Partilhar via

Migrar de uma conta Run As para identidades gerenciadas

  • Artigo

Importante

  • A Conta Run As da Automação do Azure foi desativada em 30 de setembro de 2023 e foi substituída por Identidades Gerenciadas. Recomendamos começar a migrar seus runbooks para usar identidades gerenciadas. Para mais informações, ver Migrar de contas Run As existentes para uma identidade gerida.
  • Atrasar o recurso tem um impacto direto em nossa carga de suporte, pois faria com que as atualizações do agente de mobilidade falhassem.

Este artigo mostra como migrar seus runbooks para usar um Managed Identities for Azure Site Recovery. As Contas de Automação do Azure são usadas pelos clientes do Azure Site Recovery para atualizar automaticamente os agentes de suas máquinas virtuais protegidas. O Site Recovery cria Contas Run As da Automação do Azure quando você habilita a replicação por meio da Lâmina de VM IaaS e do Cofre dos Serviços de Recuperação.

No Azure, as identidades geridas eliminam a necessidade de os programadores terem de gerir credenciais ao fornecer uma identidade para o recurso do Azure no Microsoft Entra ID e ao utilizá-la para obter tokens do Microsoft Entra.

Pré-requisitos

Antes de migrar de uma conta Run As para uma identidade gerenciada, verifique se você tem as funções apropriadas para criar uma identidade atribuída ao sistema para sua conta de automação e atribuir-lhe a função Proprietário no cofre de serviços de recuperação correspondente.

Nota

Você pode usar a mesma conta de automação em vários cofres de serviços de recuperação, no entanto, tanto a conta de automação quanto o cofre de serviços de recuperação devem estar na mesma região.

Benefícios das identidades gerenciadas

Eis alguns dos benefícios da utilização das identidades geridas:

  • Acesso a credenciais - Você não precisa gerenciar credenciais.
  • Autenticação simplificada - Você pode usar identidades gerenciadas para autenticar em qualquer recurso que ofereça suporte à autenticação do Microsoft Entra, incluindo seus próprios aplicativos.
  • Econômico - As identidades gerenciadas podem ser usadas sem custo extra.
  • Criptografia dupla - A identidade gerenciada também é usada para criptografar/descriptografar dados e metadados usando a chave gerenciada pelo cliente armazenada no Cofre de Chaves do Azure, fornecendo criptografia dupla.

Nota

Identidades geridas para recursos do Azure é o novo nome para o serviço anteriormente conhecido como Identidade de Serviço Gerida (MSI).

Migrar de uma conta Run As existente para uma identidade gerida

Configurar identidades geridas

Você pode configurar suas identidades gerenciadas através de:

  • Portal do Azure
  • CLI do Azure
  • seu modelo do Azure Resource Manager (ARM)

Nota

Para obter mais informações sobre a cadência de migração e o cronograma de suporte para criação de conta Run As e renovação de certificado, consulte as perguntas frequentes.

Do portal do Azure

Para migrar seu tipo de autenticação de conta de Automação do Azure de um Run As para uma autenticação de identidade gerenciada, siga estas etapas:

  1. No portal do Azure, selecione o cofre de serviços de recuperação para o qual você deseja migrar os runbooks.

  2. Na página inicial da página do cofre dos serviços de recuperação, faça o seguinte:

    1. No painel esquerdo, em Gerenciar, selecione Infraestrutura de recuperação de site. Captura de ecrã da página **Infraestrutura de recuperação de site**.

    2. Em Para máquinas virtuais do Azure, selecione Configurações de atualização de extensão. Esta página detalha o tipo de autenticação para a conta de automação que está sendo usada para gerenciar as extensões de Recuperação de Site.

    3. Nesta página, selecione Migrar para migrar o tipo de autenticação de suas contas de automação para usar Identidades Gerenciadas.

      Captura de ecrã da página Criar cofre dos Serviços de Recuperação.

Nota

Certifique-se de que a Identidade Gerenciada atribuída ao Sistema esteja desativada para que a conta de Automação para que o botão "Migrar" apareça. Se a conta não for migrada e o botão "Migrar" não estiver aparecendo, desative a Identidade gerenciada da conta de automação e tente novamente.

  1. Após a migração bem-sucedida da sua conta de automação, o tipo de autenticação para os detalhes da conta vinculada na página Configurações de atualização da extensão é atualizado.
  2. Quando a operação Migrar estiver concluída, alterne o botão Recuperação de Site para gerenciar para ativá-lo novamente.

Quando você migra com êxito de uma conta Run As para uma conta Managed Identities, as seguintes alterações são refletidas nas contas Run As de automação:

  • A Identidade Gerenciada Atribuída pelo Sistema está habilitada para a conta (se ainda não estiver habilitada).
  • A permissão da função de Colaborador é atribuída à assinatura do cofre dos Serviços de Recuperação.
  • O script que atualiza o agente de mobilidade para usar a autenticação baseada em Identidade Gerenciada é atualizado.

Para vincular uma conta de Automação de identidade gerenciada existente ao seu cofre dos Serviços de Recuperação. Siga estes passos:

Habilitar a identidade gerenciada para o cofre

  1. Vá para a conta de automação que você selecionou. Em Definições da Conta, selecione Identidade.

    Captura de tela que mostra a página de configurações de identidade.

  2. No Sistema atribuído, altere o Status para Ativado e selecione Salvar.

    Um ID de objeto é gerado. O cofre agora está registrado no Azure Ative Directory. Captura de tela que mostra a página de configurações de identidade do sistema.

  3. Volte ao cofre dos serviços de recuperação. No painel esquerdo, selecione a opção Controle de acesso (IAM). Captura de tela que mostra a página de configurações do IAM.

  4. Selecione Adicionar>Colaborador Adicionar atribuição>de função para abrir a página Adicionar atribuição de função.

    Nota

    Depois que a conta de automação estiver definida, você poderá alterar a função da conta de Colaborador para Colaborador de Recuperação de Site.

  5. Na página Adicionar atribuição de função, certifique-se de selecionar Identidade gerenciada.

  6. Selecione os membros Selecionar. No painel Selecionar identidades gerenciadas, faça o seguinte:

    1. No campo Selecionar, insira o nome da conta de automação de identidade gerenciada.
    2. No campo Identidade gerenciada, selecione Todas as identidades gerenciadas atribuídas ao sistema.
    3. Selecione a opção Selecionar . Captura de tela que mostra a página de configurações de identidade gerenciada selecionadas.

  7. Selecione Rever + atribuir.

  8. Navegue até as configurações de atualização de extensão no Cofre dos Serviços de Recuperação, alterne o botão Recuperação de Site para gerenciar e ativá-lo novamente.

Próximos passos

Saiba mais sobre: