Gerenciar identidades gerenciadas atribuídas pelo usuário usando o PowerShell

As identidades gerenciadas para recursos do Azure eliminam a necessidade de gerenciar credenciais no código. Você pode usá-las para obter um token do Microsoft Entra para seus aplicativos. Os aplicativos podem usar o token ao acessar recursos que dão suporte à autenticação do Microsoft Entra. O Azure gerencia a identidade para que você não tenha que fazê-lo.

Há dois tipos de identidades gerenciadas: atribuídas pelo sistema e atribuídas pelo usuário. As identidades gerenciadas atribuídas pelo sistema têm seu ciclo de vida associado ao recurso que as criou. Essa identidade é restrita a apenas um recurso, e você pode conceder permissões à identidade gerenciada usando o RBAC (controle de acesso baseado em função) do Azure. As identidades gerenciadas atribuídas pelo usuário podem ser usadas em vários recursos.

Neste artigo, você aprenderá a criar, listar, excluir ou atribuir uma função a uma identidade gerenciada atribuída pelo usuário usando o PowerShell. Usamos a Máquina Virtual do Azure (AzureVM) como um recurso de exemplo ao qual você pode atribuir uma identidade gerenciada atribuída pelo usuário.

Pré-requisitos

• Se você não estiver familiarizado com identidades gerenciadas para recursos do Azure, confira a seção de visão geral. Examine a diferença entre uma identidade gerenciada atribuída pelo sistema e atribuída pelo usuário.
• Se você ainda não tiver uma conta do Azure, inscreva-se em uma conta gratuita antes de continuar.
• Para executar os scripts de exemplo, você tem duas opções:
  • Use o Azure Cloud Shell, que pode ser aberto usando o botão Experimentar no canto superior direito dos blocos de código.
  • Executar os scripts localmente com o Azure PowerShell, conforme descrito na próxima seção.

Configurar o Azure PowerShell localmente

Para usar o Azure PowerShell localmente para este artigo em vez de usar Cloud Shell:

1. Instale a versão mais recente do Azure PowerShell , caso ainda não tenha feito isso.

2. Inicie sessão no Azure.

   Connect-AzAccount
   

3. Instale a versão mais recente do PowerShellGet.

   Install-Module -Name PowerShellGet -AllowPrerelease
   

   Talvez seja necessário Exit da sessão atual do PowerShell depois de executar esse comando para a próxima etapa.

4. Instale a versão de pré-lançamento do módulo Az.ManagedServiceIdentity para executar as operações de identidade gerenciada atribuídas pelo usuário neste artigo.

   Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
   

Criar uma identidade gerenciada atribuída ao usuário

Para criar uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Colaborador de Identidade Gerenciada .

1. Para criar uma identidade gerenciada atribuída pelo usuário, use o comando New-AzUserAssignedIdentity. O parâmetro ResourceGroupName especifica o grupo de recursos em que a identidade gerenciada atribuída pelo usuário foi criada. O parâmetro -Name especifica o nome.

2. Substitua os valores de parâmetro <RESOURCE GROUP> e <USER ASSIGNED IDENTITY NAME> pelos seus próprios valores.

   Importante

   Ao criar identidades gerenciadas atribuídas pelo usuário, o nome deve começar com uma letra ou número e pode incluir uma combinação de caracteres alfanuméricos, hifens (-) e sublinhados (_). Para que a atribuição a uma máquina virtual ou um conjunto de dimensionamento de máquinas virtuais funcione corretamente, o nome é limitado a 24 caracteres. Para obter mais informações, consulte perguntas frequentes e problemas conhecidos.

   New-AzUserAssignedIdentity -ResourceGroupName <RESOURCEGROUP> -Name <USER ASSIGNED IDENTITY NAME>
   

Listar identidades gerenciadas atribuídas ao usuário

Para listar ou ler uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Operador de Identidade Gerenciada ou Colaborador de Identidade Gerenciada.

1. Para listar identidades gerenciadas atribuídas pelo usuário, use o Get-AzUserAssignedIdentity comando. O parâmetro -ResourceGroupName especifica o grupo de recursos em que a identidade gerenciada atribuída ao usuário foi criada.

2. Substitua o valor <RESOURCE GROUP> por seus próprios valores.

   Get-AzUserAssignedIdentity -ResourceGroupName <RESOURCE GROUP>
   

   Na resposta, as identidades gerenciadas atribuídas pelo usuário têm valor "Microsoft.ManagedIdentity/userAssignedIdentities" retornado para a chave Type.

   Type :Microsoft.ManagedIdentity/userAssignedIdentities

Excluir uma identidade gerenciada atribuída ao usuário

Para excluir uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Colaborador de Identidade Gerenciada .

1. Para excluir uma identidade gerenciada atribuída pelo usuário, use o comando Remove-AzUserAssignedIdentity. O parâmetro -ResourceGroupName especifica o grupo de recursos onde a identidade atribuída pelo usuário foi criada. O parâmetro -Name especifica o nome.

2. Substitua os valores de parâmetros <RESOURCE GROUP> e <USER ASSIGNED IDENTITY NAME> pelos seus próprios valores.

   Remove-AzUserAssignedIdentity -ResourceGroupName <RESOURCE GROUP> -Name <USER ASSIGNED IDENTITY NAME>
   

   A exclusão de uma identidade gerenciada atribuída ao usuário não removerá a referência de nenhum recurso ao qual foi atribuída. Atribuições de identidade devem ser removidas separadamente.

Próximas etapas

Para obter uma lista completa e mais detalhes das identidades gerenciadas do Azure PowerShell para comandos de recursos do Azure, consulte Az.ManagedServiceIdentity.