Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A Automatização do Azure permite-lhe automatizar tarefas relativamente aos recursos no Azure, no local e outros fornecedores de serviços em nuvem, tais como os Amazon Web Services (AWS). Você pode usar runbooks para automatizar suas tarefas ou um Runbook Worker híbrido se tiver processos comerciais ou operacionais para gerenciar fora do Azure. Trabalhar em qualquer um desses ambientes requer permissões para acessar com segurança os recursos com os direitos mínimos necessários.
Este artigo aborda cenários de autenticação suportados pela Automação do Azure e explica como começar com base no ambiente ou ambientes que você precisa gerenciar.
Conta de automatização
Quando inicia a Automatização do Azure pela primeira vez, tem de criar pelo menos uma conta de Automatização. As contas de automação permitem isolar os seus recursos de automação, runbooks, ativos e configurações dos recursos de outras contas. Você pode usar contas de automação para separar recursos em ambientes lógicos separados ou responsabilidades delegadas. Por exemplo, poderá utilizar uma conta para o desenvolvimento, outra para a produção e outra para o seu ambiente no local.
Uma conta de automatização do Azure é diferente da sua conta Microsoft ou contas criadas na sua subscrição do Azure. Para obter uma introdução à criação de uma conta de automação, consulte Criar uma conta de automação.
Recursos de automatização
Os recursos de Automação para cada conta de Automação estão associados a uma única região do Azure, mas a conta pode gerenciar todos os recursos em sua assinatura do Azure. O principal motivo para criar contas de automação em regiões diferentes é se você tiver políticas que exijam que os dados e recursos sejam isolados em uma região específica.
Todas as tarefas que você cria em relação aos recursos usando o Gerenciador de Recursos do Azure e os cmdlets do PowerShell na Automação do Azure devem ser autenticadas no Azure usando a autenticação baseada em credenciais de identidade organizacional do Microsoft Entra.
Identidades geridas
Uma identidade gerida do Microsoft Entra ID permite que o seu runbook aceda, de forma simples, a outros recursos protegidos pelo Microsoft Entra ID. A identidade é gerida pela plataforma do Azure e não precisa que o utilizador aprovisione ou rode nenhuns segredos. Para obter mais informações sobre identidades gerenciadas no Microsoft Entra ID, consulte Identidades gerenciadas para recursos do Azure.
As identidades geridas são a forma recomendada de autenticação nos seus runbooks e são o método de autenticação predefinido para a sua conta de Automação.
Eis alguns dos benefícios da utilização das identidades geridas:
Usar uma identidade gerenciada em vez da conta Run As de automação simplifica o gerenciamento.
As identidades gerenciadas podem ser usadas sem qualquer custo adicional.
Pode aceder a recursos utilizando a identidade gerida da sua conta de automação a partir de um guião de execução, sem criar certificados, conexões, etc.
Uma conta de automação pode autenticar utilizando dois tipos de identidades geridas:
Uma identidade atribuída pelo sistema está associada à aplicação e será eliminada se a aplicação for eliminada. Uma aplicação só pode ter uma identidade atribuída pelo sistema.
Uma identidade atribuída pelo utilizador é um recurso autónomo do Azure que pode ser atribuído à aplicação. Uma aplicação pode ter várias identidades atribuídas pelo utilizador.
Nota
As identidades atribuídas pelo utilizador são suportadas apenas para trabalhos na cloud. Para saber mais sobre as diferentes identidades gerenciadas, consulte Gerenciar tipos de identidade.
Para obter detalhes sobre como usar identidades gerenciadas, consulte Habilitar identidade gerenciada para a Automação do Azure.
Permissões da subscrição
Precisa da permissão Microsoft.Authorization/*/Write. Esta permissão é obtida através da associação a uma das seguintes funções incorporadas do Azure:
Para saber mais sobre as permissões das subscrições clássicas, veja Administradores de subscrições clássicas do Azure.
Permissões do Microsoft Entra
Para renovar o principal de serviço, tem de ser membro de uma das seguintes funções incorporadas do Microsoft Entra:
A associação pode ser atribuída a TODOS os usuários no locatário no nível do diretório, que é o comportamento padrão. Pode conceder a associação a qualquer função ao nível do diretório. Para obter mais informações, veja Quem tem permissão para adicionar aplicações à minha instância do Microsoft Entra?
Permissões da conta de automação
Para atualizar a conta da Automatização, tem de ser membro de uma das seguintes funções da conta da Automatização:
Para saber mais sobre os modelos de implementação do Azure Resource Manager e Clássica, veja Resource Manager e implementação clássica.
Nota
As subscrições do Fornecedor de Soluções na Nuvem (CSP) do Azure suportam apenas o modelo do Azure Resource Manager. Os serviços que não são do Azure Resource Manager não estão disponíveis no programa. Quando estiver a utilizar uma subscrição CSP, a conta Run As Clássica do Azure não é criada, mas a conta Run As do Azure é. Para saber mais sobre assinaturas CSP, consulte Serviços disponíveis em assinaturas CSP.
Controlo de acesso baseado em funções
O controlo de acesso baseado em funções está disponível com o Azure Resource Manager para conceder ações permitidas a uma conta de utilizador do Microsoft Entra e a uma conta Run As, além de autenticar o principal de serviço. Leia o artigo Role-based access control in Azure Automation (Controlo de acesso baseado em funções na Automatização do Azure) para obter mais informações para ajudar a desenvolver o seu modelo para gerir permissões na Automatização.
Se você tiver controles de segurança rígidos para atribuição de permissões em grupos de recursos, precisará atribuir a associação da conta Run As à função de Colaborador no grupo de recursos.
Nota
Recomendamos que você não use a função de Colaborador do Log Analytics para executar trabalhos de Automação. Em vez disso, crie a função personalizada do Colaborador de Automação do Azure e use-a para ações relacionadas à conta de Automação.
Autenticação de runbook com o Hybrid Runbook Worker
Os runbooks executados em um Hybrid Runbook Worker em seu datacenter ou em serviços de computação em outros ambientes de nuvem, como a AWS, não podem usar o mesmo método que normalmente é usado para runbooks de autenticação em recursos do Azure. Isto acontece porque esses recursos estão a ser executados fora do Azure e, como tal, precisam das suas próprias credenciais de segurança definidas na Automatização para autenticar em recursos que acedem localmente. Para obter mais informações sobre a autenticação de runbooks com trabalhadores de runbooks, consulte Executar runbooks num Trabalhador Híbrido de Runbooks.
Para runbooks que usam Runbook Workers híbridos em VMs do Azure, pode utilizar autenticação de runbook com identidades geridas em vez de contas Run As para autenticar seus recursos do Azure.
Próximos passos
- Para criar uma conta de Automação a partir do portal do Azure, consulte Criar uma conta de Automação do Azure independente.
- Se preferir criar sua conta usando um modelo, consulte Criar uma conta de automação usando um modelo do Azure Resource Manager.
- Para autenticação usando a Amazon Web Services, consulte Autenticar runbooks com a Amazon Web Services.
- Para obter uma lista dos serviços do Azure que suportam a funcionalidade de identidades geridas para recursos do Azure, veja Serviços que suportam as identidades geridas para recursos do Azure.