Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Uma identidade gerenciada no Azure fornece uma maneira segura e perfeita para aplicativos, serviços e ferramentas de automação acessarem recursos do Azure sem armazenar credenciais em código ou configuração. Ao contrário das entidades de serviço, que exigem o gerenciamento manual de credenciais, o Azure lida automaticamente com identidades gerenciadas e não expõe segredos confidenciais. Usar uma identidade gerenciada é a melhor prática para escrever scripts de automação seguros porque simplifica a autenticação e minimiza o risco de vazamentos de credenciais. As identidades gerenciadas também ajudam a automatizar tarefas de gerenciamento com segurança sem depender das identidades do usuário. As permissões para identidades gerenciadas são gerenciadas por meio do Microsoft Entra, garantindo que elas tenham apenas o acesso necessário aos recursos, melhorando a segurança e a manutenção.
Importante
A partir de setembro de 2025, o Azure PowerShell exigirá MFA (autenticação multifator) ao entrar com uma identidade de usuário do Microsoft Entra ID. Essa alteração aprimora a segurança, mas pode afetar fluxos de trabalho de automação que dependem da autenticação de nome de usuário e senha. Para obter mais informações, consulte o impacto da autenticação multifator no Azure PowerShell em cenários de automação.
Pré-requisitos
Fazer logon com uma identidade gerenciada
As identidades gerenciadas são um tipo especial de entidade de serviço que fornece aos serviços do Azure uma identidade gerenciada automaticamente. Usar esse tipo de identidade não requer o armazenamento de credenciais na configuração ou no código para autenticar em qualquer serviço do Azure que dê suporte a identidades gerenciadas.
Há dois tipos de identidades gerenciadas:
- Identidade gerenciada atribuída pelo sistema
- Identidade gerenciada atribuída pelo usuário
As identidades gerenciadas fornecem uma maneira segura de se comunicar com outros serviços do Azure sem que os desenvolvedores precisem gerenciar credenciais. Eles também ajudam a atenuar o risco de vazamentos de credenciais.
Veja como as identidades gerenciadas funcionam em cenários reais:
- O Azure gerencia automaticamente a criação e a exclusão das credenciais usadas pela identidade gerenciada.
- Um serviço do Azure habilitado com uma identidade gerenciada pode acessar com segurança outros serviços, como o Azure Key Vault, o Banco de Dados SQL do Azure, o Armazenamento de Blobs do Azure, etc., usando tokens do Microsoft Entra.
- Essa identidade é gerenciada diretamente no Azure sem precisar de provisionamento adicional.
As identidades gerenciadas simplificam o modelo de segurança evitando a necessidade de armazenar e gerenciar credenciais e desempenham um papel crucial em operações de nuvem seguras, reduzindo o risco associado ao tratamento de segredos.
Identidade gerenciada atribuída pelo sistema
O Azure cria automaticamente uma identidade gerenciada atribuída pelo sistema para uma instância de serviço do Azure (como uma VM do Azure, o Serviço de Aplicativo ou o Azure Functions). Quando a instância de serviço é excluída, o Azure limpa automaticamente as credenciais e a identidade associada ao serviço.
O exemplo a seguir se conecta usando uma identidade gerenciada atribuída pelo sistema do ambiente do host. Se executado em uma máquina virtual com uma identidade gerenciada atribuída, ele permite que o código entre usando a identidade atribuída.
Connect-AzAccount -Identity
Identidade gerenciada atribuída pelo usuário
Uma identidade gerenciada atribuída pelo usuário é uma identidade que você cria e gerencia no Microsoft Entra. Ele pode ser atribuído a uma ou mais instâncias de serviço do Azure. O ciclo de vida de uma identidade gerenciada atribuída pelo usuário é gerenciado separadamente das instâncias de serviço às quais ela é atribuída.
Ao usar uma identidade gerenciada atribuída pelo usuário, você deve especificar os parâmetros AccountId e Identity , conforme mostrado no exemplo a seguir.
Connect-AzAccount -Identity -AccountId <user-assigned-identity-clientId-or-resourceId>
Os comandos a seguir se conectam usando a identidade gerenciada de myUserAssignedIdentity. Ele adiciona a identidade atribuída pelo usuário à máquina virtual e, em seguida, conecta-se usando a ClientId da identidade atribuída pelo usuário.
$identity = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name myUserAssignedIdentity
Get-AzVM -ResourceGroupName contoso -Name testvm | Update-AzVM -IdentityType UserAssigned -IdentityId $identity.Id
Connect-AzAccount -Identity -AccountId $identity.ClientId # Run on the virtual machine
Account SubscriptionName TenantId Environment
------- ---------------- -------- -----------
00000000-0000-0000-0000-000000000000 My Subscription 00000000-0000-0000-0000-000000000000 AzureCloud
Para obter mais informações, consulte Configurar identidades gerenciadas para recursos do Azure em uma VM do Azure.
Fazer logon com uma entidade de serviço
Para entrar com uma entidade de serviço, use o parâmetro ServicePrincipal do Connect-AzAccount cmdlet. Você também precisará das seguintes informações para a entidade de serviço:
- AppId
- Credenciais de entrada ou acesso ao certificado usado para criar a entidade de serviço
- ID do locatário
Como você entra com uma entidade de serviço depende se ela está configurada para autenticação baseada em certificado ou senha.
Autenticação baseada em certificado
Para saber como criar uma entidade de serviço para o Azure PowerShell, consulte Criar uma entidade de serviço do Azure com o Azure PowerShell.
A autenticação baseada em certificado requer que o Azure PowerShell recupere informações de um repositório de certificados local com base em uma impressão digital de certificado.
Connect-AzAccount -ApplicationId $appId -Tenant $tenantId -CertificateThumbprint <thumbprint>
Ao usar uma entidade de serviço em vez de um aplicativo registrado, especifique o parâmetro ServicePrincipal e forneça o AppId da entidade de serviço como o valor para o parâmetro ApplicationId .
Connect-AzAccount -ServicePrincipal -ApplicationId $servicePrincipalId -Tenant $tenantId -CertificateThumbprint <thumbprint>
No Windows PowerShell 5.1, o repositório de certificados pode ser gerenciado e inspecionado com o módulo PKI . Para o PowerShell 7.x e posterior, o processo é diferente. Os scripts a seguir demonstram como importar um certificado existente para o repositório de certificados acessível pelo PowerShell.
Importar um certificado no PowerShell 7.x e posterior
# Import a PFX
$storeName = [System.Security.Cryptography.X509Certificates.StoreName]::My
$storeLocation = [System.Security.Cryptography.X509Certificates.StoreLocation]::CurrentUser
$store = [System.Security.Cryptography.X509Certificates.X509Store]::new($storeName, $storeLocation)
$certPath = <path to certificate>
$credentials = Get-Credential -Message "Provide PFX private key password"
$flag = [System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable
$certificate = [System.Security.Cryptography.X509Certificates.X509Certificate2]::new($certPath, $credentials.Password, $flag)
$store.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite)
$store.Add($Certificate)
$store.Close()
Importar um certificado no Windows PowerShell 5.1
# Import a PFX
$credentials = Get-Credential -Message 'Provide PFX private key password'
Import-PfxCertificate -FilePath <path to certificate> -Password $credentials.Password -CertStoreLocation cert:\CurrentUser\My
Autenticação baseada em senha
Crie uma entidade de serviço para usar com os exemplos nesta seção. Para obter mais informações sobre como criar entidades de serviço, consulte Criar uma entidade de serviço do Azure com o Azure PowerShell.
$sp = New-AzADServicePrincipal -DisplayName ServicePrincipalName
Cuidado
O segredo da entidade de serviço fornecida é armazenado no AzureRmContext.json arquivo em seu perfil de usuário ($env:USERPROFILE\.Azure). Verifique se esse diretório tem proteções apropriadas.
Para obter as credenciais da entidade de serviço como um objeto, use o Get-Credential cmdlet. Esse cmdlet solicita um nome de usuário e uma senha. Use as entidades de AppId serviço para o nome de usuário e converta-a secret em texto sem formatação para a senha.
# Retrieve the plain text password for use with Get-Credential in the next command.
$sp.PasswordCredentials.SecretText
$pscredential = Get-Credential -UserName $sp.AppId
Connect-AzAccount -ServicePrincipal -Credential $pscredential -Tenant $tenantId
Para cenários de automação, você precisa criar credenciais de uma entidade AppId de serviço e SecretText:
$SecureStringPwd = $sp.PasswordCredentials.SecretText | ConvertTo-SecureString -AsPlainText -Force
$pscredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $sp.AppId, $SecureStringPwd
Connect-AzAccount -ServicePrincipal -Credential $pscredential -Tenant $tenantId
Use as práticas apropriadas de armazenamento de senha ao automatizar conexões de entidade de serviço.
Consulte também
- Criar um principal de serviço do Azure com o Azure PowerShell
- O que são identidades gerenciadas para recursos do Azure?
- Atribuir um acesso de identidade gerenciada a um recurso usando o PowerShell
- Exibir a entidade de serviço de uma identidade gerenciada usando o PowerShell
- Connect-AzAccount
- New-AzADServicePrincipal
- Get-Credential
Colaborar conosco no GitHub
A fonte deste conteúdo pode ser encontrada no GitHub, onde você também pode criar e revisar problemas e solicitações de pull. Para obter mais informações, confira o nosso guia para colaboradores.
Azure PowerShell