em seguida, selecione Criar.

3. Em Criar uma política de acesso, insira ou selecione as seguintes informações:

   1. Na guia Permissões, em Permissões de segredo, marque a caixa de seleção Obter e selecione Avançar.
   2. Na guia Entidade de segurança, selecione a identidade anexada ao centro de desenvolvimento.
   3. Selecione Examinar + Criar e, em seguida, selecione Criar.

Controle de acesso baseado em função do Azure

Se o cofre de chaves estiver configurado para usar o controle de acesso baseado em função do Azure:

1. No portal do Azure, acesse o cofre de chaves que contém o segredo com o token de acesso pessoal.

2. No menu à esquerda, selecione Controle de acesso (IAM).

3. Selecione a identidade e, no menu à esquerda, selecione Atribuições de função do Azure.

4. Selecione Adicionar atribuição de função, e, em seguida, insira ou selecione as seguintes informações:

   1. Em Escopo, selecione o cofre de chaves.
   2. Em Assinatura, selecione a assinatura que contém o cofre de chaves.
   3. Em Recurso, selecione o cofre de chaves.
   4. Em Função, selecione Usuário de Segredos do Cofre de Chaves.
   5. Selecione Salvar.

Conteúdo relacionado

• Adicionar e configurar um catálogo
• Criar e configurar um tipo de ambiente de projeto