Como usar identidades gerenciadas para a Configuração de Aplicativo do Azure

Este tópico mostra como criar uma identidade gerenciada para a Configuração do Aplicativo do Azure. Uma identidade gerenciada do Microsoft Entra ID permite que a Configuração do Aplicativo do Azure acesse facilmente outros recursos protegidos pelo Microsoft Entra. A identidade é gerenciada pela plataforma Azure. Ele não exige que você provisione ou alterne quaisquer segredos. Para obter mais informações sobre identidades gerenciadas no Microsoft Entra ID, consulte Identidades gerenciadas para recursos do Azure.

Pode conceder dois tipos de identidades à aplicação:

• Uma identidade atribuída pelo sistema está vinculada ao seu repositório de configuração. Ele será excluído se o armazenamento de configuração for excluído. Um repositório de configuração só pode ter uma identidade atribuída ao sistema.
• Uma identidade atribuída pelo usuário é um recurso autônomo do Azure que pode ser atribuído ao seu repositório de configuração. Um repositório de configuração pode ter várias identidades atribuídas pelo usuário.

Adicionando uma identidade atribuída ao sistema

Criar uma loja de configuração de aplicativo com uma identidade atribuída pelo sistema requer que uma propriedade adicional seja definida na loja.

Com a CLI do Azure

Para configurar uma identidade gerenciada usando a CLI do Azure, use o comando az appconfig identity assign em um repositório de configuração existente. Você tem três opções para executar os exemplos nesta seção:

• Use o Azure Cloud Shell no portal do Azure.
• Use o Azure Cloud Shell incorporado por meio do botão "Experimente", localizado no canto superior direito de cada bloco de código abaixo.
• Instale a versão mais recente da CLI do Azure (2.1 ou posterior) se preferir usar um console de CLI local.

As etapas a seguir irão orientá-lo através da criação de uma loja de configuração de aplicativos e atribuindo-lhe uma identidade usando a CLI:

1. Se estiver a utilizar a CLI do Azure numa consola local, primeiro inicie sessão no Azure com az login. Use uma conta associada à sua assinatura do Azure:

   az login
   

2. Crie uma loja de configuração de aplicativos usando a CLI. Para obter mais exemplos de como usar a CLI com a Configuração de Aplicativo do Azure, consulte Exemplos de CLI de Configuração de Aplicativo:

   az group create --name myResourceGroup --location eastus
   az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free
   

3. Execute o comando az appconfig identity assign para criar a identidade atribuída pelo sistema para este repositório de configuração:

   az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup
   

Adicionando uma identidade atribuída pelo usuário

Criar uma loja de configuração de aplicativos com uma identidade atribuída pelo usuário requer que você crie a identidade e, em seguida, atribua seu identificador de recurso à sua loja.

Nota

Você pode adicionar até 10 identidades gerenciadas atribuídas pelo usuário a uma loja de Configuração de Aplicativos.

Com a CLI do Azure

Para configurar uma identidade gerenciada usando a CLI do Azure, use o comando az appconfig identity assign em um repositório de configuração existente. Você tem três opções para executar os exemplos nesta seção:

• Use o Azure Cloud Shell no portal do Azure.
• Use o Azure Cloud Shell incorporado por meio do botão "Experimente", localizado no canto superior direito de cada bloco de código abaixo.
• Instale a versão mais recente da CLI do Azure (2.0.31 ou posterior) se preferir usar um console de CLI local.

As etapas a seguir o orientarão na criação de uma identidade atribuída pelo usuário e de uma loja de Configuração de Aplicativo e, em seguida, na atribuição da identidade à loja usando a CLI:

1. Se estiver a utilizar a CLI do Azure numa consola local, primeiro inicie sessão no Azure com az login. Use uma conta associada à sua assinatura do Azure:

   az login
   

2. Crie uma loja de configuração de aplicativos usando a CLI. Para obter mais exemplos de como usar a CLI com a Configuração de Aplicativo do Azure, consulte Exemplos de CLI de Configuração de Aplicativo:

   az group create --name myResourceGroup --location eastus
   az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free
   

3. Crie uma identidade atribuída pelo usuário chamada myUserAssignedIdentity usando a CLI.

   az identity create --resource-group myResourceGroup --name myUserAssignedIdentity
   

   Na saída deste comando, observe o id valor da propriedade.

4. Execute o comando az appconfig identity assign para atribuir a nova identidade atribuída pelo usuário a este repositório de configuração. Use o id valor da propriedade que você anotou na etapa anterior.

   az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup --identities /subscriptions/[subscription id]/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUserAssignedIdentity
   

Remover uma identidade

Uma identidade atribuída ao sistema pode ser removida desativando o recurso usando o comando az appconfig identity remove na CLI do Azure. As identidades atribuídas pelo usuário podem ser removidas individualmente. Remover uma identidade atribuída ao sistema dessa forma também a excluirá do Microsoft Entra ID. As identidades atribuídas pelo sistema também são removidas automaticamente do Microsoft Entra ID quando o recurso do aplicativo é excluído.

Próximos passos

Criar um aplicativo ASP.NET Core com a Configuração de Aplicativo do Azure