Configurar seu ambiente para um operador de Blueprint

Importante

Em 11 de julho de 2026, o Blueprints (versão prévia) será preterido. Migre suas definições e atribuições de blueprint existentes para Especificações de Modelo e Pilhas de Implantação. Os artefatos de blueprint devem ser convertidos em modelos JSON do ARM ou arquivos Bicep usados para definir pilhas de implantação. Para saber como criar um artefato como um recurso do ARM, confira:

• Política
• RBAC
• Implantações

O gerenciamento de suas definições de blueprint e atribuições de Blueprint pode ser atribuído a equipes diferentes. É comum que um arquiteto ou uma equipe de governança seja responsável pelo gerenciamento do ciclo de vida de suas definições de plantas, enquanto uma equipe de operações é responsável por gerenciar atribuições dessas definições de blueprints controladas centralmente.

A função interna do Operador de Blueprint foi projetada especificamente para uso nesse tipo de cenário. A função permite que as equipes do tipo operações gerenciem a atribuição das definições do plano gráfico das organizações, mas não a capacidade de modificá-las. Isso requer algumas configurações em seu ambiente do Azure e este artigo explica as etapas necessárias.

Conceder permissão ao Operador de Blueprint

A primeira etapa é conceder a função Operador de Blueprint para a conta ou grupo de segurança (recomendado) que vai atribuir blueprints. Essa ação deve ser feita no nível mais alto da hierarquia do grupo de gerenciamento que abrange todos os grupos de gerenciamento e assinaturas aos quais a equipe de operações deve ter acesso de atribuição de blueprint. É recomendável seguir o princípio de privilégios mínimos ao conceder essas permissões.

1. (Recomendado) Criar um grupo de segurança e adicionar membros

2. Atribuir função do Azure de Operador de Blueprint à conta ou ao grupo de segurança

Atribuir identidade gerenciada

Uma definição de blueprint pode usar identidades gerenciadas atribuídas pelo sistema ou pelo usuário. No entanto, ao usar a função de Operador de Blueprint, a definição de blueprint precisa ser configurada para usar uma identidade gerenciada atribuída pelo usuário. Além disso, a conta ou grupo de segurança que recebeu a função Operador de Blueprint precisa receber a função Operador de Identidade Gerenciada na identidade gerenciada atribuída pelo usuário. Sem essa permissão, as atribuições do blueprint falham devido à falta de permissões.

1. Crie uma identidade gerenciada atribuída pelo usuário para uso por um blueprint atribuído.

2. Conceda à identidade gerenciada atribuída pelo usuário quaisquer funções ou permissões exigidas pela definição de blueprint para o escopo pretendido.

3. Atribuir função do Azure de Operador de Identidade Gerenciada à conta ou ao grupo de segurança. Escopo da atribuição de função para a nova identidade gerenciada atribuída pelo usuário.

4. Como Operador de Blueprint, atribua um blueprint que usa a nova identidade gerenciada atribuída pelo usuário.

Próximas etapas

• Saiba mais sobre o ciclo de vida do blueprint.
• Saiba como usar parâmetros estáticos e dinâmicos.
• Saiba como personalizar a ordem de sequenciamento de blueprint.
• Saiba como usar o bloqueio de recurso de blueprint.
• Resolver problemas durante a atribuição de blueprint com solução de problemas gerais.