Perguntas frequentes e problemas conhecidos com identidades gerenciadas para recursos do AzureFAQs and known issues with managed identities for Azure resources

Identidades gerenciadas para recursos do Azure é um recurso do Azure Active Directory.Managed identities for Azure resources is a feature of Azure Active Directory. Cada um dos serviços do Azure que dão suporte a identidades gerenciadas para recursos do Azure está sujeito à própria linha do tempo.Each of the Azure services that support managed identities for Azure resources are subject to their own timeline. Não deixe de examinar o status de disponibilidade das identidades gerenciadas do seu recurso e os problemas conhecidos antes de começar.Make sure you review the availability status of managed identities for your resource and known issues before you begin.

Perguntas frequentes (FAQs)Frequently Asked Questions (FAQs)

Observação

Identidades gerenciadas para recursos do Azure é o novo nome para o serviço anteriormente conhecido como MSI (Identidade de Serviço Gerenciada).Managed identities for Azure resources is the new name for the service formerly known as Managed Service Identity (MSI).

As identidades gerenciadas dos recursos do Azure funcionam com os serviços de nuvem do Azure?Does managed identities for Azure resources work with Azure Cloud Services?

Não, não há planos para suportar identidades gerenciadas para recursos do Azure no Azure Cloud Services.No, there are no plans to support managed identities for Azure resources in Azure Cloud Services.

As identidades gerenciadas dos recursos do Azure funcionam com a ADAL (Biblioteca de Autenticação do Active Directory) ou com a MSAL (Microsoft Authentication Library)?Does managed identities for Azure resources work with the Active Directory Authentication Library (ADAL) or the Microsoft Authentication Library (MSAL)?

Não, as identidades gerenciadas dos recursos do Azure ainda não estão integradas com o ADAL ou o MSAL.No, managed identities for Azure resources is not yet integrated with ADAL or MSAL. Para obter detalhes sobre como adquirir um token para identidades gerenciadas para recursos do Azure usando o ponto de extremidade REST, consulte como usar identidades gerenciadas para recursos do Azure em uma VM do Azure para adquirir um token de acesso.For details on acquiring a token for managed identities for Azure resources using the REST endpoint, see How to use managed identities for Azure resources on an Azure VM to acquire an access token.

O que é o limite de segurança de identidades gerenciadas para recursos do Azure?What is the security boundary of managed identities for Azure resources?

O limite de segurança da identidade é o recurso ao qual ele está anexado.The security boundary of the identity is the resource to which it is attached to. Por exemplo, o limite de segurança de uma Máquina Virtual com identidades gerenciadas para recursos do Azure ativados é a Máquina Virtual.For example, the security boundary for a Virtual Machine with managed identities for Azure resources enabled, is the Virtual Machine. Qualquer código em execução nessa VM pode chamar as identidades gerenciadas do ponto de extremidade de recursos do Azure e solicitar tokens.Any code running on that VM, is able to call the managed identities for Azure resources endpoint and request tokens. É a experiência semelhante com outros recursos que suportam identidades gerenciadas para recursos do Azure.It is the similar experience with other resources that support managed identities for Azure resources.

Qual identidade será o padrão IMDS se não for especificada a identidade na solicitação?What identity will IMDS default to if don't specify the identity in the request?

  • Se a identidade gerenciada atribuída do sistema estiver habilitada e nenhuma identidade for especificada na solicitação, o IMDS será o padrão para a identidade gerenciada atribuída ao sistema.If system assigned managed identity is enabled and no identity is specified in the request, IMDS will default to the system assigned managed identity.
  • Se a identidade gerenciada atribuída do sistema não e nenhum existir identidade gerenciada atribuída ao usuário, o IMDS padrão será a identidade gerenciada atribuída ao usuário único.If system assigned managed identity is not enabled, and only one user assigned managed identity exists, IMDS will default to that single user assigned managed identity.
  • Se a identidade gerenciada atribuída ao sistema não estiver habilitada e vários de usuário atribuídos a identidades gerenciadas existirem, é necessário, em seguida, especificar uma identidade gerenciada na solicitação.If system assigned managed identity is not enabled, and multiple user assigned managed identities exist, then specifying a managed identity in the request is required.

