Gerenciar identidades gerenciadas e atribuídas pelo usuário

As identidades gerenciadas para recursos do Azure eliminam a necessidade de gerenciar credenciais no código. Você pode usá-los para obter um token do Azure AD (Azure Active Directory) que seus aplicativos podem usar ao acessar recursos que dão suporte à autenticação do Azure AD. O Azure gerencia a identidade para que você não tenha que fazê-lo.

Há dois tipos de identidades gerenciadas: atribuída pelo sistema e atribuída pelo usuário. A principal diferença entre os dois tipos é que as identidades gerenciadas atribuídas pelo sistema têm seu ciclo de vida vinculado ao recurso em que são usadas. As identidades gerenciadas atribuídas pelo usuário podem ser usadas em vários recursos. Para saber mais sobre identidades gerenciadas, confira O que são identidades gerenciadas para recursos do Azure?.

Neste artigo, você aprenderá a criar, listar, excluir ou atribuir uma função a uma identidade gerenciada atribuída pelo usuário usando o portal do Azure.

Pré-requisitos

Criar uma identidade gerenciada atribuída ao usuário

Para criar uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Administrador de identidade gerenciada.

  1. Entre no portal do Azure usando uma conta associada à assinatura do Azure para criar a identidade gerenciada atribuída pelo usuário.
  2. Na caixa de busca, insira Identidades gerenciadas. Em Serviços, selecione Identidades gerenciadas.
  3. Clique em Adicionar e insira valores nos seguintes campos no painel Criar identidade gerenciada atribuída pelo usuário:
    • Assinatura: escolha a assinatura para criar a identidade gerenciada atribuída ao usuário.
    • Grupo de recursos: escolha um grupo de recursos para criar a identidade gerenciada atribuída pelo usuário ou clique em Criar para criar um grupo de recursos.
    • Região: escolha uma região para implantar a identidade gerenciada atribuída pelo usuário, por exemplo Oeste dos EUA.
    • Nome: Esse é o nome da identidade gerenciada atribuída pelo usuário, por exemplo, UAI1.

Importante

Quando você cria identidades gerenciadas atribuídas pelo usuário, somente caracteres alfanuméricos (0-9, a-z, A-Z) e o hífen (-) têm suporte. Para que a atribuição a uma máquina virtual ou um conjunto de dimensionamento de máquinas virtuais funcione corretamente, o nome é limitado a 24 caracteres. Para mais informações, consulte Perguntas frequentes e problemas conhecidos

Captura de tela que mostra o painel Criar Identidade Gerenciada Atribuída pelo Usuário.

  1. Clique em Examinar + criar para examinar as alterações.
  2. Selecione Criar.

Listar identidades gerenciadas atribuídas ao usuário

Para listar ou ler uma identidade gerenciada atribuída pelo usuário, a conta precisa da atribuição de função Operador de Identidade Gerenciada ou Colaborador de Identidade Gerenciada.

  1. Entre no portal do Azure usando uma conta associada à assinatura do Azure para listar as identidades gerenciadas atribuídas pelo usuário.

  2. Na caixa de busca, insira Identidades gerenciadas. Em Serviços, selecione Identidades gerenciadas.

  3. Uma lista de identidades gerenciadas atribuídas ao usuário para a sua assinatura é retornada. Para ver os detalhes de uma identidade gerenciada atribuída pelo usuário, clique no nome.

    Captura de tela que mostra o painel Criar Identidade Gerenciada Atribuída pelo Usuário.

Excluir uma identidade gerenciada atribuída ao usuário

Para excluir uma identidade gerenciada atribuída ao usuário, a conta precisa da atribuição de função Colaborador de Identidade Gerenciada.

A exclusão de uma identidade atribuída pelo usuário não a remove da VM (máquina virtual) ou recurso ao qual ela foi atribuída. Para remover uma identidade atribuída pelo usuário de uma VM, confira Remover uma identidade gerenciada atribuída pelo usuário de uma VM.

  1. Entre no portal do Azure usando uma conta associada à assinatura do Azure para excluir a identidade gerenciada atribuída pelo usuário.

  2. Selecione a identidade gerenciada atribuída pelo usuário e clique em Excluir.

  3. Na caixa de confirmação, selecione Sim.

    Captura de tela que mostra o painel Criar Identidade Gerenciada Atribuída pelo Usuário.

Atribuir uma função a uma identidade gerenciada atribuída pelo usuário

Para atribuir uma função a uma identidade gerenciada atribuída ao usuário, a conta precisa da atribuição de função Administrador de Acesso do Usuário.

  1. Entre no portal do Azure usando uma conta associada à assinatura do Azure para listar as identidades gerenciadas atribuídas pelo usuário.

  2. Na caixa de busca, insira Identidades gerenciadas. Em Serviços, selecione Identidades gerenciadas.

  3. Uma lista de identidades gerenciadas atribuídas ao usuário para a sua assinatura é retornada. Selecione a identidade gerenciada atribuída pelo usuário à qual você deseja atribuir uma função.

  4. Selecione Controle de Acesso (IAM) e, em seguida, selecione Adicionar atribuição de função.

    Captura de tela que mostra o painel Criar Identidade Gerenciada Atribuída pelo Usuário.

  5. No painel Adicionar atribuição de função, configure os seguintes valores e selecione Salvar:

    • Função: a função a ser atribuída.
    • Atribuir acesso a: o recurso ao qual a identidade gerenciada atribuída pelo usuário será atribuída.
    • Selecionar: o membro ao qual o acesso será atribuído.

    Captura de tela que mostra o painel Criar Identidade Gerenciada Atribuída pelo Usuário IAM.

Neste artigo, você aprenderá a criar, listar, excluir ou atribuir uma função a uma identidade gerenciada atribuída pelo usuário usando a CLI do Azure.

Pré-requisitos

  • Use o ambiente Bash no Azure Cloud Shell.

    Inicie o Cloud Shell em uma nova janela

  • Se preferir, instale a CLI do Azure para executar comandos de referência da CLI.

    • Se estiver usando uma instalação local, entre com a CLI do Azure usando o comando az login. Para concluir o processo de autenticação, siga as etapas exibidas no terminal. Para mais opções de entrada, confira Entrar com a CLI do Azure.

    • Quando solicitado, instale as extensões da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar extensões com a CLI do Azure.

    • Execute az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para fazer a atualização para a versão mais recente, execute az upgrade.

Importante

Para modificar as permissões de usuário ao usar uma entidade de serviço de aplicativo usando a CLI, você deve fornecer as permissões adicionais da entidade de serviço na API do Graph do Azure AD porque partes da CLI executam solicitações GET em relação à API do Graph. Caso contrário, você pode acabar recebendo uma mensagem que diz “Privilégios insuficientes para concluir a operação”. Para fazer isso, você precisará entrar no Registro do aplicativo no Azure AD, selecione o aplicativo, depois Permissões de API e role a página para selecionar Grafo do Azure Active Directory. A partir daí, selecione Permissões do aplicativo, e adicione as permissões apropriadas.

Criar uma identidade gerenciada atribuída ao usuário

Para criar uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Administrador de identidade gerenciada.

Use o comando az identity create para criar uma identidade gerenciada atribuída ao usuário. O parâmetro -g especifica o grupo de recursos em que a identidade gerenciada atribuída pelo usuário foi criada. O parâmetro -n especifica o nome. Substitua os valores de parâmetro <RESOURCE GROUP> e <USER ASSIGNED IDENTITY NAME> pelos seus próprios valores.

