Partilhar via

Configurar uma identidade gerenciada para um centro de desenvolvimento

Este guia explica como adicionar e configurar uma identidade gerenciada para seu centro de desenvolvimento de Ambientes de Implantação do Azure para habilitar a implantação segura para equipes de desenvolvimento.

Os Ambientes de Implantação do Azure usam identidades gerenciadas para fornecer às equipes de desenvolvimento recursos de implantação de autoatendimento sem dar a elas acesso às assinaturas nas quais os recursos do Azure são criados. A managed identity adds elevated-privileges capabilities and secure authentication to any service that supports Microsoft Entra authentication.

A identidade gerenciada anexada a um centro de desenvolvimento deve receber a função de Colaborador e a função de Administrador de Acesso de Usuário nas assinaturas de implantação para cada tipo de ambiente. Quando uma implantação de ambiente é solicitada, o serviço concede permissões apropriadas para as identidades de implantação configuradas para que o tipo de ambiente seja implantado em nome do usuário. The managed identity attached to a dev center also is used to add to a catalog and access environment definitions in the catalog.

Prerequisites

Adicionar uma identidade gerenciada

Nos Ambientes de Implantação do Azure, você pode escolher entre dois tipos de identidades gerenciadas:

  • System-assigned identity: A system-assigned identity is tied either to your dev center or to the project environment type. Uma identidade atribuída ao sistema é excluída quando o recurso anexado é excluído. Um centro de desenvolvimento ou um tipo de ambiente de projeto pode ter apenas uma identidade atribuída ao sistema.
  • User-assigned identity: A user-assigned identity is a standalone Azure resource that you can assign to your dev center or to a project environment type. Para Ambientes de Implantação do Azure, um centro de desenvolvimento ou um tipo de ambiente de projeto pode ter apenas uma identidade atribuída pelo usuário.

Como prática recomendada de segurança, se você optar por usar identidades atribuídas pelo usuário, use identidades diferentes para seu projeto e para seu centro de desenvolvimento. As identidades de projeto devem ter acesso mais limitado aos recursos do que os centros de desenvolvimento.

Note

Nos Ambientes de Implantação do Azure, se você adicionar uma identidade atribuída ao sistema e uma identidade atribuída pelo usuário, somente a identidade atribuída pelo usuário será usada.

Adicionar uma identidade gerenciada atribuída ao sistema

  1. Sign in to the Azure portal and go to Azure Deployment Environments.

  2. In the left menu, select Dev centers.

  3. On the Dev centers page, select your dev center.

  4. In the left menu, under Settings, select Identity.

  5. On the System assigned tab, set Status to On.

  6. Select Save.

    Captura de tela que mostra a identidade gerenciada atribuída ao sistema.

  7. Na caixa de diálogo Ativar identidade gerenciada atribuída ao sistema, selecione Sim.

Adicionar uma identidade gerenciada atribuída pelo usuário

  1. Sign in to the Azure portal and go to Azure Deployment Environments.

  2. In the left menu, select Dev centers.

  3. On the Dev centers page, select your dev center.

  4. On the left menu, under Settings, select Identity.

  5. On the User assigned tab, select Add to attach an existing identity.

    Captura de tela que mostra a identidade gerenciada atribuída pelo usuário.

  6. Em Adicionar identidade gerenciada atribuída ao usuário, insira ou selecione as seguintes informações:

    1. On Subscription, select the subscription in which the identity exists.
    2. Em Identidades gerenciadas atribuídas ao usuário, selecione uma identidade existente.
    3. Select Add.

Atribuir uma atribuição de função em subscrição

A identidade anexada ao centro de desenvolvimento deve receber as funções de Colaborador e Administrador de Acesso de Usuário para todas as assinaturas de implantação e a função Leitor para todas as assinaturas que contêm o projeto relevante. Quando um usuário cria ou implanta um ambiente, o serviço concede acesso apropriado à identidade de implantação anexada ao tipo de ambiente do projeto. A identidade de implantação usa o acesso para executar implantações em nome do usuário. Você pode usar a identidade gerenciada para permitir que os desenvolvedores criem ambientes sem conceder-lhes acesso à assinatura.

Adicionar uma atribuição de função a uma identidade gerenciada atribuída pelo sistema

  1. No portal do Azure, navegue até o centro de desenvolvimento em Azure Deployment Environments.

  2. In the left menu, under Settings, select Identity.

  3. Under System assigned>Permissions, select Azure role assignments.

    Captura de tela que mostra a atribuição de função do Azure para identidade atribuída ao sistema.

