Compartilhar via

Migrar de uma conta Executar como para Identidades Gerenciadas

  • Artigo

Importante

  • A Conta Executar Como da Automação do Azure foi desativada em 30 de setembro de 2023 e substituída por Identidades Gerenciadas. Recomendamos começar a migrar seus runbooks para usar identidades gerenciadas. Para obter mais informações, veja migrar de uma conta Executar como existente para identidade gerenciada.
  • Atrasar o recurso tem um impacto direto em nossa carga de suporte, pois isso faria com que as atualizações do agente de mobilidade falhassem.

Este artigo mostra como migrar seus runbooks para usar Identidades Gerenciadas para o Azure Site Recovery. Contas da Automação do Azure são usadas pelos clientes do Azure Site Recovery para atualizar automaticamente os agentes de suas máquinas virtuais protegidas. O Site Recovery cria Contas Executar como da Automação do Azure ao habilitar a replicação por meio da folha VM IaaS e do Cofre dos Serviços de Recuperação.

No Azure, as identidades gerenciadas eliminam a necessidade de os desenvolvedores precisarem gerenciar credenciais fornecendo uma identidade para o recurso do Azure no Microsoft Entra ID e a usando para obter tokens do Microsoft Entra.

Pré-requisitos

Antes de migrar de uma conta Executar como para uma identidade gerenciada, verifique se você tem as funções apropriadas para criar uma identidade atribuída pelo sistema para sua conta de automação e atribuí-la à função Proprietário no cofre de serviços de recuperação correspondente.

Observação

Você pode usar a mesma conta de automação em vários cofres de serviços de recuperação, no entanto, tanto a conta de automação quanto o cofre de serviços de recuperação devem estar na mesma região.

Benefícios das identidades gerenciadas

Aqui estão alguns dos benefícios de usar identidades gerenciadas:

  • Acesso a credenciais - Você não precisa gerenciar credenciais.
  • Autenticação simplificada – Você pode usar identidades gerenciadas para se autenticar em qualquer recurso que dê suporte à autenticação do Microsoft Entra, incluindo seus próprios aplicativos.
  • Econômico - As identidades gerenciadas podem ser usadas sem custo extra.
  • Criptografia dupla - A identidade gerenciada também é usada para criptografar/descriptografar dados e metadados usando a chave gerenciada pelo cliente armazenada no Azure Key Vault, fornecendo a criptografia dupla.

Observação

Identidades gerenciadas para recursos do Azure é o novo nome para o serviço anteriormente conhecido como MSI (Identidade de Serviço Gerenciada).

Migrar de uma conta Executar como existente para uma identidade gerenciada

Configurar identidades gerenciadas

Você pode configurar suas identidades gerenciadas por meio de:

  • Portal do Azure
  • CLI do Azure
  • seu modelo do ARM (Azure Resource Manager)

Observação

Para mais informações sobre a cadência de migração e a linha do tempo de suporte para criação de conta executar como e renovação de certificado, confira as perguntas frequentes.

Do portal do Azure

Para migrar seu tipo de autenticação de conta da Automação do Azure para a autenticação de conta Executar como para uma identidade gerenciada, sigas estas etapas:

  1. No portal do Azure, selecione o cofre dos serviços de recuperação para o qual você deseja migrar os runbooks.

  2. Na home page do cofre dos serviços de recuperação, faça o seguinte:

    1. No painel esquerdo, em Gerenciar, selecione Infraestrutura do Site Recovery. Captura de tela da página **Infraestrutura do Site Recovery**.

    2. Em Para máquinas virtuais do Azure, selecione Configurações de atualização de extensão. Esta página detalha o tipo de autenticação da conta de automação que está sendo usada para gerenciar as extensões do Site Recovery.

    3. Nessa página, selecione Migrar para migrar o tipo de autenticação de suas contas de automação para usar Identidades Gerenciadas.

      Captura de tela da página Criar cofre dos Serviços de Recuperação.

Observação

Certifique-se de que a Identidade Gerenciada atribuída pelo Sistema esteja desativada na conta de Automação para que o botão “Migrar” apareça. Se a conta não for migrada e o botão "Migrar" não estiver aparecendo, desative a Identidade Gerenciada da Conta de Automação e tente novamente.

  1. Após a migração bem-sucedida de sua conta de automação, o tipo de autenticação para os detalhes da conta vinculada na página Configurações de atualização de extensão é atualizado.
  2. Assim que a operação Migrar for concluída, alterne o botão Site Recovery para gerenciar para Ativá-lo novamente.

Quando você migra com êxito de uma conta Executar como para uma conta de Identidades Gerenciadas, as seguintes alterações são refletidas nas Contas Executar como da Automação :

  • A Identidade Gerenciada atribuída pelo sistema está habilitada para a conta (se já não estiver habilitada).
  • A permissão de função Colaborador é atribuída à assinatura do cofre dos Serviços de Recuperação.
  • O script que atualiza o agente de mobilidade para usar a autenticação baseada em Identidade Gerenciada é atualizado.

Para vincular uma conta da Automação de identidade gerenciada ao cofre dos Serviços de Recuperação. Siga estas etapas:

Habilitar a identidade gerenciada para o cofre

  1. Acesse a conta de automação que você selecionou. Em Configurações da conta, selecione Identidade.

    Captura de tela que mostra a página de configurações de identidade.

  2. Em Atribuída pelo sistema, altere o Status para Ativado e selecione Salvar.

    Uma ID de objeto é gerada. O cofre agora está registrado com Azure Active Directory. Captura de tela que mostra a página de configurações de identidade do sistema.

  3. Volte ao cofre dos serviços de recuperação. No painel esquerdo, selecione a opção Controle de acesso (IAM). Captura de tela que mostra a página de configurações do IAM.

  4. Selecione Adicionar>Adicionar atribuição de função>Colaborador para abrir a página Adicionar atribuição de função.

    Observação

    Depois que a conta de automação for definida, você poderá alterar a função da conta de Colaborador para Colaborador do Site Recovery.

  5. Na página Adicionar atribuição de função, selecione Identidade gerenciada.

  6. Selecione a opção Selecionar membros. No painel Selecionar identidades gerenciadas, faça o seguinte:

    1. No campo Selecionar, insira o nome da conta de automação de identidade gerenciada.
    2. No campo Identidade gerenciada, selecione Todas as identidades gerenciadas atribuídas pelo sistema.
    3. Selecione a opção Selecionar. Captura de tela que mostra a página de configurações da identidade gerenciada.

  7. Selecione Examinar + atribuir.

  8. Navegue até as Configurações de atualização da extensão no Cofre dos Serviços de Recuperação, alterne o botão Site Recovery para gerenciar para Ativá-lo novamente.

Próximas etapas

Saiba mais sobre: