Usar uma identidade gerenciada no Azure Kubernetes Fleet Manager

O Azure Kubernetes Fleet Manager usa uma identidade Microsoft Entra para acessar recursos do Azure, como redes virtuais do Azure, ou para gerenciar atividades em segundo plano de longa execução, como atualização automática de vários clusters.

Você pode usar uma identidade gerenciada para autorizar o acesso de um Fleet Manager a qualquer serviço que ofereça suporte à autorização do Microsoft Entra, sem a necessidade de gerenciar credenciais ou incluí-las em seu código. Você atribui uma função de controle de acesso baseado em função do Azure (Azure RBAC) à identidade gerenciada para conceder-lhe permissões a um recurso específico no Azure. Para obter mais informações sobre o RBAC do Azure, consulte O que é o controle de acesso baseado em função do Azure (Azure RBAC)?.

Este artigo mostra como habilitar os seguintes tipos de identidade gerenciada em um Gerenciador de Frota Kubernetes do Azure novo ou existente:

Identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema está associada a um único recurso do Azure, como um Fleet Manager. Existe apenas para o ciclo de vida do Gestor de Frota.
Identidade gerenciada atribuída pelo usuário. Uma identidade gerenciada atribuída pelo usuário é um recurso autônomo do Azure que um Fleet Manager pode usar para autorizar o acesso a outros serviços do Azure. Ele persiste separadamente do Fleet Manager e pode ser usado por vários recursos do Azure.

Para saber mais sobre identidades gerenciadas, consulte Identidades gerenciadas para recursos do Azure.

Antes de começar

Se você pretende usar a CLI do Azure, verifique se você tem a CLI do Azure versão 2.75.0 ou posterior instalada. Para localizar a versão, execute az --version. Se precisar de instalar ou atualizar, consulte Install Azure CLI.

Antes de executar os exemplos da CLI do Azure neste artigo, defina sua assinatura como a assinatura ativa atual chamando o comando az account set e passando sua ID de assinatura.

az account set --subscription <subscription-id>

Crie também um grupo de recursos do Azure se ainda não tiver um chamando o az group create comando.

az group create \
    --name myResourceGroup \
    --location westus2

Habilitar uma identidade gerenciada atribuída ao sistema

Uma identidade gerenciada atribuída ao sistema é uma identidade associada a um Fleet Manager ou outro recurso do Azure. A identidade gerenciada atribuída ao sistema está vinculada ao ciclo de vida do Fleet Manager. Quando o Fleet Manager é excluído, a identidade gerenciada atribuída ao sistema também é excluída.

O Fleet Manager pode usar a identidade gerenciada atribuída ao sistema para autorizar o acesso a outros recursos em execução no Azure e executar processos em segundo plano de longa execução. Você pode atribuir uma função RBAC do Azure à identidade gerenciada atribuída ao sistema para conceder permissões ao Fleet Manager para acessar recursos específicos. Por exemplo, se o seu Fleet Manager precisar gerenciar recursos de rede, você poderá atribuir à identidade gerenciada atribuída ao sistema uma função RBAC do Azure que conceda essas permissões.

Habilite uma identidade gerenciada atribuída ao sistema em um novo Fleet Manager

portal do Azure
Azure CLI

Quando você cria um novo Fleet Manager no portal do Azure, uma identidade gerenciada atribuída ao sistema é criada automaticamente.

Você pode verificar se a identidade gerenciada atribuída ao sistema está habilitada verificando a folha Identidade na seção Configurações do Fleet Manager. O Status está Ativado e o ID do Objeto (principal) é preenchido (não mostrado na imagem).

Crie um Fleet Manager usando o az fleet create comando, passando o --enable-managed-identity parâmetro para habilitar a identidade gerenciada atribuída ao sistema.

az fleet create \
    --resource-group myResourceGroup \
    --name myFleetName \
    --location westus2 \
    --enable-managed-identity

A saída do comando indica que o tipo de identidade é SystemAssigned e inclui o ID principal e o locatário.

