Usar uma identidade gerenciada no Gerenciador de Frotas do Kubernetes do Azure

O Gerenciador de Frotas de Kubernetes do Azure usa uma identidade do Microsoft Entra para acessar recursos do Azure, como redes virtuais do Azure ou para gerenciar atividades em segundo plano de execução prolongada, como atualização automática de vários clusters.

Você pode usar uma identidade gerenciada para autorizar o acesso de um Fleet Manager a qualquer serviço que dê suporte à autorização do Microsoft Entra, sem a necessidade de gerenciar credenciais ou incluí-las em seu código. Você atribui uma função de RBAC (controle de acesso baseado em função) do Azure à identidade gerenciada para conceder permissões a um recurso específico no Azure. Para obter mais informações sobre o RBAC do Azure, consulte O que é o RBAC (controle de acesso baseado em função) do Azure?.

Este artigo mostra como habilitar os seguintes tipos de identidade gerenciada em um Gerenciador de Frotas de Kubernetes do Azure novo ou existente:

Identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída pelo sistema está associada a um único recurso do Azure, como um Fleet Manager. Ele existe apenas para o ciclo de vida do Fleet Manager.
Identidade gerenciada atribuída pelo usuário. Uma identidade gerenciada atribuída pelo usuário é um recurso autônomo do Azure que um Fleet Manager pode usar para autorizar o acesso a outros serviços do Azure. Ele persiste separadamente do Fleet Manager e pode ser usado por vários recursos do Azure.

Para saber mais sobre identidades gerenciadas, consulte Identidades gerenciadas para recursos do Azure.

Antes de começar

Se você pretende usar a CLI do Azure, verifique se você tem a CLI do Azure versão 2.75.0 ou posterior instalada. Para saber qual é a versão, execute az --version. Se você precisa instalar ou atualizar, consulte Instalar a CLI do Azure.

Antes de executar os exemplos da CLI do Azure neste artigo, defina sua assinatura como a assinatura ativa atual chamando o comando az account set e passando sua ID de assinatura.

az account set --subscription <subscription-id>

Crie também um grupo de recursos do Azure, se você ainda não tiver um, chamando o comando az group create.

az group create \
    --name myResourceGroup \
    --location westus2

Habilitar uma identidade gerenciada atribuída ao sistema

Uma identidade gerenciada atribuída pelo sistema é uma identidade associada a um Fleet Manager ou outro recurso do Azure. A identidade gerenciada atribuída pelo sistema está vinculada ao ciclo de vida do Fleet Manager. Quando o Fleet Manager é excluído, a identidade gerenciada atribuída pelo sistema também é excluída.

O Fleet Manager pode usar a identidade gerenciada atribuída pelo sistema para autorizar o acesso a outros recursos em execução no Azure e executar processos em segundo plano de execução prolongada. Você pode atribuir uma função RBAC do Azure à identidade gerenciada atribuída pelo sistema para conceder permissões ao Fleet Manager para acessar recursos específicos. Por exemplo, se o Fleet Manager precisar gerenciar recursos de rede, você poderá atribuir à identidade gerenciada atribuída pelo sistema uma função RBAC do Azure que concede essas permissões.

Habilitar uma identidade gerenciada atribuída pelo sistema em um novo Fleet Manager

Portal do Azure
Azure CLI

Quando você cria um novo Fleet Manager no portal do Azure, uma identidade gerenciada atribuída pelo sistema é criada automaticamente.

Você pode verificar se a identidade gerenciada atribuída pelo sistema está habilitada verificando a folha Identidade na seção Configurações do Fleet Manager. O status está ativado e a ID do objeto (principal) é preenchida (não mostrada na imagem).

Crie um Fleet Manager usando o az fleet create comando, passando o --enable-managed-identity parâmetro para habilitar a identidade gerenciada atribuída pelo sistema.

az fleet create \
    --resource-group myResourceGroup \
    --name myFleetName \
    --location westus2 \
    --enable-managed-identity

A saída do comando indica que o tipo de identidade é SystemAssigned e inclui a ID da entidade de segurança e o locatário.

{
  "eTag": "\"13003f4b-0000-1b00-0000-68900c3c0000\"",
  "hubProfile": null,
  "id": "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.ContainerService/fleets/myFleetName",
  "identity": {
    "principalId": "<principal-id>",
    "tenantId": "<tenant-id>",
    "type": "SystemAssigned",
    "userAssignedIdentities": null
  },
  "location": "westus2",
  "name": "flt-mgr-02",
  "provisioningState": "Succeeded",
  "resourceGroup": "myResourceGroup",
  "status": {
    "lastOperationError": null,
    "lastOperationId": "d31e866c-a3d3-46ab-8a97-094bc4672d35"
  },
  "systemData": {
    "createdAt": "2025-08-04T01:26:17.588030+00:00",
    "createdBy": "",
    "createdByType": "User",
    "lastModifiedAt": "2025-08-04T01:26:17.588030+00:00",
    "lastModifiedBy": "",
    "lastModifiedByType": "User"
  },
  "tags": null,
  "type": "Microsoft.ContainerService/fleets"
}

Atualizar um Fleet Manager existente para usar uma identidade gerenciada atribuída pelo sistema

Portal do Azure
Azure CLI

Você pode gerenciar a identidade gerenciada do Fleet Manager usando a folha Identidade na seção Configurações do Fleet Manager.

Habilite a identidade gerenciada atribuída pelo sistema definindo o status atribuído pelo sistema como Ativado e selecionando Salvar.
Selecione Sim na caixa de diálogo de confirmação.
Após alguns instantes, o Status muda para Ativado e a ID do Objeto (entidade de segurança) é preenchida (não mostrada na imagem).

Para atualizar um Fleet Manager existente para usar uma identidade gerenciada atribuída pelo sistema, execute o comando az fleet update com o --enable-managed-identity parâmetro definido como true.

az fleet update \
    --resource-group myResourceGroup \
    --name myFleetName \
    --enable-managed-identity true

A saída do comando indica que o tipo de identidade é SystemAssigned e inclui a ID da entidade de segurança e o locatário.

{
  "eTag": "\"13003f4b-0000-1b00-0000-68900c3c0000\"",
  "hubProfile": null,
  "id": "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.ContainerService/fleets/myFleetName",
  "identity": {
    "principalId": "<principal-id>",
    "tenantId": "<tenant-id>",
    "type": "SystemAssigned",
    "userAssignedIdentities": null
  },
  "location": "westus2",
  "name": "flt-mgr-02",
  "provisioningState": "Succeeded",
  "resourceGroup": "myResourceGroup",
  "status": {
    "lastOperationError": null,
    "lastOperationId": "d31e866c-a3d3-46ab-8a97-094bc4672d35"
  },
  "systemData": {
    "createdAt": "2025-08-04T01:26:17.588030+00:00",
    "createdBy": "",
    "createdByType": "User",
    "lastModifiedAt": "2025-08-04T01:26:17.588030+00:00",
    "lastModifiedBy": "",
    "lastModifiedByType": "User"
  },
  "tags": null,
  "type": "Microsoft.ContainerService/fleets"
}

Adicionar uma atribuição de função a uma identidade gerenciada atribuída pelo sistema

Você pode atribuir uma função RBAC do Azure à identidade gerenciada atribuída pelo sistema para conceder permissões ao Fleet Manager em outro recurso do Azure. O RBAC do Azure dá suporte a definições de função internas e personalizadas que especificam níveis de permissões. Para obter mais informações sobre como atribuir funções RBAC do Azure, consulte Etapas para atribuir uma função do Azure.

Ao atribuir uma função RBAC do Azure a uma identidade gerenciada, você deve definir o escopo da função. Em geral, é uma melhor prática limitar o escopo de uma função aos privilégios mínimos exigidos pela identidade gerenciada. Para obter mais informações sobre o escopo de funções RBAC do Azure, consulte Noções básicas sobre o escopo do RBAC do Azure.

Observação

Pode levar até 60 minutos para que as permissões concedidas à identidade gerenciada do Fleet Manager sejam propagadas.

Portal do Azure
Azure CLI

Selecione a guia atribuições de função do Azure na folha Identidade do Fleet Manager. Isso abre o painel atribuições de função do Azure .
Selecione Adicionar atribuição de função para abrir o painel Adicionar atribuição de função e insira:
- Escopo – selecione Grupo de recursos.
- Assinatura – escolha a assinatura do Azure que contém o grupo de recursos que você deseja usar.
- Grupo de recursos – selecione o grupo de recursos.
- Função – escolha a função que você deseja atribuir à identidade gerenciada atribuída pelo sistema do Fleet Manager (por exemplo, Colaborador de Rede).
Selecione Salvar para atribuir a função à identidade gerenciada atribuída pelo sistema do Fleet Manager.

