Compartilhar via


Etapas de uma implantação de blueprint

Importante

Em 11 de julho de 2026, o Blueprints (versão prévia) será preterido. Migre suas definições e atribuições de blueprint existentes para Especificações de Modelo e Pilhas de Implantação. Os artefatos de blueprint devem ser convertidos em modelos JSON do ARM ou arquivos Bicep usados para definir pilhas de implantação. Para saber como criar um artefato como um recurso do ARM, confira:

Quando um blueprint é implantado, o serviço Azure Blueprints realiza uma série de ações para implantar os recursos definidos no blueprint. Este artigo traz detalhes sobre o que cada etapa envolve.

A implantação de blueprint é acionada ao se atribuir um plano gráfico a uma assinatura ou ao atualizar uma atribuição existente. Durante a implantação, o Azure Blueprints executa as seguintes etapas de alto nível:

  • O Azure Blueprints concede direitos de proprietário
  • É criado o objeto de atribuição de blueprint
  • Opcional - o Azure Blueprints cria a identidade gerenciada atribuída ao sistema
  • A identidade gerenciada implanta artefatos de blueprint
  • O serviço Azure Blueprints e a identidade gerenciada atribuída ao sistema são revogados

O Azure Blueprints concede direitos de proprietário

A entidade de serviço do Azure Blueprints recebe direitos de proprietário para a assinatura ou assinaturas atribuídas quando uma identidade gerenciada do tipo identidade gerenciada atribuída ao sistema é usada. A função concedida permite ao Azure Blueprints criar e, posteriormente, revogar a identidade gerenciada atribuída ao sistema. Se estiver usando uma identidade gerenciada atribuída ao usuário, a entidade de serviço do Azure Blueprints não obtém e nem precisará obter direitos de proprietário na assinatura.

Os direitos são concedidos automaticamente quando a atribuição é feita pelo portal. No entanto, se a atribuição for feita pela API REST, a concessão dos direitos precisará ser feita com uma chamada à API em separado. A AppId do Azure Blueprints é f71766dc-90d9-4b7d-bd9d-4499c4331c3f, mas a entidade de serviço varia de acordo com o locatário. Use a API do Graph do Azure Active Directory e a entidade de serviçoservicePrincipals de ponto de extremidade REST para obter a entidade de serviço. Em seguida, conceda ao Azure Blueprints a função de proprietário por meio do Portal, CLI do Azure, Azure PowerShell, API RESTou um modelo do Azure Resource Manager.

O serviço Azure Blueprints não implanta diretamente os recursos.

É criado o objeto de atribuição de blueprint

Um usuário, grupo ou entidade de serviço atribui um blueprint a uma assinatura. O objeto de atribuição existe no nível de assinatura ao qual o blueprint foi atribuído. Os recursos criados pela implantação não são feitos no contexto da entidade de implantação.

Ao criar a atribuição de blueprint, é selecionado o tipo de identidade gerenciada. O padrão é uma identidade gerenciada atribuída ao sistema. Pode ser escolhida uma identidade gerenciada atribuída ao usuário. Ao usar uma identidade gerenciada atribuída ao usuário, ela deve ser definida e ter permissões concedidas antes da criação da atribuição de blueprint. Tanto a função interna de proprietário quanto a de operador de blueprinttêm a permissão blueprintAssignment/write necessária para criar uma atribuição que use uma identidade gerenciada atribuída ao usuário.

Opcional - o Azure Blueprints cria a identidade gerenciada atribuída ao sistema

Quando a identidade gerenciada atribuída ao sistema é selecionada durante a atribuição, o Azure Blueprints cria a identidade e concede à identidade gerenciada a função de proprietário. Se uma atribuição existente for atualizada, o Azure Blueprints usará a identidade gerenciada criada anteriormente.

A identidade gerenciada relacionada à atribuição de blueprint é usada para implantar ou reimplantar os recursos definidos no blueprint. Esse design evita que as atribuições interfiram entre si de forma não intencional. Esse design também dá suporte à funcionalidade de bloqueio de recursos ao controlar a segurança de cada recurso implantado a partir do blueprint.

A identidade gerenciada implanta artefatos de blueprint

Em seguida, a identidade gerenciada aciona as implantações de Resource Manager dos artefatos no blueprint na ordem de sequenciamento definida. Essa ordem pode ser ajustada para garantir que os artefatos dependentes de outros sejam implantados na ordem correta.

Uma falha de acesso por uma implantação é geralmente consequência do nível de acesso concedido à identidade gerenciada. O serviço Azure Blueprints gerencia o ciclo de vida de segurança da identidade gerenciada atribuída ao sistema. No entanto, o usuário é responsável por gerenciar os direitos e o ciclo de vida de uma identidade gerenciada atribuída ao usuário.

Os direitos do serviço Azure Blueprints e da identidade gerenciada atribuída ao sistema são revogados

Depois que as implantações forem concluídas, o Azure Blueprints revogará da assinatura os direitos da identidade gerenciada atribuída ao sistema. Em seguida, o serviço Azure Blueprints revoga os próprios direitos da assinatura. A remoção de direitos impede que o Azure Blueprints se torne um proprietário permanente em uma assinatura.

Próximas etapas