Partilhar via

Criar e atribuir uma identidade gerenciada atribuída ao usuário

  • Artigo

Neste guia de instruções, você aprenderá a:

  • Crie uma Identidade Gerenciada Atribuída ao Usuário (UAMI) para o Serviço de Rede do Site (SNS).
  • Atribua as permissões de Identidade Gerenciada Atribuída pelo Usuário.

O requisito para uma Identidade Gerenciada Atribuída ao Usuário e as permissões necessárias dependem do NSD (Network Service Design) e devem ter sido comunicados a você pelo Designer de Serviços de Rede.

Pré-requisitos

  • Você deve ter criado uma função personalizada por meio de Criar uma função personalizada. Este artigo pressupõe que você nomeou a função personalizada 'Função personalizada - acesso do operador de serviço AOSM ao Publisher'.

  • O Designer de Serviços de Rede deve ter informado quais outras permissões sua Identidade Gerenciada requer e qual Versão de Definição de Função de Rede (NFDV) seu SNS usa.

  • Para executar essa tarefa, você precisa da função 'Proprietário' ou 'Administrador de Acesso de Usuário' sobre o recurso Versão de Definição de Função de Rede do Editor escolhido. Você também deve ter um Grupo de Recursos sobre o qual você tem a atribuição de função 'Proprietário' ou 'Administrador de Acesso de Usuário' para criar a Identidade Gerenciada e atribuir-lhe permissões.

Criar uma identidade gerenciada atribuída ao usuário

Crie uma identidade gerenciada atribuída ao usuário. Para obter detalhes, consulte Criar uma identidade gerenciada atribuída ao usuário para seu SNS.

Atribuir função personalizada

Atribua uma função personalizada à sua Identidade Gerenciada Atribuída pelo Usuário.

Escolher escopo para atribuir função personalizada

Os recursos do editor aos quais você precisa atribuir a função personalizada são:

  • A(s) versão(ões) de definição de função de rede

Você deve decidir se deseja atribuir a função personalizada individualmente a esse NFDV ou a um recurso pai, como o grupo de recursos do editor ou o Grupo de Definição de Função de Rede.

A aplicação a um recurso pai concede acesso a todos os recursos filho. Por exemplo, a aplicação a todo o grupo de recursos do editor dá à identidade gerenciada acesso a:

  • Todos os grupos e versões de definição de função de rede.

  • Todos os grupos e versões de design de serviço de rede.

  • Todos os esquemas do grupo de configuração.

As permissões de função personalizada limitam o acesso à lista de permissões mostrada aqui:

  • Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/ação de uso/

  • Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/read

  • Ação Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/use/

  • Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/read

  • Microsoft.HybridNetwork/Publishers/ConfigurationGroupSchemas/read

Nota

Não forneça acesso de gravação ou exclusão a nenhum desses recursos do editor.

Atribuir função personalizada

  1. Acesse o portal do Azure e abra o escopo escolhido; Grupo de Recursos do Publicador ou Versão de Definição de Função de Rede.

  2. No menu lateral deste item, selecione Controle de acesso (IAM).

  3. Escolha Adicionar atribuição de função.

    Captura de ecrã a mostrar a página de controlo de acesso do grupo de recursos do editor.

  4. Em Funções de função de trabalho, localize sua Função personalizada na lista e prossiga com Avançar.

    Captura de tela mostrando a tela adicionar atribuição de função.

  5. Selecione Identidade Gerenciada e, em seguida, Escolha + Selecionar Membros e localize e escolha sua nova identidade gerenciada. Escolha Selecionar.

    Captura de tela mostrando a atribuição de função adicionar e selecionar identidades gerenciadas.

  6. Selecione Rever e atribuir.

Repetir a atribuição de função

Repita as tarefas de atribuição de função para todos os escopos escolhidos.

Atribuir a função de Operador de Identidade Gerenciada à própria Identidade Gerenciada

  1. Vá para o portal do Azure e procure Identidades Gerenciadas.

  2. Selecione identity-for-nginx-sns na lista de Identidades Gerenciadas.

  3. No menu lateral, selecione Controle de acesso (IAM).

  4. Escolha Adicionar Atribuição de Função e selecione a função Operador de Identidade Gerenciada . Captura de tela mostrando a função Operador de Identidade Gerenciada adicionar atribuição de função.

  5. Selecione a função Operador de Identidade Gerenciada .

    Captura de tela mostrando a função Operador de Identidade Gerenciada.

  6. Selecione Identidade gerida.

  7. Selecione + Selecionar membros , navegue até a identidade gerenciada atribuída pelo usuário e prossiga com a atribuição.

    Captura de ecrã a mostrar o ecrã Adicionar atribuição de função com a opção Identidade gerida selecionada.

A conclusão de todas as tarefas descritas neste artigo garante que o Serviço de Rede de Site (SNS) tenha as permissões necessárias para funcionar efetivamente no ambiente do Azure especificado.

Atribuir outras permissões necessárias à Identidade Gerenciada

Repita esse processo para atribuir quaisquer outras permissões à Identidade Gerenciada identificada pelo Designer de Serviços de Rede.