Utilizar identidades geridas para o Azure com o Azure Monitor SCOM Managed Instance
Um desafio comum ao criar aplicações na cloud é como gerir de forma segura as credenciais no seu código para autenticar vários serviços sem guardá-los localmente numa estação de trabalho de programador ou no controlo de código fonte.
As identidades geridas do Azure resolvem este problema para todos os seus recursos no Azure Active Directory ao fornecer-lhes identidades geridas automaticamente. Pode utilizar a identidade de um serviço para autenticar qualquer serviço que suporte a autenticação do Azure Active Directory, incluindo o Key Vault, sem ordenar as credenciais no código.
Nota
- As identidades geridas do Azure são o novo nome do serviço anteriormente conhecido como Identidade de Serviço Gerida (MSI).
- As identidades geridas dos recursos do Azure são gratuitas com o Azure Active Directory para subscrições do Azure. Não há custo extra.
Conceitos
As identidades geridas do Azure baseiam-se em vários conceitos-chave:
ID de Cliente – um identificador exclusivo gerado pelo Azure Active Directory que está associado a uma aplicação e principal de serviço durante o aprovisionamento inicial. Para obter mais informações, veja ID da aplicação (cliente).
ID principal – o ID de objeto do objeto do principal de serviço da identidade gerida que é utilizado para conceder acesso baseado em funções a um recurso do Azure.
Principal de Serviço – um objeto do Azure Active Directory, que representa a projeção de uma aplicação do Azure Active Directory num determinado inquilino. Para obter mais informações, veja Principal de serviço.
Tipos de identidade gerida
Existem dois tipos de identidades geridas:
Identidade gerida atribuída pelo sistema: ativada diretamente numa instância de serviço do Azure. O ciclo de vida de uma identidade atribuída pelo sistema é exclusivo da instância de serviço do Azure na qual está ativada.
Identidade gerida atribuída pelo utilizador: criada como um recurso autónomo do Azure. A identidade pode ser atribuída a uma ou mais instâncias de serviço do Azure e é gerida separadamente dos ciclos de vida dessas instâncias.
Para obter mais informações sobre os tipos de identidade gerida, veja Como funcionam as identidades geridas dos recursos do Azure?.
Cenários suportados para a Instância Gerida do SCOM
A Instância Gerida do SCOM suporta a Identidade Gerida Atribuída pelo Sistema e a Identidade Gerida Atribuída pelo Utilizador para as Instâncias Geridas do SCOM implementadas no Azure. A Instância Gerida do SCOM cria outros recursos de dependência, como o cluster de Conjuntos de Dimensionamento de Máquinas Virtuais (VMSS) para servidores de gestão de anfitriões. A Instância Gerida do SCOM integrou as Identidades geridas com HOBO v2 para que a Identidade atribuída seja delegada à infraestrutura subjacente para autenticação com recursos sink. Estas Identidades são utilizadas para autenticar outros serviços do Azure em diferentes cenários.
Identidade Gerida Atribuída pelo Sistema
- A Instância Gerida do SCOM enviará diferentes métricas de estado de funcionamento ou desempenho para os serviços do Cluster geneva, monitorizando o comportamento da instância no tempo de execução. A Identidade Atribuída do sistema, delegada ao recurso da Instância Gerida do SCOM, será utilizada para autenticar com os serviços do Cluster do Azure Geneva.
Identidade Gerida Atribuída pelo Utilizador
Para a Instância Gerida do SCOM, uma Identidade Gerida substituirá as quatro contas de serviço tradicionais do System Center Operations Manager e será utilizada para aceder à base de dados SQL Managed Instance. A Instância Gerida do SCOM lê/escreve dados de monitorização da carga de trabalho do cliente em bases de dados de instância gerida do SQL. A Identidade Atribuída pelo Utilizador atribuída ao recurso da Instância Gerida do SCOM será utilizada para autenticação a partir de servidores do System Center Operations Manager para a instância gerida do SQL.
O processo de integração da Instância Gerida do SCOM utiliza as credenciais de utilizador de domínio armazenadas no Cofre de Chaves do Cliente. Os segredos no Cofre de Chaves do Cliente são acedidos com a identidade gerida atribuída à Instância Gerida do SCOM.
Durante a integração da Instância Gerida do SCOM, tem de fornecer a Identidade Gerida pelo Utilizador, que tem acesso ao Cofre de Chaves do Cliente e SQL Managed Instance.
Criar uma Identidade de Serviço Gerida (MSI)
Crie uma identidade de Serviço Gerido e forneça-lhe o nível de acesso certo no recurso do Azure.
Criar um Cofre de chaves e adicionar Credenciais como segredo no Cofre de chaves
Armazene a conta de domínio que criar no Active Directory numa conta do Key Vault por motivos de segurança. O Azure Key Vault é um serviço cloud que fornece um arquivo seguro para chaves, segredos e certificados. Para obter mais informações, veja Cofre de chaves do Azure.
- Crie um Cofre de chaves.
- Crie um Segredo para a conta de domínio.
- Atribua uma função de Leitor neste cofre de chaves à Identidade de Serviço Gerida (MSI). Para obter mais informações, veja Atribuir uma política de acesso do Key Vault.
Defina o valor de Administração do Active Directory no SQL Managed Instance
Defina o valor de Administração do Active Directory na SQL Managed Instance.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários