Configurar identidades gerenciadas atribuídas pelo usuário ou pelo sistema

APLICA-SE A: Banco de dados do Azure para PostgreSQL – Servidor Flexível

Nesse artigo, você pode aprender como habilitar ou desabilitar uma identidade gerenciada atribuída pelo sistema para sua instância do servidor flexível do Banco de Dados do Azure para PostgreSQL. Você também pode aprender como adicionar ou remover uma ou mais identidades gerenciadas atribuídas pelo usuário à sua instância.

Habilitar a identidade gerenciada atribuída pelo sistema para servidores existentes

Portal

Usando o portal do Azure:

1. Localize o servidor no portal, caso você não esteja com ele aberto. Uma maneira de fazer isso é digitando o nome do servidor na barra de pesquisa. Quando o recurso com o nome correspondente for exibido, selecione-o.

   

2. No menu de recursos, em Segurança, selecione Identidade. Em seguida, na seção Identidade gerenciada atribuída pelo sistema, selecione a opção Ativado. Selecione Salvar.

   

3. Quando o processo for concluído, uma notificação informará que a identidade gerenciada atribuída pelo sistema está habilitada.

   

CLI

O comando atualização do servidor flexível az postgres ainda não fornece suporte integrado para habilitar e desabilitar a identidade gerenciada atribuída pelo sistema. Como solução alternativa, você pode usar o comando az rest para invocar diretamente a API REST Servidores - Atualização.

# Enable system assigned managed identity
subscriptionId=<subscription-id>
resourceGroup=<resource-group>
server=<server>
result=$(az postgres flexible-server show --resource-group $resourceGroup --name $server --query "identity.type" --output tsv)
if [ -z "$result" ]; then
    az rest --method patch --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DBforPostgreSQL/flexibleServers/$server?api-version=2024-08-01 --body '{"identity":{"type":"SystemAssigned"}}'
elif [ "$result" == "UserAssigned" ]; then
    az rest --method patch --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DBforPostgreSQL/flexibleServers/$server?api-version=2024-08-01 --body '{"identity":{"type":"SystemAssigned,UserAssigned"}}'
else
    echo "System Assigned Managed identity is already enabled."
fi

Desabilitar a identidade gerenciada atribuída pelo sistema para servidores existentes

Portal

Usando o portal do Azure:

1. Localize o servidor no portal, caso você não esteja com ele aberto. Uma maneira de fazer isso é digitando o nome do servidor na barra de pesquisa. Quando o recurso com o nome correspondente for exibido, selecione-o.

   

2. No menu de recursos, em Segurança, selecione Identidade. Em seguida, na seção Identidade gerenciada atribuída pelo sistema, selecione a opção Desativado. Selecione Salvar.

   

3. Quando o processo for concluído, uma notificação informará que a identidade gerenciada atribuída pelo sistema está desabilitada.

   

CLI

O comando atualização do servidor flexível az postgres ainda não fornece suporte integrado para habilitar e desabilitar a identidade gerenciada atribuída pelo sistema. Como solução alternativa, você pode usar o comando az rest para invocar diretamente a API REST Servidores - Atualização.

# Disable system assigned managed identity
subscriptionId=<subscription-id>
resourceGroup=<resource-group>
server=<server>
result=$(az postgres flexible-server show --resource-group $resourceGroup --name $server --query "identity.type" --output tsv)
if [ "$result" == "SystemAssigned" ]; then
    az rest --method patch --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DBforPostgreSQL/flexibleServers/$server?api-version=2024-08-01 --body '{"identity":{"type":"None"}}'
elif [ "$result" == "SystemAssigned,UserAssigned" ]; then
    echo "System Assigned Managed identity cannot be disabled as the instance has User Assigned Managed identities assigned."
else
    echo "System Assigned Managed identity is already disabled."
fi

Mostrar a identidade gerenciada atribuída pelo sistema

Portal

Usando o portal do Azure:

1. Localize o servidor no portal, caso você não esteja com ele aberto. Uma maneira de fazer isso é digitando o nome do servidor na barra de pesquisa. Quando o recurso com o nome correspondente for exibido, selecione-o.

   

2. No menu de recursos, em Visão geral, selecione Visualização JSON.

   

3. No painel Resource JSON que é aberto, encontre a propriedade identidade e, dentro dela, você pode encontrar o principalId e o tenantId para a identidade gerenciada atribuída pelo sistema.

