Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A Automatização do Azure permite-lhe automatizar tarefas relativamente aos recursos no Azure, no local e outros fornecedores de serviços em nuvem, tais como os Amazon Web Services (AWS). Você pode usar runbooks para automatizar suas tarefas ou um Runbook Worker híbrido se tiver processos comerciais ou operacionais para gerenciar fora do Azure. Trabalhar em qualquer um desses ambientes requer permissões para acessar com segurança os recursos com os direitos mínimos necessários.
Este artigo aborda cenários de autenticação suportados pela Automação do Azure e explica como começar com base no ambiente ou ambientes que você precisa gerenciar.
Conta de automatização
Quando inicia a Automatização do Azure pela primeira vez, tem de criar pelo menos uma conta de Automatização. As contas de automação permitem isolar os seus recursos de automação, runbooks, ativos e configurações dos recursos de outras contas. Você pode usar contas de automação para separar recursos em ambientes lógicos separados ou responsabilidades delegadas. Por exemplo, poderá utilizar uma conta para o desenvolvimento, outra para a produção e outra para o seu ambiente no local.
Uma conta de automatização do Azure é diferente da sua conta Microsoft ou contas criadas na sua subscrição do Azure. Para obter uma introdução à criação de uma conta de automação, consulte Criar uma conta de automação.
Recursos de automatização
Os recursos de Automação para cada conta de Automação estão associados a uma única região do Azure, mas a conta pode gerenciar todos os recursos em sua assinatura do Azure. O principal motivo para criar contas de automação em regiões diferentes é se você tiver políticas que exijam que os dados e recursos sejam isolados em uma região específica.
Todas as tarefas que você cria em relação aos recursos usando o Gerenciador de Recursos do Azure e os cmdlets do PowerShell na Automação do Azure devem ser autenticadas no Azure usando a autenticação baseada em credenciais de identidade organizacional do Microsoft Entra.
Identidades geridas
Uma identidade gerida do Microsoft Entra ID permite que o seu runbook aceda, de forma simples, a outros recursos protegidos pelo Microsoft Entra ID. A identidade é gerida pela plataforma do Azure e não precisa que o utilizador aprovisione ou rode nenhuns segredos. Para obter mais informações sobre identidades gerenciadas no Microsoft Entra ID, consulte Identidades gerenciadas para recursos do Azure.
As identidades geridas são a forma recomendada de autenticação nos seus runbooks e são o método de autenticação predefinido para a sua conta de Automação.
Eis alguns dos benefícios da utilização das identidades geridas:
As identidades gerenciadas podem ser usadas sem qualquer custo adicional.
Pode aceder a recursos utilizando a identidade gerida da sua conta de automação a partir de um guião de execução, sem criar certificados, conexões, etc.
Uma conta de automação pode autenticar utilizando dois tipos de identidades geridas:
Uma identidade atribuída pelo sistema está associada à aplicação e será eliminada se a aplicação for eliminada. Uma aplicação só pode ter uma identidade atribuída pelo sistema.
Uma identidade atribuída pelo utilizador é um recurso autónomo do Azure que pode ser atribuído à aplicação. Uma aplicação pode ter várias identidades atribuídas pelo utilizador.
Nota
As identidades atribuídas pelo utilizador são suportadas apenas para trabalhos na cloud. Para saber mais sobre as diferentes identidades gerenciadas, consulte Gerenciar tipos de identidade.
Para obter detalhes sobre como usar identidades gerenciadas, consulte Habilitar identidade gerenciada para a Automação do Azure.
Permissões da subscrição
Precisa da permissão Microsoft.Authorization/*/Write. Esta permissão é obtida através da associação a uma das seguintes funções incorporadas do Azure:
Para saber mais sobre as permissões das subscrições clássicas, veja Administradores de subscrições clássicas do Azure.
Permissões do Microsoft Entra
Para renovar o principal de serviço, tem de ser membro de uma das seguintes funções incorporadas do Microsoft Entra:
A associação pode ser atribuída a TODOS os usuários no locatário no nível do diretório, que é o comportamento padrão. Pode conceder a associação a qualquer função ao nível do diretório. Para obter mais informações, veja Quem tem permissão para adicionar aplicações à minha instância do Microsoft Entra?
Permissões da conta de automação
Para atualizar a conta da Automatização, tem de ser membro de uma das seguintes funções da conta da Automatização:
Para saber mais sobre os modelos de implementação do Azure Resource Manager e Clássica, veja Resource Manager e implementação clássica.
Nota
As subscrições do Fornecedor de Soluções na Nuvem (CSP) do Azure suportam apenas o modelo do Azure Resource Manager. Os serviços que não são do Azure Resource Manager não estão disponíveis no programa. Para saber mais sobre assinaturas CSP, consulte Serviços disponíveis em assinaturas CSP.
Autenticação de runbook com o Hybrid Runbook Worker
Os runbooks executados em um Hybrid Runbook Worker em seu datacenter ou em serviços de computação em outros ambientes de nuvem, como a AWS, não podem usar o mesmo método que normalmente é usado para runbooks de autenticação em recursos do Azure. Isto acontece porque esses recursos estão a ser executados fora do Azure e, como tal, precisam das suas próprias credenciais de segurança definidas na Automatização para autenticar em recursos que acedem localmente. Para obter mais informações sobre a autenticação de runbooks com trabalhadores de runbooks, consulte Executar runbooks num Trabalhador Híbrido de Runbooks.
Para runbooks que usam Runbook Workers híbridos em VMs do Azure, você pode usar a autenticação de runbook com identidades gerenciadas para autenticar em seus recursos do Azure.
Próximos passos
- Para criar uma conta de Automação a partir do portal do Azure, consulte Criar uma conta de Automação do Azure independente.
- Se preferir criar sua conta usando um modelo, consulte Criar uma conta de automação usando um modelo do Azure Resource Manager.
- Para autenticação usando a Amazon Web Services, consulte Autenticar runbooks com a Amazon Web Services.
- Para obter uma lista dos serviços do Azure que suportam a funcionalidade de identidades geridas para recursos do Azure, veja Serviços que suportam as identidades geridas para recursos do Azure.