{
  "eTag": "\"13003f4b-0000-1b00-0000-68900c3c0000\"",
  "hubProfile": null,
  "id": "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.ContainerService/fleets/myFleetName",
  "identity": {
    "principalId": "<principal-id>",
    "tenantId": "<tenant-id>",
    "type": "SystemAssigned",
    "userAssignedIdentities": null
  },
  "location": "westus2",
  "name": "flt-mgr-02",
  "provisioningState": "Succeeded",
  "resourceGroup": "myResourceGroup",
  "status": {
    "lastOperationError": null,
    "lastOperationId": "d31e866c-a3d3-46ab-8a97-094bc4672d35"
  },
  "systemData": {
    "createdAt": "2025-08-04T01:26:17.588030+00:00",
    "createdBy": "",
    "createdByType": "User",
    "lastModifiedAt": "2025-08-04T01:26:17.588030+00:00",
    "lastModifiedBy": "",
    "lastModifiedByType": "User"
  },
  "tags": null,
  "type": "Microsoft.ContainerService/fleets"
}

Atualizar um Gestor de Frota existente para utilizar uma identidade gerida atribuída pelo sistema

portal do Azure
Azure CLI

Pode gerir a identidade gerida pelo Fleet Manager utilizando a folha Identity na secção Definições do Fleet Manager.

Habilite a identidade gerenciada atribuída ao sistema definindo o status atribuído ao sistema como Ativado e selecionando Salvar.
Selecione Sim na caixa de diálogo de confirmação.
Após alguns momentos, o Status muda para Ativado e o ID do Objeto (principal) é preenchido (não mostrado na imagem).

Para atualizar um Fleet Manager existente para usar uma identidade gerenciada atribuída ao sistema, execute o comando az fleet update com o --enable-managed-identity parâmetro definido como true.

az fleet update \
    --resource-group myResourceGroup \
    --name myFleetName \
    --enable-managed-identity true

A saída do comando indica que o tipo de identidade é SystemAssigned e inclui o ID principal e o locatário.

{
  "eTag": "\"13003f4b-0000-1b00-0000-68900c3c0000\"",
  "hubProfile": null,
  "id": "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.ContainerService/fleets/myFleetName",
  "identity": {
    "principalId": "<principal-id>",
    "tenantId": "<tenant-id>",
    "type": "SystemAssigned",
    "userAssignedIdentities": null
  },
  "location": "westus2",
  "name": "flt-mgr-02",
  "provisioningState": "Succeeded",
  "resourceGroup": "myResourceGroup",
  "status": {
    "lastOperationError": null,
    "lastOperationId": "d31e866c-a3d3-46ab-8a97-094bc4672d35"
  },
  "systemData": {
    "createdAt": "2025-08-04T01:26:17.588030+00:00",
    "createdBy": "",
    "createdByType": "User",
    "lastModifiedAt": "2025-08-04T01:26:17.588030+00:00",
    "lastModifiedBy": "",
    "lastModifiedByType": "User"
  },
  "tags": null,
  "type": "Microsoft.ContainerService/fleets"
}

Adicionar uma atribuição de função para uma identidade gerenciada atribuída ao sistema

Você pode atribuir uma função RBAC do Azure à identidade gerenciada atribuída ao sistema para conceder permissões ao Fleet Manager em outro recurso do Azure. O RBAC do Azure dá suporte a definições de função internas e personalizadas que especificam níveis de permissões. Para obter mais informações sobre como atribuir funções RBAC do Azure, consulte Etapas para atribuir uma função do Azure.

Ao atribuir uma função RBAC do Azure a uma identidade gerenciada, você deve definir o escopo da função. Em geral, é uma prática recomendada limitar o escopo de uma função aos privilégios mínimos exigidos pela identidade gerenciada. Para obter mais informações sobre como definir o escopo das funções do RBAC do Azure, consulte Entender o escopo do RBAC do Azure.

Observação

Pode levar até 60 minutos para que as permissões concedidas à identidade gerenciada do seu Fleet Manager se propaguem.

portal do Azure
Azure CLI

Selecione a guia Atribuições de função do Azure na folha Identidade do Fleet Manager. Isso abre o painel de atribuições de função do Azure .
Selecione Adicionar atribuição de função para abrir o painel Adicionar atribuição de função e digite:
- Escopo - selecione Grupo de recursos.
- Assinatura - escolha a assinatura do Azure que contém o grupo de recursos que você deseja usar.
- Grupo de recursos - selecione o grupo de recursos.
- Função - escolha a função que pretende atribuir à identidade gerida atribuída pelo sistema do Gestor de Frotas (por exemplo, Colaborador de Rede).
Selecione Salvar para atribuir a função à identidade gerenciada atribuída ao sistema do Fleet Manager.

