Usar identidades gerenciadas para o Teste de Carga do Azure

Este artigo mostra como criar uma identidade gerenciada para o Teste de Carga do Azure. Você pode usar uma identidade gerenciada para ler com segurança segredos ou certificados do Azure Key Vault em seu teste de carga.

Uma identidade gerenciada da ID do Microsoft Entra permite que o recurso de teste de carga acesse facilmente o Azure Key Vault protegido pelo Microsoft Entra. A identidade é gerenciada pela plataforma Azure e não exige que você gerencie ou alterne segredos. Para obter mais informações sobre identidades gerenciadas na ID do Microsoft Entra, consulte Identidades gerenciadas para recursos do Azure.

O Teste de Carga do Azure dá suporte a dois tipos de identidades:

• Uma identidade atribuída pelo sistema é associada ao recurso de teste de carga e é excluída quando ele é excluído. Um recurso pode ter apenas uma identidade atribuída pelo sistema.
• Uma identidade atribuída pelo usuário é um recurso autônomo do Azure que pode ser atribuído ao recurso de teste de carga. Ao excluir o recurso de teste de carga, a identidade gerenciada permanece disponível. É possível atribuir diversas identidades atribuídas pelo usuário ao recurso de teste de carga.

Atualmente, você só pode usar a identidade gerenciada para acessar o Azure Key Vault.

Pré-requisitos

• Uma conta do Azure com uma assinatura ativa. Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.
• Um recurso de teste de carga do Azure. Para criar um recurso de teste de carga do Azure, confira o início rápido Criar e executar um teste de carga.
• Para criar uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Administrador de identidade gerenciada.

Atribuir uma identidade atribuída pelo sistema a um recurso de teste de carga

Para atribuir uma identidade atribuída pelo sistema ao recurso de teste de carga do Azure, habilite uma propriedade no recurso. É possível definir essa propriedade usando o portal do Azure ou usando um modelo do Azure Resource Manager (ARM).

Portal

Para configurar uma identidade gerenciada no portal, primeiro crie um recurso de teste de carga do Azure e, em seguida, habilite-o.

1. No portal do Azure, acesse o recurso de teste de carga do Azure.

2. No painel esquerdo, selecione Identidade.

3. Na guia Sistema atribuído, alterne Status para Ativoe selecione Salvar.

   

4. Na janela de confirmação, selecione Sim para confirmar a atribuição da identidade gerenciada.

5. Após a conclusão dessa operação, a página mostra a ID do objeto da identidade gerenciada e permite atribuir permissões a ela.

   

CLI do Azure

Execute o comando az load update com --identity-type SystemAssigned para adicionar uma identidade atribuída pelo sistema ao recurso de teste de carga:

az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type SystemAssigned

Modelo de ARM

É possível usar um modelo ARM para automatizar a implantação de seus recursos do Azure. Para saber como usar modelos do ARM com o Teste de Carga do Azure, confira a Documentação de referência do ARM no Teste de Carga do Azure.

É possível atribuir uma identidade gerenciada atribuída pelo sistema ao criar um recurso do tipo Microsoft.LoadTestService/loadtests. Configure a propriedade identity com o valor SystemAssigned na definição de recurso:

"identity": {
    "type": "SystemAssigned"
}

Ao adicionar o tipo de identidade atribuída pelo sistema, você indica ao Azure que ele deve criar e gerenciar a identidade do recurso. Por exemplo, um recurso de teste de carga do Azure pode ter a seguinte aparência:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2021-09-01-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "SystemAssigned"
    }
}

Após a criação do recurso, as seguintes propriedades são configuradas para ele:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "00000000-0000-0000-0000-000000000000",
    "principalId": "00000000-0000-0000-0000-000000000000"
}

A propriedade tenantId identifica a qual locatário do Microsoft Entra a identidade pertence. principalId é um identificador exclusivo para a nova identidade do recurso. Na ID do Microsoft Entra, a entidade de serviço tem o mesmo nome do recurso de teste de carga do Azure.