Devo usar as identidades gerenciadas para o ponto de extremidade IMDS de recursos do Azure ou o ponto de extremidade de extensão de VM?Should I use the managed identities for Azure resources IMDS endpoint or the VM extension endpoint?

Ao usar identidades gerenciadas para recursos do Azure com VMs, é recomendável usar o ponto de extremidade IMDS.When using managed identities for Azure resources with VMs, we recommend using the IMDS endpoint. O serviço de metadados de instância do Azure é um ponto de extremidade REST disponível para todas as VMs de IaaS criadas por meio do Azure Resource Manager.The Azure Instance Metadata Service is a REST Endpoint accessible to all IaaS VMs created via the Azure Resource Manager.

Alguns dos benefícios do uso de identidades gerenciadas para recursos do Azure sobre o IMDS são:Some of the benefits of using managed identities for Azure resources over IMDS are:

  • Todos os sistemas operacionais compatíveis com o Azure IaaS podem usar identidades gerenciadas para recursos do Azure por meio do IMDS.All Azure IaaS supported operating systems can use managed identities for Azure resources over IMDS.
  • Não é mais necessário instalar uma extensão em sua VM para ativar identidades gerenciadas para recursos do Azure.No longer need to install an extension on your VM to enable managed identities for Azure resources.
  • Os certificados usados por identidades gerenciadas para recursos do Azure não estão mais presentes na VM.The certificates used by managed identities for Azure resources are no longer present in the VM.
  • O ponto de extremidade IMDS é um endereço IP não roteável bastante conhecido, disponível somente de dentro da VM.The IMDS endpoint is a well-known non-routable IP address, only available from within the VM.
  • 1000 identidades gerenciadas atribuídas pelo usuário podem ser atribuídas a uma única VM.1000 user-assigned managed identities can be assigned to a single VM.

As identidades gerenciadas para extensão de VM de recursos do Azure ainda estão disponíveis; no entanto, não estamos mais desenvolvendo novas funcionalidades nele.The managed identities for Azure resources VM extension is still available; however, we are no longer developing new functionality on it. É recomendável alternar para usar o ponto de extremidade IMDS.We recommend switching to use the IMDS endpoint.

Algumas das limitações do uso do ponto de extremidade de extensão de VM são:Some of the limitations of using the VM extension endpoint are:

  • Suporte limitado para distribuições do Linux: CoreOS estável, CentOS 7,1, Red Hat 7,2, Ubuntu 15, 4, Ubuntu 16, 4Limited support for Linux distributions: CoreOS Stable, CentOS 7.1, Red Hat 7.2, Ubuntu 15.04, Ubuntu 16.04
  • Apenas 32 identidades gerenciadas atribuídas pelo usuário podem ser atribuídas à VM.Only 32 user-assigned managed identities can be assigned to the VM.

Observação: As identidades gerenciadas para extensão de VM de recursos do Azure ficarão sem suporte em janeiro de 2019.Note: The managed identities for Azure resources VM extension will be out of support in January 2019.

Para obter mais informações sobre o Azure Instance Metadata Service, consulte documentação do IMDSFor more information on Azure Instance Metadata Service, see IMDS documentation

Identidades gerenciadas serão recriadas automaticamente se eu mover uma assinatura para outro diretório?Will managed identities be recreated automatically if I move a subscription to another directory?

No. Se você mover uma assinatura para outro diretório, precisará recriá-los manualmente para conceder as atribuições de função de RBAC do Azure novamente.If you move a subscription to another directory, you will have to manually re-create them and grant Azure RBAC role assignments again.

  • Para sistema atribuído a identidades gerenciadas: desabilite e habilite novamente.For system assigned managed identities: disable and re-enable.
  • Para identidades gerenciadas atribuídas ao usuário: exclua, recrie e anexe-os novamente para os recursos necessários (por exemplo, máquinas virtuais)For user assigned managed identities: delete, re-create and attach them again to the necessary resources (e.g. virtual machines)

Posso usar uma identidade gerenciada para acessar um recurso em um diretório/locatário diferente?Can I use a managed identity to access a resource in a different directory/tenant?