   

CLI

# Show the system assigned managed identity
resourceGroup=<resource-group>
server=<server>
az postgres flexible-server identity list --resource-group $resourceGroup --server-name $server --query "{principalId:principalId, tenantId:tenantId}" --output table

Verifique a identidade gerenciada atribuída pelo sistema

Portal

Usando o portal do Azure:

1. Localize o serviço Aplicativos Corporativos no portal, caso ele não esteja aberto. Uma maneira de fazer isso é digitando o nome na barra de pesquisa. Quando o serviço com o nome correspondente for exibido, selecione-o.

   

2. Escolha Tipo de aplicativo == Identidade gerenciada.

3. Forneça o nome da sua instância do servidor flexível do Banco de Dados do Azure para PostgreSQL na caixa de texto Pesquisar por nome do aplicativo ou ID do objeto.

   

CLI

# Verify the system assigned managed identity
server=<server>
az ad sp list --display-name $server

Associar identidades gerenciadas atribuídas pelo usuário a servidores existentes

Esse artigo pressupõe que você criou as identidades gerenciadas atribuídas ao usuário que deseja associar a uma instância existente do servidor flexível do Banco de Dados do Azure para PostgreSQL.

Para obter mais informações, veja como gerenciar identidades gerenciadas atribuídas pelo usuário no Microsoft Entra ID.

Você pode associar quantas identidades gerenciadas atribuídas pelo usuário desejar a uma instância do servidor flexível do Banco de Dados do Azure para PostgreSQL.

Portal

Não há suporte para associar identidades gerenciadas atribuídas pelo usuário a uma instância do servidor flexível do Banco de Dados do Azure para PostgreSQL por meio do portal.

CLI

Você pode associar uma identidade atribuída ao usuário a uma instância do servidor flexível do Banco de Dados do Azure para PostgreSQL por meio do comando az postgres identidade do servidor flexível atribuir.

# Associate user assigned managed identity
resourceGroup=<resource-group>
server=<server>
identity=<identity>
az postgres flexible-server identity assign --resource-group $resourceGroup --server-name $server --identity $identity

Desassociar identidades gerenciadas atribuídas pelo usuário aos servidores existentes

O serviço oferece suporte à dissociação de identidades gerenciadas atribuídas ao usuário que estão associadas a uma instância do servidor flexível do Banco de Dados do Azure para PostgreSQL.

Uma exceção a essa regra é qualquer uma das identidades gerenciadas atribuídas ao usuário que são designadas como aquelas que devem ser usadas para acessar as chaves de criptografia. Esse caso só é possível em servidores que foram implantados com criptografia de dados usando chaves gerenciadas pelo cliente.

Portal

Não há suporte para dissociar identidades gerenciadas atribuídas ao usuário de uma instância do servidor flexível do Banco de Dados do Azure para PostgreSQL por meio do portal.

CLI

Você pode dissociar uma identidade atribuída ao usuário de uma instância do servidor flexível do Banco de Dados do Azure para PostgreSQL por meio do comando az postgres identidade do servidor flexível remover.

# Dissociate user assigned managed identity
resourceGroup=<resource-group>
server=<server>
identity=<identity>
az postgres flexible-server identity remove --resource-group $resourceGroup --server-name $server --identity $identity

Se você tentar remover uma identidade gerenciada atribuída ao usuário que é usada para acessar uma chave de criptografia de dados, você receberá o seguinte erro:

Cannot remove identity <identity> because it's used for data encryption.

Mostrar as identidades gerenciadas atribuídas ao usuário associado

Portal

Usando o portal do Azure:

1. Localize o servidor no portal, caso você não esteja com ele aberto. Uma maneira de fazer isso é digitando o nome do servidor na barra de pesquisa. Quando o recurso com o nome correspondente for exibido, selecione-o.

   

2. No menu de recursos, em Visão geral, selecione Visualização JSON.

   

3. No painel Resource JSON que se abre, encontre a propriedade identidade e, dentro dela, você pode encontrar o userAssignedIdentities. Esse objeto consiste em um ou mais pares de chave/valor, onde cada chave representa o identificador de recurso de uma identidade gerenciada atribuída pelo usuário, e seu valor correspondente é composto de principalId e clientId associados a essa identidade gerenciada.

   

CLI

# List all associated user assigned managed identities
resourceGroup=<resource-group>
server=<server>
az postgres flexible-server identity list --resource-group $resourceGroup --server-name $server --query "userAssignedIdentities"

Conteúdo relacionado

• Identidades gerenciadas no Banco de Dados do Azure para PostgreSQL - Servidor Flexível.
• Regras de firewall no Banco de Dados do Azure para PostgreSQL - Servidor Flexível.
• Acesso público e pontos de extremidade privados no Banco de Dados do Azure para PostgreSQL - Servidor Flexível.
• Integração de rede virtual no Banco de Dados do Azure para PostgreSQL - Servidor Flexível.