Obter a ID principal da identidade gerenciada atribuída ao sistema

Para atribuir uma função RBAC do Azure à identidade gerenciada atribuída ao sistema de um Fleet Manager, primeiro você precisa da ID principal da identidade gerenciada. Obtenha o ID principal para a identidade gerenciada atribuída ao sistema do Fleet Manager chamando o az fleet show comando.
```
# Get the principal ID for a system-assigned managed identity.
CLIENT_ID=$(az fleet show \
    --name myFleetName \
    --resource-group myResourceGroup \
    --query identity.principalId \
    --output tsv)
```
Atribuir uma função RBAC do Azure à identidade gerenciada atribuída ao sistema

Para conceder uma permissão de identidade gerenciada atribuída pelo sistema a um recurso no Azure, chame o az role assignment create comando para atribuir uma função RBAC do Azure à identidade gerenciada.

Por exemplo, atribua a Network Contributor função no grupo de recursos personalizado usando o az role assignment create comando. Para o --scope parâmetro, forneça o ID do recurso para o grupo de recursos para o Fleet Manager.
```
az role assignment create \
    --assignee $CLIENT_ID \
    --role "Network Contributor" \
    --scope "<fleet-manager-resource-group-id>"
```

Habilitar uma identidade gerenciada atribuída pelo usuário

Uma identidade gerenciada atribuída pelo usuário é um recurso autônomo do Azure. Quando você cria um Fleet Manager com uma identidade gerenciada atribuída pelo usuário, o recurso de identidade gerenciada atribuído pelo usuário deve existir antes da criação do Fleet Manager.

Criar uma identidade gerenciada atribuída pelo usuário

Se você ainda não tiver um recurso de identidade gerenciado atribuído pelo usuário, crie um usando o portal do Azure ou a CLI do Azure.

portal do Azure
Azure CLI

Siga as etapas na documentação de criação de uma identidade gerenciada atribuída pelo usuário.

Crie uma identidade gerida atribuída pelo utilizador.

Se você ainda não tiver um recurso de identidade gerenciado atribuído pelo usuário, crie um usando o az identity create comando.

az identity create \
    --name myIdentity \
    --resource-group myResourceGroup

Sua saída deve ser semelhante à saída de exemplo a seguir:

{                                  
  "clientId": "<client-id>",
  "clientSecretUrl": "<clientSecretUrl>",
  "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity", 
  "location": "westus2",
  "name": "myIdentity",
  "principalId": "<principal-id>",
  "resourceGroup": "myResourceGroup",                       
  "tags": {},
  "tenantId": "<tenant-id>",
  "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
}

Obter o ID principal da identidade gerenciada atribuída pelo usuário

Para obter o ID principal da identidade gerenciada atribuída pelo usuário, chame az identity show e consulte a principalId propriedade:
```
CLIENT_ID=$(az identity show \
    --name myIdentity \
    --resource-group myResourceGroup \
    --query principalId \
    --output tsv)
```
Obter o ID de recurso da identidade gerenciada atribuída pelo usuário

Para criar um Fleet Manager com uma identidade gerenciada atribuída pelo usuário, você precisa do ID de recurso para a nova identidade gerenciada. Para obter o ID de recurso da identidade gerenciada atribuída pelo usuário, chame az identity show e consulte a id propriedade:
```
RESOURCE_ID=$(az identity show \
    --name myIdentity \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)
```

Atribuir uma função RBAC do Azure à identidade gerenciada atribuída pelo usuário

Antes de criar o Fleet Manager, adicione uma atribuição de função para a identidade gerenciada.

Observação

Pode levar até 60 minutos para que as permissões concedidas à identidade gerenciada do seu Fleet Manager se propaguem.

portal do Azure
Azure CLI

Navegue até o recurso de identidade gerenciado.
Selecione a guia Atribuições de função do Azure na navegação à esquerda do recurso de identidade gerenciado. Isso abre o painel de atribuições de função do Azure .
Selecione Adicionar atribuição de função para abrir o painel Adicionar atribuição de função e digite:
- Escopo - selecione Grupo de recursos.
- Assinatura - escolha a assinatura do Azure que contém o grupo de recursos que você deseja usar.
- Grupo de recursos - selecione o grupo de recursos.
- Função - escolha a função que deseja atribuir à identidade gerenciada (por exemplo, Colaborador de Rede).
Selecione Salvar para atribuir a função à identidade gerenciada.

Use o az role assignment create comando para atribuir uma função à identidade gerenciada atribuída pelo usuário.