No. Identidades gerenciadas não têm suporte a cenários entre diretórios.Managed identities do not currently support cross-directory scenarios.

Quais permissões do RBAC do Azure são necessárias para a identidade gerenciada em um recurso?What Azure RBAC permissions are required to managed identity on a resource?

  • Identidade gerenciada atribuída pelo sistema: Você precisa de permissões de gravação sobre o recurso.System-assigned managed identity: You need write permissions over the resource. Por exemplo, para máquinas virtuais, você precisa do Microsoft. Compute/virtualMachines/Write.For example, for virtual machines you need Microsoft.Compute/virtualMachines/write. Essa ação é incluída em funções internas específicas do recurso, como colaborador da máquina virtual.This action is included in resource specific built-in roles like Virtual Machine Contributor.
  • Identidade gerenciada atribuída pelo usuário: Você precisa de permissões de gravação sobre o recurso.User-assigned managed identity: You need write permissions over the resource. Por exemplo, para máquinas virtuais, você precisa do Microsoft. Compute/virtualMachines/Write.For example, for virtual machines you need Microsoft.Compute/virtualMachines/write. Além da atribuição de função de operador de identidade gerenciada sobre a identidade gerenciada.In addition to Managed Identity Operator role assignment over the managed identity.

Como você reinicia as identidades gerenciadas para a extensão de recursos do Azure?How do you restart the managed identities for Azure resources extension?

No Windows e em determinadas versões do Linux, se a extensão for interrompida, o cmdlet a seguir poderá ser usado para reiniciá-lo:On Windows and certain versions of Linux, if the extension stops, the following cmdlet may be used to manually restart it:

Set-AzVMExtension -Name <extension name>  -Type <extension Type>  -Location <location> -Publisher Microsoft.ManagedIdentity -VMName <vm name> -ResourceGroupName <resource group name> -ForceRerun <Any string different from any last value used>

Sendo que:Where:

  • O nome da extensão e tipo para o Windows é: ManagedIdentityExtensionForWindowsExtension name and type for Windows is: ManagedIdentityExtensionForWindows
  • O nome da extensão e tipo para o Linus é: ManagedIdentityExtensionForLinuxExtension name and type for Linux is: ManagedIdentityExtensionForLinux

Problemas conhecidosKnown issues

"Script de automação" falha ao tentar exportar esquemas para identidades gerenciadas para a extensão de recursos do Azure"Automation script" fails when attempting schema export for managed identities for Azure resources extension

Quando as identidades gerenciadas dos recursos do Azure são habilitadas em uma VM, o seguinte erro é exibido ao tentar usar o recurso "Script de automação" para a VM ou seu grupo de recursos:When managed identities for Azure resources is enabled on a VM, the following error is shown when attempting to use the “Automation script” feature for the VM, or its resource group:

Identidades gerenciadas para erro de exportação de script de automação de recursos do Azure

As identidades gerenciadas da extensão de VM dos recursos do Azure (que deverão ser preteridas em janeiro de 2019) não dão suporte atualmente à capacidade de exportar seu esquema para um modelo de grupo de recursos.The managed identities for Azure resources VM extension (planned for deprecation in January 2019) does not currently support the ability to export its schema to a resource group template. Como resultado, o modelo gerado não mostra parâmetros de configuração para habilitar identidades gerenciadas para recursos do Azure no recurso.As a result, the generated template does not show configuration parameters to enable managed identities for Azure resources on the resource. Essas seções podem ser adicionadas manualmente seguindo os exemplos em Configurar identidades gerenciadas para recursos do Azure em uma VM do Azure usando modelos.These sections can be added manually by following the examples in Configure managed identities for Azure resources on an Azure VM using a templates.

Quando a funcionalidade de exportação de esquema se torna disponível para as identidades gerenciadas da extensão de VM dos recursos do Azure (que deverão ser preteridas em janeiro de 2019), ela será listada em Exportando grupos de recursos que contêm extensões de VM.When the schema export functionality becomes available for the managed identities for Azure resources VM extension (planned for deprecation in January 2019), it will be listed in Exporting Resource Groups that contain VM extensions.

