Partilhar via


Fases da implementação de um esquema

Importante

A 11 de julho de 2026, o Blueprints (Pré-visualização) será preterido. Migre as definições e atribuições de esquemas existentes para As Especificações de Modelo e As Pilhas de Implementação. Os artefactos de esquema devem ser convertidos em modelos JSON do ARM ou ficheiros Bicep utilizados para definir pilhas de implementação. Para saber como criar um artefacto como um recurso do ARM, consulte:

Quando um esquema é implementado, é realizada uma série de ações pelo serviço Azure Blueprints para implementar os recursos definidos no esquema. Este artigo fornece detalhes sobre o que cada passo envolve.

A implementação do esquema é acionada ao atribuir um esquema a uma subscrição ou atualizar uma atribuição existente. Durante a implementação, o Azure Blueprints segue os seguintes passos de alto nível:

  • Direitos de proprietário concedidos pelo Azure Blueprints
  • O objeto de atribuição de esquema é criado
  • Opcional - O Azure Blueprints cria a identidade gerida atribuída pelo sistema
  • A identidade gerida implementa artefactos de esquema
  • O serviço Azure Blueprints e os direitos de identidade gerida atribuídos pelo sistema são revogados

Direitos de proprietário concedidos pelo Azure Blueprints

O principal de serviço do Azure Blueprints tem direitos de proprietário para a subscrição ou subscrições atribuídas quando é utilizada uma identidade gerida de identidade gerida atribuída pelo sistema . A função concedida permite que o Azure Blueprints crie e, mais tarde, revogue a identidade gerida atribuída pelo sistema . Se utilizar uma identidade gerida atribuída pelo utilizador , o principal de serviço do Azure Blueprints não obtém e não precisa de direitos de proprietário na subscrição.

Os direitos são concedidos automaticamente se a atribuição for efetuada através do portal. No entanto, se a atribuição for efetuada através da API REST, a concessão dos direitos tem de ser feita com uma chamada à API separada. O AppId do Azure Blueprints é f71766dc-90d9-4b7d-bd9d-4499c4331c3f, mas o principal de serviço varia consondo. Utilize o Azure Active Directory Graph API e o serviço de ponto final RESTPrincipals para obter o principal de serviço. Em seguida, conceda ao Azure Blueprints a função proprietário através do portal, da CLI do Azure, do Azure PowerShell, da API REST ou de um modelo do Azure Resource Manager.

O serviço Azure Blueprints não implementa diretamente os recursos.

O objeto de atribuição de esquema é criado

Um utilizador, grupo ou principal de serviço atribui um esquema a uma subscrição. O objeto de atribuição existe ao nível da subscrição onde o esquema foi atribuído. Os recursos criados pela implementação não são feitos no contexto da entidade de implementação.

Ao criar a atribuição do esquema, o tipo de identidade gerida é selecionado. A predefinição é uma identidade gerida atribuída pelo sistema . Pode escolher uma identidade gerida atribuída pelo utilizador . Ao utilizar uma identidade gerida atribuída pelo utilizador , tem de ser definida e concedida permissões antes de a atribuição do esquema ser criada. As funções incorporadas Proprietário e Operador de Esquema têm a permissão necessária blueprintAssignment/write para criar uma atribuição que utiliza uma identidade gerida atribuída pelo utilizador .

Opcional - O Azure Blueprints cria a identidade gerida atribuída pelo sistema

Quando a identidade gerida atribuída pelo sistema é selecionada durante a atribuição, o Azure Blueprints cria a identidade e concede à identidade gerida a função de proprietário . Se uma atribuição existente for atualizada, o Azure Blueprints utiliza a identidade gerida criada anteriormente.

A identidade gerida relacionada com a atribuição do esquema é utilizada para implementar ou reimplementar os recursos definidos no esquema. Este design evita que as atribuições interfirem inadvertidamente entre si. Esta estrutura também suporta a funcionalidade de bloqueio de recursos ao controlar a segurança de cada recurso implementado a partir do esquema.

A identidade gerida implementa artefactos de esquema

Em seguida, a identidade gerida aciona as implementações Resource Manager dos artefactos no esquema pela ordem de sequenciação definida. A ordem pode ser ajustada para garantir que os artefactos dependentes de outros artefactos são implementados pela ordem correta.

Uma falha de acesso por parte de uma implementação é frequentemente o resultado do nível de acesso concedido à identidade gerida. O serviço Azure Blueprints gere o ciclo de vida de segurança da identidade gerida atribuída pelo sistema . No entanto, o utilizador é responsável por gerir os direitos e o ciclo de vida de uma identidade gerida atribuída pelo utilizador .

O serviço blueprint e os direitos de identidade gerida atribuídos pelo sistema são revogados

Assim que as implementações estiverem concluídas, o Azure Blueprints revoga os direitos da identidade gerida atribuída pelo sistema da subscrição. Em seguida, o serviço Azure Blueprints revoga os respetivos direitos da subscrição. A remoção de direitos impede que o Azure Blueprints se torne um proprietário permanente numa subscrição.

Passos seguintes