O exemplo a seguir atribui a função de Colaborador de Rede para conceder as permissões de identidade para acessar recursos de rede. A atribuição de função tem como escopo o grupo de recursos do Fleet Manager.

az role assignment create \
    --assignee $CLIENT_ID \
    --role "Network Contributor" \
    --scope "<fleet-manager-resource-group-id>"

Criar um Gestor de Frota com a identidade gerida atribuída pelo utilizador

Observação

As regiões USDOD Central, USDOD East e USGov Iowa na nuvem do Azure US Government não suportam a criação de um Fleet Manager com uma identidade gerenciada atribuída pelo usuário.

portal do Azure
Azure CLI

Não é possível criar um Fleet Manager com uma identidade gerenciada atribuída pelo usuário no portal do Azure. Você pode alterar o tipo de identidade do Fleet Manager para atribuído pelo usuário após a criação do Fleet Manager ou usar a CLI do Azure.

Crie um Fleet Manager com a identidade gerenciada atribuída pelo usuário usando o az fleet create comando com o --assign-identity parâmetro. Passe o ID do recurso para a identidade gerenciada atribuída pelo usuário:

az fleet create \
    --resource-group myResourceGroup \
    --name myFleetName \
    --assign-identity $RESOURCE_ID

Atualizar um Fleet Manager existente para utilizar uma identidade gerida atribuída pelo utilizador

portal do Azure
Azure CLI

Pode gerir a identidade gerida pelo Fleet Manager utilizando a folha Identity na secção Definições do Fleet Manager.

Alterne para a guia Identidade gerenciada atribuída pelo usuário selecionando Usuário atribuído.
Selecione + Adicionar para abrir o painel Adicionar identidade gerenciada atribuída ao usuário .
- Assinatura - escolha a assinatura do Azure que contém a identidade gerenciada atribuída pelo usuário que você deseja usar.
- Identidades gerenciadas atribuídas pelo usuário - procure a identidade gerenciada atribuída pelo usuário que você deseja usar.
Selecione Adicionar para adicionar a identidade gerenciada atribuída pelo usuário ao Fleet Manager.
Após alguns momentos, a lista atribuída ao usuário muda e a identidade gerenciada atribuída pelo usuário é listada.

Para atualizar um Fleet Manager existente para usar uma identidade gerenciada atribuída pelo usuário, chame o az fleet update comando. Inclua o --assign-identity parâmetro e passe o ID do recurso para a identidade gerenciada atribuída pelo usuário:

az fleet update \
    --resource-group myResourceGroup \
    --name myFleetName \
    --enable-managed-identity \
    --assign-identity $RESOURCE_ID

A saída para uma atualização bem-sucedida do Fleet Manager para usar uma identidade gerenciada atribuída pelo usuário deve ser semelhante à saída de exemplo a seguir:

  "identity": {
    "principalId": null,
    "tenantId": null,
    "type": "UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": {
        "clientId": "<client-id>",
        "principalId": "<principal-id>"
      }
    }
  },

Determinar o tipo de identidade gerenciada em uso

portal do Azure
Azure CLI

Pode verificar as definições de identidade gerida pelo Fleet Manager utilizando a folha Identidade na secção Definições do Fleet Manager.

Verifique as seções Sistema atribuído e Usuário atribuído para determinar qual tipo de identidade gerenciada está habilitada.

Para determinar que tipo de identidade gerenciada seu Fleet Manager existente está usando, chame o comando az fleet show e consulte a propriedade type da identidade.

az fleet show \
    --name myFleetName \
    --resource-group myResourceGroup \
    --query identity.type \
    --output tsv

A resposta é SystemAssigned ou UserAssigned.

Próximos passos

Use os modelos do Azure Resource Manager para criar um Fleet Manager habilitado para identidade gerenciada.

Feedback

Esta página foi útil?

Last updated on 2025-08-13

Partilhar via

Usar uma identidade gerenciada no Azure Kubernetes Fleet Manager

Antes de começar

Habilitar uma identidade gerenciada atribuída ao sistema

Habilite uma identidade gerenciada atribuída ao sistema em um novo Fleet Manager

Atualizar um Gestor de Frota existente para utilizar uma identidade gerida atribuída pelo sistema

Adicionar uma atribuição de função para uma identidade gerenciada atribuída ao sistema

Habilitar uma identidade gerenciada atribuída pelo usuário

Criar uma identidade gerenciada atribuída pelo usuário

Atribuir uma função RBAC do Azure à identidade gerenciada atribuída pelo usuário

Criar um Gestor de Frota com a identidade gerida atribuída pelo utilizador

Atualizar um Fleet Manager existente para utilizar uma identidade gerida atribuída pelo utilizador

Determinar o tipo de identidade gerenciada em uso

Próximos passos

Feedback

Recursos adicionais