  4. Para conceder acesso de Colaborador à assinatura, selecione Adicionar atribuição de função (Visualização), insira ou selecione as seguintes informações e selecione Salvar:

    Name Value
    Scope Subscription
    Subscription Selecione a assinatura na qual usar a identidade gerenciada.
    Role Contributor

  5. Para conceder acesso de Administrador de Acesso de Usuário à assinatura, selecione Adicionar atribuição de função (Visualização), insira ou selecione as seguintes informações e selecione Salvar:

    Name Value
    Scope Subscription
    Subscription Selecione a assinatura na qual usar a identidade gerenciada.
    Role Administrador de Acesso dos Utilizadores

Adicionar uma atribuição de função a uma identidade gerenciada atribuída pelo usuário

  1. No portal do Azure, navegue até o centro de desenvolvimento.

  2. In the left menu, under Settings, select Identity.

  3. Under User assigned, select the identity name.

  4. No menu à esquerda, selecione Atribuições de função do Azure.

  5. Para conceder acesso de Colaborador à assinatura, selecione Adicionar atribuição de função (Visualização), insira ou selecione as seguintes informações e selecione Salvar:

    Name Value
    Scope Subscription
    Subscription Selecione a assinatura na qual usar a identidade gerenciada.
    Role Contributor

  6. Para conceder acesso de Administrador de Acesso de Usuário à assinatura, selecione Adicionar atribuição de função (Visualização), insira ou selecione as seguintes informações e selecione Salvar:

    Name Value
    Scope Subscription
    Subscription Selecione a assinatura na qual usar a identidade gerenciada.
    Role Administrador de Acesso dos Utilizadores

Conceder à identidade gerenciada acesso ao segredo do cofre de chaves

Você pode configurar seu cofre de chaves para usar uma política de acesso ao cofre de chaves ou um controle de acesso baseado em função do Azure.

Note

Antes de adicionar um repositório como catálogo, você deve conceder à identidade gerenciada acesso ao segredo do cofre de chaves que contém o token de acesso pessoal do repositório.

Política de acesso do cofre de chaves

Warning

Para maior segurança, use o modelo de permissão Controle de Acesso Baseado em Função (RBAC) em vez de políticas de acesso ao gerir o Cofre de Chaves do Azure. O RBAC restringe o gerenciamento de permissões apenas às funções 'Proprietário' e 'Administrador de Acesso de Usuário', garantindo uma separação clara entre tarefas administrativas e de segurança. Para obter mais informações, consulte O que é o RBAC do Azure? e o Guia RBAC do Cofre de Chaves.

Com o modelo de permissão da Política de Acesso, os utilizadores com Contributor, Key Vault Contributor ou qualquer função que inclua permissões Microsoft.KeyVault/vaults/write podem conceder a si próprios acesso ao plano de dados configurando uma política de acesso ao Azure Key Vault. Isso pode resultar em acesso não autorizado e gerenciamento de seus cofres de chaves, chaves, segredos e certificados. Para reduzir esse risco, limite o acesso da função de Colaborador aos cofres de chaves ao usar o modelo de Política de Acesso.

Se o cofre de chaves estiver configurado para usar uma política de acesso ao cofre de chaves:

  1. No portal do Azure, vá para o cofre de chaves que contém o segredo com o token de acesso pessoal.

  2. In the left menu, select Access policies, and then select Create.

  3. Em Criar uma política de acesso, insira ou selecione as seguintes informações:

    1. On the Permissions tab, under Secret permissions, select the Get checkbox, and then select Next.
    2. On the Principal tab, select the identity that's attached to the dev center.
    3. Selecione Rever + criar e, em seguida, selecione Criar.

Controlo de acesso baseado em funções do Azure

Se o cofre de chaves estiver configurado para usar o controlo de acesso baseado em funções do Azure:

  1. No portal do Azure, vá para o cofre de chaves que contém o segredo com o token de acesso pessoal.

  2. No menu à esquerda, selecione Controle de acesso (IAM).

  3. Selecione a identidade e, no menu à esquerda, selecione Atribuições de função do Azure.

  4. Selecione Adicionar atribuição de função e insira ou selecione as seguintes informações:

    1. For Scope, select the key vault.
    2. For Subscription, select the subscription that contains the key vault.
    3. For Resource, select the key vault.
    4. For Role, select Key Vault Secrets User.
    5. Select Save.

Related content

  • Last updated on