Importante

Quando você cria identidades gerenciadas atribuídas pelo usuário, somente caracteres alfanuméricos (0-9, a-z, A-Z) e o hífen (-) têm suporte. Para que a atribuição a uma máquina virtual ou um conjunto de dimensionamento de máquinas virtuais funcione corretamente, o nome é limitado a 24 caracteres. Para mais informações, consulte Perguntas frequentes e problemas conhecidos

az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>

Listar identidades gerenciadas atribuídas ao usuário

Para listar ou ler uma identidade gerenciada atribuída pelo usuário, a conta precisa da atribuição de função Operador de Identidade Gerenciada ou Colaborador de Identidade Gerenciada.

Para listar as identidades gerenciadas atribuídas ao usuário, use o comando az identity list. Substitua o valor <RESOURCE GROUP> por seus próprios valores.

az identity list -g <RESOURCE GROUP>

Na resposta JSON, as identidades gerenciadas atribuídas pelo usuário têm valor "Microsoft.ManagedIdentity/userAssignedIdentities" retornado para a chave type.

"type": "Microsoft.ManagedIdentity/userAssignedIdentities"

Excluir uma identidade gerenciada atribuída ao usuário

Para excluir uma identidade gerenciada atribuída ao usuário, a conta precisa da atribuição de função Colaborador de Identidade Gerenciada.

Para excluir uma identidade gerenciada atribuída ao usuário, use o comando az identity delete. O parâmetro -n especifica o nome. O parâmetro -g especifica o grupo de recursos em que a identidade gerenciada atribuída pelo usuário foi criada. Substitua os valores de parâmetro <USER ASSIGNED IDENTITY NAME> e <RESOURCE GROUP> pelos seus próprios valores.

az identity delete -n <USER ASSIGNED IDENTITY NAME> -g <RESOURCE GROUP>

Observação

A exclusão de uma identidade gerenciada atribuída ao usuário não removerá a referência de nenhum recurso ao qual foi atribuída. Remova-os de uma VM ou conjunto de dimensionamento de máquinas virtuais usando o comando az vm/vmss identity remove.

Próximas etapas

Para obter uma lista completa de comandos de identidade da CLI do Azure, consulte az identity.

Para obter informações sobre como atribuir uma identidade gerenciada atribuída pelo usuário a uma VM do Azure, confira Configurar identidades gerenciadas para recursos do Azure em uma VM do Azure usando CLI do Azure.

Neste artigo, você aprenderá a criar, listar, excluir ou atribuir uma função a uma identidade gerenciada atribuída pelo usuário usando o PowerShell.

Pré-requisitos

Neste artigo, você aprenderá a criar, listar e excluir uma identidade gerenciada atribuída pelo usuário usando o PowerShell.

Configurar o Azure PowerShell localmente

Para usar o Azure PowerShell localmente para este artigo em vez de usar Cloud Shell:

  1. Instale a versão mais recente do Azure PowerShell se ainda não o fez.

  2. Entre no Azure.

    Connect-AzAccount
    
  3. Instale a versão mais recente do PowerShellGet.

    Install-Module -Name PowerShellGet -AllowPrerelease
    

    Talvez seja necessário Exit da sessão atual do PowerShell depois de executar esse comando para a próxima etapa.

  4. Instale a versão de pré-lançamento do módulo Az.ManagedServiceIdentity para executar as operações de identidade gerenciada atribuídas pelo usuário neste artigo.

    Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
    

Criar uma identidade gerenciada atribuída ao usuário

Para criar uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Administrador de identidade gerenciada.

Para criar uma identidade gerenciada atribuída pelo usuário, use o comando New-AzUserAssignedIdentity. O parâmetro ResourceGroupName especifica o grupo de recursos em que a identidade gerenciada atribuída pelo usuário foi criada. O parâmetro -Name especifica o nome. Substitua os valores de parâmetro <RESOURCE GROUP> e <USER ASSIGNED IDENTITY NAME> pelos seus próprios valores.

Importante

Quando você cria identidades gerenciadas atribuídas pelo usuário, somente caracteres alfanuméricos (0-9, a-z, A-Z) e o hífen (-) têm suporte. Para que a atribuição a uma máquina virtual ou um conjunto de dimensionamento de máquinas virtuais funcione corretamente, o nome é limitado a 24 caracteres. Para mais informações, consulte Perguntas frequentes e problemas conhecidos

New-AzUserAssignedIdentity -ResourceGroupName <RESOURCEGROUP> -Name <USER ASSIGNED IDENTITY NAME>

Listar identidades gerenciadas atribuídas ao usuário

Para listar ou ler uma identidade gerenciada atribuída pelo usuário, a conta precisa da atribuição de função Operador de Identidade Gerenciada ou Colaborador de Identidade Gerenciada.

Para listar as identidades gerenciadas atribuídas pelo usuário, use o comando [Get-AzUserAssigned]. O parâmetro -ResourceGroupName especifica o grupo de recursos em que a identidade gerenciada atribuída ao usuário foi criada. Substitua o valor <RESOURCE GROUP> por seus próprios valores.

Get-AzUserAssignedIdentity -ResourceGroupName <RESOURCE GROUP>

Na resposta, as identidades gerenciadas atribuídas pelo usuário têm valor "Microsoft.ManagedIdentity/userAssignedIdentities" retornado para a chave Type.

Type :Microsoft.ManagedIdentity/userAssignedIdentities

Excluir uma identidade gerenciada atribuída ao usuário

Para excluir uma identidade gerenciada atribuída ao usuário, a conta precisa da atribuição de função Colaborador de Identidade Gerenciada.

Para excluir uma identidade gerenciada atribuída pelo usuário, use o comando Remove-AzUserAssignedIdentity. O parâmetro -ResourceGroupName especifica o grupo de recursos onde a identidade atribuída pelo usuário foi criada. O parâmetro -Name especifica o nome. Substitua os valores de parâmetros <RESOURCE GROUP> e <USER ASSIGNED IDENTITY NAME> pelos seus próprios valores.

Remove-AzUserAssignedIdentity -ResourceGroupName <RESOURCE GROUP> -Name <USER ASSIGNED IDENTITY NAME>

Observação

A exclusão de uma identidade gerenciada atribuída ao usuário não removerá a referência de nenhum recurso ao qual foi atribuída. Atribuições de identidade devem ser removidas separadamente.

Próximas etapas

Para obter uma lista completa e mais detalhes sobre as identidades gerenciadas do Azure PowerShell para os comandos de recursos do Azure, confira Az.ManagedServiceIdentity.

Neste artigo, você cria uma identidade gerenciada atribuída pelo usuário usando um ARM (Azure Resource Manager).

Pré-requisitos

Você não pode listar e excluir uma identidade gerenciada atribuída pelo usuário usando um modelo do ARM. Consulte os artigos a seguir para criar e listar uma identidade gerenciada atribuída ao usuário:

Criação e edição de modelo

Assim como com o Portal do Azure e o script, os modelos do ARM permitem implantar recursos novos ou modificados definidos por um grupo de recursos do Azure. Há várias opções disponíveis para a edição e a implantação do modelo, tanto locais quanto baseadas em portal. Você pode:

Criar uma identidade gerenciada atribuída ao usuário

Para criar uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Administrador de identidade gerenciada.

Para criar uma identidade gerenciada atribuída ao usuário, use o modelo a seguir. Substitua o valor <USER ASSIGNED IDENTITY NAME> por seus próprios valores.

