Entre no Azure PowerShell de forma não interativa para cenários de automação
Uma entidade de serviço no Azure é uma conta não interativa que fornece uma identidade usada por aplicativos, serviços e ferramentas de automação para acessar recursos específicos do Azure. A autenticação com uma entidade de serviço é a melhor maneira de escrever scripts seguros, pois eles atuam como uma identidade de segurança com permissões atribuídas que regem quais ações podem ser executadas e quais recursos podem ser acessados. As entidades de serviço ajudam a automatizar com segurança as tarefas de gerenciamento sem usar contas de usuário pessoais, facilitando um acesso mais seguro e gerenciável aos recursos do Azure. Como outras contas de usuário, você gerencia suas permissões com o Microsoft Entra. Ao conceder a um principal de serviço apenas as permissões de que aquele precisa, os seus scripts de automatização permanecem seguros.
Pré-requisitos
- Instale a versão mais recente do módulo Az PowerShell.
Login com uma identidade gerenciada
As identidades gerenciadas são um tipo especial de entidade de serviço que fornece aos serviços do Azure uma identidade gerenciada automaticamente. Usar esse tipo de identidade não requer o armazenamento de credenciais em configuração ou código para autenticar em qualquer serviço do Azure que ofereça suporte a identidades gerenciadas.
Existem dois tipos de identidades geridas:
- Identidade gerida atribuída pelo sistema
- Identidade gerida atribuída pelo utilizador
As identidades gerenciadas fornecem uma maneira segura de se comunicar com outros serviços do Azure sem que os desenvolvedores precisem gerenciar credenciais. Eles também ajudam a mitigar o risco de vazamentos de credenciais.
Veja como as identidades gerenciadas funcionam em cenários do mundo real:
- O Azure gerencia automaticamente a criação e a exclusão das credenciais usadas pela identidade gerenciada.
- Um serviço do Azure habilitado com uma identidade gerenciada pode acessar com segurança outros serviços, como o Cofre da Chave do Azure, o Banco de Dados SQL do Azure, o Armazenamento de Blobs do Azure, etc., usando tokens do Microsoft Entra.
- Essa identidade é gerenciada diretamente no Azure sem a necessidade de provisionamento adicional.
As identidades gerenciadas simplificam o modelo de segurança, evitando a necessidade de armazenar e gerenciar credenciais, e desempenham um papel crucial nas operações seguras na nuvem, reduzindo o risco associado ao tratamento de segredos.
Identidade gerida atribuída pelo sistema
O Azure cria automaticamente uma identidade gerenciada atribuída ao sistema para uma instância de serviço do Azure (como uma VM do Azure, Serviço de Aplicativo ou Azure Functions). Quando a instância de serviço é excluída, o Azure limpa automaticamente as credenciais e a identidade associada ao serviço.
O exemplo a seguir se conecta usando uma identidade gerenciada atribuída pelo sistema do ambiente host. Se executado em uma máquina virtual com uma identidade gerenciada atribuída, ele permite que o código entre usando a identidade atribuída.
Connect-AzAccount -Identity
Identidade gerida atribuída pelo utilizador
Uma identidade gerenciada atribuída pelo usuário é uma identidade que você cria e gerencia no Microsoft Entra. Ele pode ser atribuído a uma ou mais instâncias de serviço do Azure. O ciclo de vida de uma identidade gerenciada atribuída pelo usuário é gerenciado separadamente das instâncias de serviço às quais é atribuída.
Ao usar uma identidade gerenciada atribuída pelo usuário, você deve especificar o parâmetro AccountId e o parâmetro Identity , conforme mostrado no exemplo a seguir.
Connect-AzAccount -Identity -AccountId <user-assigned-identity-clientId-or-resourceId>
Os comandos a seguir se conectam usando a identidade gerenciada do myUserAssignedIdentity
. Ele adiciona a identidade atribuída pelo usuário à máquina virtual e, em seguida, se conecta usando o ClientId da identidade atribuída pelo usuário.
$identity = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name myUserAssignedIdentity
Get-AzVM -ResourceGroupName contoso -Name testvm | Update-AzVM -IdentityType UserAssigned -IdentityId $identity.Id
Connect-AzAccount -Identity -AccountId $identity.ClientId # Run on the virtual machine
Account SubscriptionName TenantId Environment
------- ---------------- -------- -----------
00000000-0000-0000-0000-000000000000 My Subscription 00000000-0000-0000-0000-000000000000 AzureCloud
Para obter mais informações, consulte Configurar identidades gerenciadas para recursos do Azure em uma VM do Azure.