Obter a ID da entidade de segurança da identidade gerenciada atribuída pelo sistema

Para atribuir uma função RBAC do Azure à identidade gerenciada atribuída pelo sistema do Fleet Manager, primeiro você precisa da ID da entidade de segurança para a identidade gerenciada. Obtenha a ID principal da identidade gerenciada atribuída pelo sistema do Fleet Manager chamando o az fleet show comando.
```
# Get the principal ID for a system-assigned managed identity.
CLIENT_ID=$(az fleet show \
    --name myFleetName \
    --resource-group myResourceGroup \
    --query identity.principalId \
    --output tsv)
```
Atribuir uma função RBAC do Azure à identidade gerenciada atribuída pelo sistema

Para conceder uma permissão de identidade gerenciada atribuída pelo sistema a um recurso no Azure, chame o az role assignment create comando para atribuir uma função RBAC do Azure à identidade gerenciada.

Por exemplo, atribua a função Network Contributor ao grupo de recursos personalizado usando o comando az role assignment create. Para o --scope parâmetro, forneça a ID do recurso para o grupo de recursos do Fleet Manager.
```
az role assignment create \
    --assignee $CLIENT_ID \
    --role "Network Contributor" \
    --scope "<fleet-manager-resource-group-id>"
```

Habilitar uma identidade gerenciada atribuída pelo usuário

Uma identidade gerenciada atribuída pelo usuário é um recurso autônomo do Azure. Quando você cria um Fleet Manager com uma identidade gerenciada atribuída pelo usuário, o recurso de identidade gerenciada atribuído pelo usuário deve existir antes da criação do Fleet Manager.

Criar uma identidade gerenciada atribuída ao usuário

Se você ainda não tiver um recurso de identidade gerenciada atribuído pelo usuário, crie um usando o portal do Azure ou a CLI do Azure.

Portal do Azure
Azure CLI

Siga as etapas na documentação criar uma identidade gerenciada atribuída pelo usuário.

Criar uma identidade gerenciada atribuída pelo usuário.

Se você ainda não tiver um recurso de identidade gerenciada atribuída pelo usuário, crie um usando o comando az identity create.

az identity create \
    --name myIdentity \
    --resource-group myResourceGroup

Sua saída deve ser parecida com o seguinte exemplo de saída:

{                                  
  "clientId": "<client-id>",
  "clientSecretUrl": "<clientSecretUrl>",
  "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity", 
  "location": "westus2",
  "name": "myIdentity",
  "principalId": "<principal-id>",
  "resourceGroup": "myResourceGroup",                       
  "tags": {},
  "tenantId": "<tenant-id>",
  "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
}

Obter a ID da entidade de segurança da identidade gerenciada atribuída pelo usuário

Para obter a ID principal da identidade gerenciada atribuída pelo usuário, chame az identity show e realize a consulta sobre a propriedade principalId.
```
CLIENT_ID=$(az identity show \
    --name myIdentity \
    --resource-group myResourceGroup \
    --query principalId \
    --output tsv)
```
Obter a ID do recurso da identidade gerenciada atribuída pelo usuário

Para criar um Fleet Manager com uma identidade gerenciada atribuída pelo usuário, você precisa da ID do recurso para a nova identidade gerenciada. Para obter a ID do recurso da identidade gerenciada atribuída pelo usuário, chame az identity show e consulte na id propriedade:
```
RESOURCE_ID=$(az identity show \
    --name myIdentity \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)
```

Atribuir uma função RBAC do Azure a uma identidade gerenciada atribuída pelo usuário

Antes de criar o Fleet Manager, adicione uma atribuição de função para a identidade gerenciada.

Observação

Pode levar até 60 minutos para que as permissões concedidas à identidade gerenciada do Fleet Manager sejam propagadas.

Portal do Azure
Azure CLI

Navegue até o recurso de identidade gerenciada.
Selecione a guia atribuições de função do Azure na navegação esquerda do recurso de identidade gerenciada. Isso abre o painel atribuições de função do Azure .
Selecione Adicionar atribuição de função para abrir o painel Adicionar atribuição de função e insira:
- Escopo – selecione Grupo de recursos.
- Assinatura – escolha a assinatura do Azure que contém o grupo de recursos que você deseja usar.
- Grupo de recursos – selecione o grupo de recursos.
- Função – escolha a função que você deseja atribuir à identidade gerenciada (por exemplo, Colaborador de Rede).
Selecione Salvar para atribuir a função à identidade gerenciada.

Use o az role assignment create comando para atribuir uma função à identidade gerenciada atribuída pelo usuário.

O exemplo a seguir atribui a função Colaborador de Rede para conceder as permissões de identidade para acessar recursos de rede. A atribuição de função tem como escopo o grupo de recursos do Fleet Manager.

az role assignment create \
    --assignee $CLIENT_ID \
    --role "Network Contributor" \
    --scope "<fleet-manager-resource-group-id>"

Criar um Fleet Manager com a identidade gerenciada atribuída pelo usuário

Observação

As regiões USDOD Central, USDOD Leste e USGov Iowa na nuvem do Governo dos EUA do Azure não dão suporte à criação de um Fleet Manager com uma identidade gerenciada atribuída pelo usuário.

Portal do Azure
Azure CLI

Você não pode criar um Fleet Manager com uma identidade gerenciada atribuída pelo usuário no portal do Azure. Você pode alterar o tipo de identidade do Fleet Manager para atribuído pelo usuário após a criação do Fleet Manager ou usar a CLI do Azure.

Crie um Fleet Manager com a identidade gerenciada atribuída pelo usuário usando o az fleet create comando com o --assign-identity parâmetro. Passe a ID do recurso para a identidade gerenciada atribuída pelo usuário:

az fleet create \
    --resource-group myResourceGroup \
    --name myFleetName \
    --assign-identity $RESOURCE_ID

Atualizar um Fleet Manager existente para usar uma identidade gerenciada atribuída pelo usuário

Portal do Azure
Azure CLI

Você pode gerenciar a identidade gerenciada do Fleet Manager usando a folha Identidade na seção Configurações do Fleet Manager.

Alterne para a guia de identidade gerenciada atribuída pelo usuário selecionando Usuário atribuído.
Selecione + Adicionar para abrir o painel Adicionar identidade gerenciada atribuída pelo usuário .
- Assinatura – escolha a assinatura do Azure que contém a identidade gerenciada atribuída pelo usuário que você deseja usar.
- Identidades gerenciadas atribuídas pelo usuário – pesquise a identidade gerenciada atribuída pelo usuário que você deseja usar.
Selecione Adicionar para adicionar a identidade gerenciada atribuída pelo usuário ao Fleet Manager.
Após alguns instantes, a lista atribuída pelo usuário muda e a identidade gerenciada atribuída pelo usuário é listada.

Para atualizar um Fleet Manager existente para usar uma identidade gerenciada atribuída pelo usuário, chame o az fleet update comando. Inclua o parâmetro --assign-identity e passe a ID do recurso para a identidade gerenciada atribuída pelo usuário:

az fleet update \
    --resource-group myResourceGroup \
    --name myFleetName \
    --enable-managed-identity \
    --assign-identity $RESOURCE_ID

A saída de uma atualização bem-sucedida do Fleet Manager para usar uma identidade gerenciada atribuída pelo usuário deve ser semelhante à seguinte saída de exemplo:

  "identity": {
    "principalId": null,
    "tenantId": null,
    "type": "UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": {
        "clientId": "<client-id>",
        "principalId": "<principal-id>"
      }
    }
  },

Determinar o tipo de identidade gerenciada em uso

Portal do Azure
Azure CLI

Você pode verificar as configurações de identidade gerenciada do Fleet Manager usando a folha Identidade na seção Configurações do Fleet Manager.

Verifique as seções atribuídas pelo sistema e pelo usuário para determinar qual tipo de identidade gerenciada está habilitada.

Para determinar qual tipo de identidade gerenciada o Fleet Manager existente está usando, chame o comando az fleet show e consulte a propriedade type da identidade.

az fleet show \
    --name myFleetName \
    --resource-group myResourceGroup \
    --query identity.type \
    --output tsv

A resposta é SystemAssigned ou UserAssigned.

Próximas etapas

Use modelos do Azure Resource Manager para criar um Fleet Manager habilitado para identidade gerenciada.

Comentários

Esta página foi útil?

Last updated on 2025-08-13

Compartilhar via

Usar uma identidade gerenciada no Gerenciador de Frotas do Kubernetes do Azure

Antes de começar

Habilitar uma identidade gerenciada atribuída ao sistema

Habilitar uma identidade gerenciada atribuída pelo sistema em um novo Fleet Manager

Atualizar um Fleet Manager existente para usar uma identidade gerenciada atribuída pelo sistema

Adicionar uma atribuição de função a uma identidade gerenciada atribuída pelo sistema

Habilitar uma identidade gerenciada atribuída pelo usuário

Criar uma identidade gerenciada atribuída ao usuário

Atribuir uma função RBAC do Azure a uma identidade gerenciada atribuída pelo usuário

Criar um Fleet Manager com a identidade gerenciada atribuída pelo usuário

Atualizar um Fleet Manager existente para usar uma identidade gerenciada atribuída pelo usuário

Determinar o tipo de identidade gerenciada em uso

Próximas etapas

Comentários

Recursos adicionais