Importante

Quando você cria identidades gerenciadas atribuídas pelo usuário, somente caracteres alfanuméricos (0-9, a-z, A-Z) e o hífen (-) têm suporte. Para que a atribuição a uma máquina virtual ou um conjunto de dimensionamento de máquinas virtuais funcione corretamente, o nome é limitado a 24 caracteres. Para mais informações, consulte Perguntas frequentes e problemas conhecidos

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "resourceName": {
          "type": "string",
          "metadata": {
            "description": "<USER ASSIGNED IDENTITY NAME>"
          }
        }
  },
  "resources": [
    {
      "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
      "name": "[parameters('resourceName')]",
      "apiVersion": "2018-11-30",
      "location": "[resourceGroup().location]"
    }
  ],
  "outputs": {
      "identityName": {
          "type": "string",
          "value": "[parameters('resourceName')]"
      }
  }
}

Próximas etapas

Para obter informações sobre como atribuir uma identidade gerenciada atribuída pelo usuário a uma VM do Azure usando um modelo do ARM, confira Configurar identidades gerenciadas para recursos do Azure em uma VM do Azure usando um modelo.

Neste artigo, você aprenderá a criar, listar e excluir uma identidade gerenciada atribuída pelo usuário usando o REST.

Pré-requisitos

Neste artigo, você aprenderá como criar, listar e excluir uma identidade gerenciada atribuída pelo usuário usando CURL para fazer chamadas à API REST.

Obter um token de acesso de portador

  1. Se estiver em execução localmente, entre no Azure pela CLI do Azure.

    az login
    
  2. Obter um token de acesso usando az account get-access-token.

    az account get-access-token
    

Criar uma identidade gerenciada atribuída ao usuário

Para criar uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função Administrador de identidade gerenciada.

Importante

Quando você cria identidades gerenciadas atribuídas pelo usuário, somente caracteres alfanuméricos (0-9, a-z, A-Z) e o hífen (-) têm suporte. Para que a atribuição a uma máquina virtual ou um conjunto de dimensionamento de máquinas virtuais funcione corretamente, o nome é limitado a 24 caracteres. Para mais informações, consulte Perguntas frequentes e problemas conhecidos

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview' -X PUT -d '{"loc
ation": "<LOCATION>"}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"
PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview HTTP/1.1

Cabeçalhos de solicitação

Cabeçalho da solicitação Descrição
Content-Type Obrigatórios. Defina como application/json.
Autorização Obrigatórios. Defina como um Bearer token de acesso válido.

Corpo da solicitação

Nome Descrição
Location Obrigatórios. Local do recurso.

Listar identidades gerenciadas atribuídas ao usuário

Para listar ou ler uma identidade gerenciada atribuída pelo usuário, a conta precisa da atribuição de função Operador de Identidade Gerenciada ou Colaborador de Identidade Gerenciada.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities?api-version=2015-08-31-preview' -H "Authorization: Bearer <ACCESS TOKEN>"
GET https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities?api-version=2015-08-31-preview HTTP/1.1
Cabeçalho da solicitação Descrição
Content-Type Obrigatórios. Defina como application/json.
Autorização Obrigatórios. Defina como um Bearer token de acesso válido.

Excluir uma identidade gerenciada atribuída ao usuário

Para excluir uma identidade gerenciada atribuída ao usuário, a conta precisa da atribuição de função Colaborador de Identidade Gerenciada.

Observação

A exclusão de uma identidade gerenciada atribuída ao usuário não removerá a referência de nenhum recurso ao qual foi atribuída. Para remover uma identidade gerenciada atribuída pelo usuário de uma VM usando CURL, confira Remover uma identidade atribuída pelo usuário de uma VM do Azure.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview' -X DELETE -H "Authorization: Bearer <ACCESS TOKEN>"
DELETE https://management.azure.com/subscriptions/80c696ff-5efa-4909-a64d-f1b616f423ca/resourceGroups/TestRG/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview HTTP/1.1
Cabeçalho da solicitação Descrição
Content-Type Obrigatórios. Defina como application/json.
Autorização Obrigatórios. Defina como um Bearer token de acesso válido.

Próximas etapas

Para obter informações sobre como atribuir uma identidade gerenciada atribuída pelo usuário a uma VM do Azure ou conjunto de dimensionamento de máquinas virtuais usando CURL, confira: