Descrição geral da autenticação da conta da Automatização do Azure
Importante
As contas da Execução de Automação do Azure, incluindo a Execução Clássica, foram desativadas em 30 de setembro de 2023 e substituídas por Identidades Gerenciadas. Você não poderá mais criar ou renovar contas Run as por meio do portal do Azure. Para mais informações, ver Migrar de contas Run As existentes para uma identidade gerida.
A Automatização do Azure permite-lhe automatizar tarefas relativamente aos recursos no Azure, no local e outros fornecedores de serviços em nuvem, tais como os Amazon Web Services (AWS). Você pode usar runbooks para automatizar suas tarefas ou um Runbook Worker híbrido se tiver processos comerciais ou operacionais para gerenciar fora do Azure. Trabalhar em qualquer um desses ambientes requer permissões para acessar com segurança os recursos com os direitos mínimos necessários.
Este artigo aborda cenários de autenticação suportados pela Automação do Azure e explica como começar com base no ambiente ou ambientes que você precisa gerenciar.
Conta de automatização
Quando inicia a Automatização do Azure pela primeira vez, tem de criar pelo menos uma conta de Automatização. As contas de automação permitem isolar seus recursos, runbooks, ativos e configurações de automação dos recursos de outras contas. Você pode usar contas de automação para separar recursos em ambientes lógicos separados ou responsabilidades delegadas. Por exemplo, poderá utilizar uma conta para o desenvolvimento, outra para a produção e outra para o seu ambiente no local. Ou você pode dedicar uma conta de automação para gerenciar atualizações do sistema operacional em todas as suas máquinas com o Gerenciamento de Atualizações.
Uma conta de automatização do Azure é diferente da sua conta Microsoft ou contas criadas na sua subscrição do Azure. Para obter uma introdução à criação de uma conta de automação, consulte Criar uma conta de automação.
Recursos de automatização
Os recursos de Automação para cada conta de Automação estão associados a uma única região do Azure, mas a conta pode gerenciar todos os recursos em sua assinatura do Azure. O principal motivo para criar contas de automação em regiões diferentes é se você tiver políticas que exijam que os dados e recursos sejam isolados em uma região específica.
Todas as tarefas que você cria em relação aos recursos usando o Gerenciador de Recursos do Azure e os cmdlets do PowerShell na Automação do Azure devem ser autenticadas no Azure usando a autenticação baseada em credenciais de identidade organizacional do Microsoft Entra.
Identidades geridas
Uma identidade gerenciada do Microsoft Entra ID permite que seu runbook acesse facilmente outros recursos protegidos pelo Microsoft Entra. A identidade é gerida pela plataforma do Azure e não precisa que o utilizador aprovisione ou rode nenhuns segredos. Para obter mais informações sobre identidades gerenciadas no Microsoft Entra ID, consulte Identidades gerenciadas para recursos do Azure.
As identidades gerenciadas são a maneira recomendada de autenticação em seus runbooks e é o método de autenticação padrão para sua conta de automação.
Aqui estão alguns dos benefícios do uso de identidades gerenciadas:
Usar uma identidade gerenciada em vez da conta Run As de automação simplifica o gerenciamento.
As identidades gerenciadas podem ser usadas sem qualquer custo adicional.
Não é necessário especificar o objeto de conexão Run As no código do runbook. Você pode acessar recursos usando a identidade gerenciada da sua conta de automação a partir de um runbook sem criar certificados, conexões, etc.
Uma conta de automação pode se autenticar usando dois tipos de identidades gerenciadas:
Uma identidade atribuída pelo sistema está associada à aplicação e será eliminada se a aplicação for eliminada. Uma aplicação só pode ter uma identidade atribuída pelo sistema.
Uma identidade atribuída pelo utilizador é um recurso autónomo do Azure que pode ser atribuído à aplicação. Uma aplicação pode ter várias identidades atribuídas pelo utilizador.
Nota
As identidades atribuídas pelo usuário são suportadas apenas para trabalhos na nuvem. Para saber mais sobre as diferentes identidades gerenciadas, consulte Gerenciar tipos de identidade.
Para obter detalhes sobre como usar identidades gerenciadas, consulte Habilitar identidade gerenciada para a Automação do Azure.
Permissões da subscrição
Precisa da permissão Microsoft.Authorization/*/Write. Esta permissão é obtida através da associação a uma das seguintes funções incorporadas do Azure:
Para saber mais sobre as permissões das subscrições clássicas, veja Administradores de subscrições clássicas do Azure.
Permissões do Microsoft Entra
Para renovar a entidade de serviço, você precisa ser membro de uma das seguintes funções internas do Microsoft Entra:
A associação pode ser atribuída a TODOS os usuários no locatário no nível do diretório, que é o comportamento padrão. Pode conceder a associação a qualquer função ao nível do diretório. Para obter mais informações, veja Quem tem permissão para adicionar aplicações à minha instância do Microsoft Entra?
Permissões da conta de automatização
Para atualizar a conta da Automatização, tem de ser membro de uma das seguintes funções da conta da Automatização:
Para saber mais sobre os modelos de implementação do Azure Resource Manager e Clássica, veja Resource Manager e implementação clássica.
Nota
As subscrições do Fornecedor de Soluções na Nuvem (CSP) do Azure suportam apenas o modelo do Azure Resource Manager. Os serviços que não são do Azure Resource Manager não estão disponíveis no programa. Quando estiver a utilizar uma subscrição CSP, a conta Run As Clássica do Azure não é criada, mas a conta Run As do Azure é. Para saber mais sobre assinaturas CSP, consulte Serviços disponíveis em assinaturas CSP.
Controlo de acesso baseado em funções
O controle de acesso baseado em função está disponível com o Azure Resource Manager para conceder ações permitidas a uma conta de usuário do Microsoft Entra e a uma conta Run As, além de autenticar a entidade de serviço. Leia o artigo Role-based access control in Azure Automation (Controlo de acesso baseado em funções na Automatização do Azure) para obter mais informações ajudar a desenvolver o seu modelo para a gestão de permissões de Automatização.
Se você tiver controles de segurança rígidos para atribuição de permissões em grupos de recursos, precisará atribuir a associação da conta Run As à função de Colaborador no grupo de recursos.
Nota
Recomendamos que você não use a função de Colaborador do Log Analytics para executar trabalhos de Automação. Em vez disso, crie a função personalizada do Colaborador de Automação do Azure e use-a para ações relacionadas à conta de Automação.
Autenticação de runbook com o Hybrid Runbook Worker
Os runbooks executados em um Runbook Worker híbrido em seu datacenter ou em serviços de computação em outros ambientes de nuvem, como a AWS, não podem usar o mesmo método que normalmente é usado para runbooks de autenticação em recursos do Azure. Isto acontece porque esses recursos estão a ser executados fora do Azure e, como tal, precisam das suas próprias credenciais de segurança definidas na Automatização para autenticar em recursos que acedem localmente. Para obter mais informações sobre a autenticação de runbook com runbook workers, consulte Run runbooks on a Hybrid Runbook Worker.
Para runbooks que usam Runbook Workers híbridos em VMs do Azure, você pode usar a autenticação de runbook com identidades gerenciadas em vez de contas Run As para autenticar seus recursos do Azure.
Próximos passos
- Para criar uma conta de Automação a partir do portal do Azure, consulte Criar uma conta de Automação do Azure autónoma.
- Se preferir criar sua conta usando um modelo, consulte Criar uma conta de automação usando um modelo do Azure Resource Manager.
- Para autenticação usando a Amazon Web Services, consulte Autenticar runbooks com a Amazon Web Services.
- Para obter uma lista dos serviços do Azure que suportam a funcionalidade de identidades geridas para recursos do Azure, veja Serviços que suportam as identidades geridas para recursos do Azure.