A VM falha ao iniciar depois de ser movida do grupo de recursos ou assinaturaVM fails to start after being moved from resource group or subscription

Se você mover uma máquina virtual no estado de execução, ela continua a ser executada durante a movimentação.If you move a VM in the running state, it continues to run during the move. No entanto, após a movimentação, se a VM for interrompida e reiniciada, ela falhará ao iniciar.However, after the move, if the VM is stopped and restarted, it will fail to start. Esse problema ocorre porque a VM não está atualizando a referência às identidades gerenciadas para a identidade de recursos do Azure e continua apontando para ela no grupo de recursos antigo.This issue happens because the VM is not updating the reference to the managed identities for Azure resources identity and continues to point to it in the old resource group.

Solução alternativaWorkaround

Acione uma atualização na VM para obter valores corretos para as identidades gerenciadas dos recursos do Azure.Trigger an update on the VM so it can get correct values for the managed identities for Azure resources. Você pode fazer uma alteração de propriedade de VM para atualizar a referência às identidades gerenciadas para a identidade de recursos do Azure.You can do a VM property change to update the reference to the managed identities for Azure resources identity. Por exemplo, você pode definir um novo valor de marca na VM com o seguinte comando:For example, you can set a new tag value on the VM with the following command:

 az  vm update -n <VM Name> -g <Resource Group> --set tags.fixVM=1

Este comando define uma nova marca "fixVM" com um valor 1 na VM.This command sets a new tag "fixVM" with a value of 1 on the VM.

Ao definir essa propriedade, a VM atualiza com as identidades gerenciadas corretas para o URI de recurso de recursos do Azure e, em seguida, você deve poder iniciar a VM.By setting this property, the VM updates with the correct managed identities for Azure resources resource URI, and then you should be able to start the VM.

Depois que a VM for iniciada, a marca poderá ser removida usando o seguinte comando:Once the VM is started, the tag can be removed by using following command:

az vm update -n <VM Name> -g <Resource Group> --remove tags.fixVM

Falha no provisionamento de extensão de VMVM extension provisioning fails

Provisionamento da extensão VM pode falhar devido a falhas de pesquisa de DNS.Provisioning of the VM extension might fail due to DNS lookup failures. Reinicie a VM e tente novamente.Restart the VM, and try again.

Observação

A extensão da VM está prevista para ser suspensa em janeiro de 2019.The VM extension is planned for deprecation by January 2019. Recomendamos que você mude para usar o endpoint do IMDS.We recommend you move to using the IMDS endpoint.

Transferindo uma assinatura entre diretórios do Azure Active DirectoryTransferring a subscription between Azure AD directories

Identidades gerenciadas não são atualizadas quando uma assinatura for movida/transferida para outro diretório.Managed identities do not get updated when a subscription is moved/transferred to another directory. Como resultado, quaisquer identidades gerenciadas atribuídas pelo sistema ou designadas pelo usuário serão quebradas.As a result, any existent system-assigned or user-assigned managed identities will be broken.

Solução alternativa para identidades gerenciadas em uma assinatura que foi movida para outro diretório:Workaround for managed identities in a subscription that has been moved to another directory:

  • Para sistema atribuído a identidades gerenciadas: desabilite e habilite novamente.For system assigned managed identities: disable and re-enable.
  • Para identidades gerenciadas atribuídas ao usuário: exclua, recrie e anexe-os novamente para os recursos necessários (por exemplo, máquinas virtuais)For user assigned managed identities: delete, re-create and attach them again to the necessary resources (e.g. virtual machines)

Movendo uma identidade gerenciada atribuída pelo usuário para um grupo de recursos/assinatura diferenteMoving a user-assigned managed identity to a different resource group/subscription

Movendo uma identidade gerenciada atribuída pelo usuário para outro grupo de recursos fará com que a identidade dividir.Moving a user-assigned managed identity to a different resource group will cause the identity to break. Como resultado, os recursos (por exemplo, VM) usando essa identidade não poderão solicitar tokens para ele.As a result, resources (e.g. VM) using that identity will not be able to request tokens for it.