Configurar uma identidade gerenciada para um centro de desenvolvimento

Este guia explica como adicionar e configurar uma identidade gerenciada no Centro de desenvolvimento dos Ambientes de Implantação do Azure para habilitar a implantação segura para as equipes de desenvolvimento.

Os Ambientes de Implantação do Azure usam identidades gerenciadas para fornecer às equipes de desenvolvimento recursos de implantação de autoatendimento sem dar a elas acesso às assinaturas nas quais os recursos do Azure são criados. Uma identidade gerenciada adiciona recursos de privilégios elevados e autenticação segura a qualquer serviço que dê suporte à autenticação do Microsoft Entra.

A identidade gerenciada anexada a um centro de desenvolvimento deve ser atribuída à função Colaborador e à função Administrador de acesso do usuário nas assinaturas de implantação aos tipos de ambiente. Quando uma implantação de ambiente é solicitada, o serviço concede as permissões apropriadas às identidades de implantação configuradas para o tipo de ambiente para implantar em nome do usuário. A identidade gerenciada anexada a um centro de desenvolvimento também é usada para adicionar a um catálogo e acessar definições de ambiente no catálogo.

Prerequisites

Adicionar uma identidade gerenciada

Nos Ambientes de Implantação Azure, é possível escolher entre dois tipos de identidades gerenciadas:

  • Identidade atribuída pelo sistema: uma identidade atribuída pelo sistema está vinculada ao centro de desenvolvimento ou ao tipo de ambiente do projeto. Uma identidade atribuída pelo sistema é excluída quando o recurso anexado é excluído. Um centro de desenvolvimento ou tipo de ambiente de projeto pode ter somente uma identidade atribuída pelo sistema.
  • Identidade atribuída pelo usuário: uma identidade atribuída pelo usuário é um recurso autônomo do Azure que você pode atribuir ao centro de desenvolvimento ou a um tipo de ambiente de projeto. Para os Ambientes de Implantação Azure, um centro de desenvolvimento ou um tipo de ambiente de projeto pode ter somente uma identidade atribuída pelo usuário.

Como prática recomendada de segurança, se você optar por usar identidades atribuídas pelo usuário, use identidades diferentes no seu projeto e no seu centro de desenvolvimento. As identidades do projeto devem ter acesso mais limitado aos recursos do que aos centros de desenvolvimento.

Note

Nos Ambientes de Implantação Azure, se você adicionar uma identidade atribuída pelo sistema e uma identidade atribuída pelo usuário, somente a identidade atribuída pelo usuário será usada.

Adicionar uma identidade gerenciada atribuída pelo sistema

  1. Entre no portal do Azure e acesse os Ambientes de Implantação do Azure.

  2. No menu à esquerda, selecione Centros de Desenvolvimento.

  3. Na página Centros de Desenvolvimento , selecione o centro de desenvolvimento.

  4. No menu à esquerda, em Configurações, selecione Identidade.

  5. Na guia Sistema atribuído, defina o Status para Ativado.

  6. Clique em Salvar.

    Captura de tela mostrando a identidade gerenciada atribuída pelo sistema.

  7. Na caixa de diálogo Habilitar identidade gerenciada atribuída pelo sistema, selecione Sim.

Adicionar uma identidade gerenciada atribuída pelo usuário

  1. Entre no portal do Azure e acesse os Ambientes de Implantação do Azure.

  2. No menu à esquerda, selecione Centros de Desenvolvimento.

  3. Na página Centros de Desenvolvimento , selecione o centro de desenvolvimento.

  4. No menu à esquerda, em Configurações, selecione Identidade.

  5. Na aba Atribuído pelo usuário, selecione Adicionar para vincular uma identidade existente.

    Captura de tela mostrando a identidade gerenciada atribuída pelo usuário.

  6. Em Adicionar identidade gerenciada atribuída pelo usuário, insira ou selecione as seguintes informações:

    1. Na Assinatura, selecione a assinatura na qual a identidade existe.
    2. Em Identidades gerenciadas atribuídas pelo usuário, selecione uma identidade existente.
    3. Selecione Adicionar.

Atribuir uma atribuição de função de assinatura

A identidade anexada ao centro de desenvolvimento deve receber as funções Colaborador e Administrador de Acesso do Usuário em todas as assinaturas de implantação e a função Leitor em todas as assinaturas que contenham o projeto relevante. Quando um usuário cria ou implanta um ambiente, o serviço concede à identidade de implantação anexada acesso apropriado ao tipo de ambiente de projeto. A identidade de implantação usa o acesso para executar implantações em nome do usuário. Você pode usar a identidade gerenciada para permitir que os desenvolvedores criem ambientes sem conceder-lhes acesso à assinatura.