Atribuir uma identidade atribuída pelo usuário a um recurso de teste de carga

Antes de adicionar uma identidade gerenciada atribuída pelo usuário a um recurso de teste de carga do Azure, primeiro você deve criar essa identidade na ID do Microsoft Entra. Em seguida, é possível atribuí-la usando o identificador de recurso.

É possível adicionar diversas identidades gerenciadas atribuídas pelo usuário ao recurso. Por exemplo, para acessar diversos recursos do Azure, conceda permissões diferentes para cada uma dessas identidades.

Portal

1. Crie uma identidade gerenciada atribuída pelo usuário seguindo as instruções de Criar uma identidade gerenciada atribuída pelo usuário.

   

2. No portal do Azure, acesse o recurso de teste de carga do Azure.

3. No painel esquerdo, selecione Identidade.

4. Selecione a guia Atribuído pelo usuário e clique em Adicionar.

5. Pesquise e selecione a identidade gerenciada criada anteriormente. Em seguida, selecione Adicionar para adicioná-la ao recurso de teste de carga do Azure.

   

CLI do Azure

1. Crie uma identidade atribuída pelo usuário.

   az identity create --resource-group <group-name> --name <identity-name>
   

2. Execute o comando az load update com --identity-type UserAssigned para adicionar uma identidade atribuída pelo usuário ao recurso de teste de carga:

   az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type UserAssigned --user-assigned <identity-id>
   

Modelo de ARM

É possível criar um recurso de teste de carga do Azure usando um modelo do ARM e o tipo de recurso Microsoft.LoadTestService/loadtests. Para saber como usar modelos do ARM com o Teste de Carga do Azure, confira a Documentação de referência do ARM no Teste de Carga do Azure.

1. Crie uma identidade gerenciada atribuída pelo usuário seguindo as instruções de Criar uma identidade gerenciada atribuída pelo usuário.

2. Especifique a identidade gerenciada atribuída pelo usuário na seção identity da definição do recurso.

   Substitua o espaço reservado de texto <RESOURCEID> pela ID do recurso da identidade atribuída pelo usuário:

   "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
           "<RESOURCEID>": {}
       }
   }
   

   O seguinte trecho de código mostra um exemplo de uma definição de recurso do ARM do Teste de Carga do Azure com uma identidade atribuída pelo usuário:

   {
       "type": "Microsoft.LoadTestService/loadtests",
       "apiVersion": "2021-09-01-preview",
       "name": "[parameters('name')]",
       "location": "[parameters('location')]",
       "tags": "[parameters('tags')]",
       "identity": {
           "type": "UserAssigned",
           "userAssignedIdentities": {
               "<RESOURCEID>": {}
           }
   }
   

   Depois da criação do recurso de teste de carga, o Azure fornece as propriedades principalId e clientId na saída:

   "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
           "<RESOURCEID>": {
               "principalId": "00000000-0000-0000-0000-000000000000",
               "clientId": "00000000-0000-0000-0000-000000000000"
           }
       }
   }
   

   O principalId é um identificador exclusivo para a identidade usada para a administração do Microsoft Entra. O clientId é um identificador exclusivo para a nova identidade do recurso que é usada para especificar qual identidade usar durante as chamadas do runtime.

Configurar o recurso de destino

Talvez seja necessário configurar o recurso de destino para permitir o acesso do recurso de teste de carga. Por exemplo, se você ler um segredo ou certificado do Azure Key Vaultou se você usar chaves gerenciadas pelo cliente para criptografia, também deverá adicionar uma política de acesso que inclua a identidade gerenciada do recurso. Caso contrário, suas chamadas para o Azure Key Vault serão rejeitadas, mesmo se você usar um token válido.

Conteúdo relacionado

• Usar segredos ou certificados no teste de carga
• Configurar chaves gerenciadas pelo cliente parade criptografia
• O que são identidades gerenciadas para recursos do Azure?