Iniciar sessão com uma entidade de serviço
Para entrar com uma entidade de serviço, use o parâmetro ServicePrincipal do Connect-AzAccount
cmdlet. Você também precisará das seguintes informações para a entidade de serviço:
- AppId
- Credenciais de entrada ou acesso ao certificado usado para criar a entidade de serviço
- ID de Inquilino do
A forma como você entra com uma entidade de serviço depende se ela está configurada para autenticação baseada em certificado ou em senha.
Autenticação baseada em certificado
Para saber como criar uma entidade de serviço para o Azure PowerShell, consulte Criar uma entidade de serviço do Azure com o Azure PowerShell.
A autenticação baseada em certificado exige que o Azure PowerShell recupere informações de um armazenamento de certificados local com base em uma impressão digital de certificado.
Connect-AzAccount -ApplicationId $appId -Tenant $tenantId -CertificateThumbprint <thumbprint>
Ao usar uma entidade de serviço em vez de um aplicativo registrado, especifique o parâmetro ServicePrincipal e forneça o AppId da entidade de serviço como o valor para o parâmetro ApplicationId.
Connect-AzAccount -ServicePrincipal -ApplicationId $servicePrincipalId -Tenant $tenantId -CertificateThumbprint <thumbprint>
No Windows PowerShell 5.1, o armazenamento de certificados pode ser gerenciado e inspecionado com o módulo PKI . Para o PowerShell 7.x e posterior, o processo é diferente. Os scripts a seguir demonstram como importar um certificado existente para o armazenamento de certificados acessível pelo PowerShell.
Importar um certificado no PowerShell 7.x e posterior
# Import a PFX
$storeName = [System.Security.Cryptography.X509Certificates.StoreName]::My
$storeLocation = [System.Security.Cryptography.X509Certificates.StoreLocation]::CurrentUser
$store = [System.Security.Cryptography.X509Certificates.X509Store]::new($storeName, $storeLocation)
$certPath = <path to certificate>
$credentials = Get-Credential -Message "Provide PFX private key password"
$flag = [System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable
$certificate = [System.Security.Cryptography.X509Certificates.X509Certificate2]::new($certPath, $credentials.Password, $flag)
$store.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite)
$store.Add($Certificate)
$store.Close()
Importar um certificado no Windows PowerShell 5.1
# Import a PFX
$credentials = Get-Credential -Message 'Provide PFX private key password'
Import-PfxCertificate -FilePath <path to certificate> -Password $credentials.Password -CertStoreLocation cert:\CurrentUser\My
Autenticação baseada em palavra-passe
Crie uma entidade de serviço para usar com os exemplos desta seção. Para mais informações sobre como criar principais de serviço, consulte Criar um principal de serviço do Azure com o Azure PowerShell.
$sp = New-AzADServicePrincipal -DisplayName ServicePrincipalName
Atenção
O segredo da entidade de serviço fornecida é armazenado no AzureRmContext.json
arquivo em seu perfil de usuário ($env:USERPROFILE\.Azure
). Verifique se este diretório tem proteções apropriadas.
Para obter as credenciais da entidade de serviço como um objeto, use o Get-Credential
cmdlet. Este cmdlet solicita um nome de usuário e uma senha. Utilize o AppId
do principal de serviço para o nome de utilizador e converta o respetivo secret
em texto simples para a palavra-passe.
# Retrieve the plain text password for use with Get-Credential in the next command.
$sp.PasswordCredentials.SecretText
$pscredential = Get-Credential -UserName $sp.AppId
Connect-AzAccount -ServicePrincipal -Credential $pscredential -Tenant $tenantId
Para cenários de automatização, tem de criar as credenciais a partir de um AppId
e um SecretText
do principal de serviço:
$SecureStringPwd = $sp.PasswordCredentials.SecretText | ConvertTo-SecureString -AsPlainText -Force
$pscredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $sp.AppId, $SecureStringPwd
Connect-AzAccount -ServicePrincipal -Credential $pscredential -Tenant $tenantId
Use práticas apropriadas de armazenamento de senha ao automatizar as conexões da entidade de serviço.
Consulte também
- Criar uma entidade de serviço do Azure com o Azure PowerShell
- O que são identidades geridas para recursos do Azure?
- Atribuir um acesso de identidade gerenciado a um recurso usando o PowerShell
- Exibir a entidade de serviço de uma identidade gerenciada usando o PowerShell
- Connect-AzAccount
- Novo-AzADServicePrincipal
- Get-Credential
Azure PowerShell