Adicionar uma atribuição de função a uma identidade gerenciada atribuída pelo sistema

  1. No portal do Azure, navegue até seu centro de desenvolvimento nos Ambientes de Implantação do Azure.

  2. No menu à esquerda, em Configurações, selecione Identidade.

  3. Em Atribuído pelo sistema>Permissões, selecione Atribuições de função do Azure.

    Captura de tela mostrando a atribuição de função do Azure para identidade atribuída pelo sistema.

  4. Para conceder ao Colaborador acesso à assinatura, selecione Adicionar atribuição de função (versão prévia), insira ou selecione as seguintes informações e, em seguida, selecione Salvar:

    Name Value
    Scope Subscription
    Subscription Selecione a assinatura na qual a identidade gerenciada deve ser usada.
    Role Contributor

  5. Para conceder ao Administrador de Acesso do Usuário acesso à assinatura, selecione Adicionar atribuição de função (versão prévia), insira ou selecione as seguintes informações e, em seguida, selecione Salvar:

    Name Value
    Scope Subscription
    Subscription Selecione a assinatura na qual a identidade gerenciada deve ser usada.
    Role Administrador de Acesso do Usuário

Adicionar uma atribuição de função a uma identidade gerenciada atribuída pelo usuário

  1. No portal do Azure, navegue até seu centro de desenvolvimento.

  2. No menu à esquerda, em Configurações, selecione Identidade.

  3. Em Usuário atribuído, selecione o nome da identidade.

  4. No menu à esquerda, selecione atribuições de função do Azure.

  5. Para conceder ao Colaborador acesso à assinatura, selecione Adicionar atribuição de função (versão prévia), insira ou selecione as seguintes informações e, em seguida, selecione Salvar:

    Name Value
    Scope Subscription
    Subscription Selecione a assinatura na qual a identidade gerenciada deve ser usada.
    Role Contributor

  6. Para conceder ao Administrador de Acesso do Usuário acesso à assinatura, selecione Adicionar atribuição de função (versão prévia), insira ou selecione as seguintes informações e, em seguida, selecione Salvar:

    Name Value
    Scope Subscription
    Subscription Selecione a assinatura na qual a identidade gerenciada deve ser usada.
    Role Administrador de Acesso do Usuário

Permita o acesso da identidade gerenciada ao segredo do cofre de chaves

Você pode configurar o cofre de chaves para usar uma política de acesso do cofre de chaves ou o controle de acesso baseado em função do Azure.

Note

Antes de adicionar um repositório como um catálogo, você deve conceder à identidade gerenciada acesso ao segredo do cofre de chaves que contém o token de acesso pessoal do repositório.

Política de acesso do cofre de chaves

Warning

Para melhorar a segurança, use o modelo de permissões RBAC (Controle de Acesso Baseado em Funções) em vez de políticas de acesso ao administrar o Azure Key Vault. O RBAC restringe o gerenciamento de permissões apenas às funções 'Proprietário' e 'Administrador de Acesso do Usuário', garantindo uma separação clara entre tarefas administrativas e de segurança. Para obter mais informações, consulte o que é o RBAC do Azure? e o Guia do RBAC do Key Vault.

Com o modelo de permissão Política de Acesso, usuários com as funções Contributor, Key Vault Contributor ou qualquer função que inclua permissões Microsoft.KeyVault/vaults/write podem conceder a si mesmos acesso ao plano de dados configurando uma política de acesso do Key Vault. Isso pode resultar em acesso e gerenciamento não autorizados de seus cofres de chaves, chaves, segredos e certificados. Para reduzir esse risco, limite o acesso à função Colaborador a cofres de chaves ao usar o modelo Política de Acesso.

Se o cofre de chaves estiver configurado para usar uma política de acesso do cofre de chaves:

  1. No portal do Azure, acesse o cofre de chaves que contém o segredo com o token de acesso pessoal.

  2. No menu à esquerda, selecione Políticas de acesso e, em seguida, selecione Criar.

  3. Em Criar uma política de acesso, insira ou selecione as seguintes informações:

    1. Na guia Permissões , em Permissões secretas, selecione a caixa de seleção Obter e selecione Avançar.
    2. Na guia Principal , selecione a identidade anexada ao centro de desenvolvimento.
    3. Selecione Examinar e Criar e escolha Criar.

Controle de acesso baseado em função do Azure

Se o cofre de chaves estiver configurado para usar o controle de acesso baseado em função do Azure:

  1. No portal do Azure, acesse o cofre de chaves que contém o segredo com o token de acesso pessoal.

  2. No menu à esquerda, selecione Controle de acesso (IAM).

  3. Selecione a identidade e, no menu à esquerda, selecione atribuições de função do Azure.

  4. Selecione Adicionar atribuição de função, e, em seguida, insira ou selecione as seguintes informações:

    1. Em Escopo, selecione o cofre de chaves.
    2. Para Assinatura, selecione a assinatura que contém o Key Vault.
    3. Em Recurso, selecione o cofre de chaves.
    4. Para Função, selecione Usuário de Segredos do Key Vault.
    5. Clique em Salvar.

Conteúdo relacionado

  • Last updated on