Configurar identidades gerenciadas atribuídas ao sistema ou ao usuário

APLICA-SE A: Banco de Dados do Azure para PostgreSQL - Servidor Flexível

Neste artigo, você pode aprender como habilitar ou desabilitar uma identidade gerenciada atribuída ao sistema para sua instância do Banco de Dados do Azure para servidor flexível PostgreSQL. Você também pode aprender como adicionar ou remover uma ou mais identidades gerenciadas atribuídas ao usuário à sua instância.

Habilitar a identidade gerenciada atribuída ao sistema para servidores existentes

Portal

Usando o portal do Azure:

1. Localize o seu servidor no portal, se não estiver aberto. Uma maneira de fazer isso é digitando o nome do servidor na barra de pesquisa. Quando o recurso com o nome correspondente for mostrado, selecione esse recurso.

   

2. No menu de recursos, em Segurança, selecione Identidade. Em seguida, na seção Identidade gerenciada atribuída ao sistema, selecione a opção Ativado. Selecione Guardar.

   

3. Quando o processo for concluído, uma notificação informará que a identidade gerenciada atribuída ao sistema está habilitada.

   

CLI

O comando az postgres flexible-server update ainda não fornece suporte interno para habilitar e desabilitar a identidade gerenciada atribuída ao sistema. Como solução alternativa, você pode usar o comando az rest para invocar diretamente a API Servers - Update REST.

# Enable system assigned managed identity
subscriptionId=<subscription-id>
resourceGroup=<resource-group>
server=<server>
result=$(az postgres flexible-server show --resource-group $resourceGroup --name $server --query "identity.type" --output tsv)
if [ -z "$result" ]; then
    az rest --method patch --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DBforPostgreSQL/flexibleServers/$server?api-version=2024-08-01 --body '{"identity":{"type":"SystemAssigned"}}'
elif [ "$result" == "UserAssigned" ]; then
    az rest --method patch --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DBforPostgreSQL/flexibleServers/$server?api-version=2024-08-01 --body '{"identity":{"type":"SystemAssigned,UserAssigned"}}'
else
    echo "System Assigned Managed identity is already enabled."
fi

Desativar a identidade gerenciada atribuída ao sistema para servidores existentes

Portal

Usando o portal do Azure:

1. Localize o seu servidor no portal, se não estiver aberto. Uma maneira de fazer isso é digitando o nome do servidor na barra de pesquisa. Quando o recurso com o nome correspondente for mostrado, selecione esse recurso.

   

2. No menu de recursos, em Segurança, selecione Identidade. Em seguida, na seção Identidade gerenciada atribuída ao sistema, selecione a opção Desativado. Selecione Guardar.

   

3. Quando o processo for concluído, uma notificação informará que a identidade gerenciada atribuída ao sistema está desativada.

   

CLI

O comando az postgres flexible-server update ainda não fornece suporte interno para habilitar e desabilitar a identidade gerenciada atribuída ao sistema. Como solução alternativa, você pode usar o comando az rest para invocar diretamente a API Servers - Update REST.

# Disable system assigned managed identity
subscriptionId=<subscription-id>
resourceGroup=<resource-group>
server=<server>
result=$(az postgres flexible-server show --resource-group $resourceGroup --name $server --query "identity.type" --output tsv)
if [ "$result" == "SystemAssigned" ]; then
    az rest --method patch --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DBforPostgreSQL/flexibleServers/$server?api-version=2024-08-01 --body '{"identity":{"type":"None"}}'
elif [ "$result" == "SystemAssigned,UserAssigned" ]; then
    echo "System Assigned Managed identity cannot be disabled as the instance has User Assigned Managed identities assigned."
else
    echo "System Assigned Managed identity is already disabled."
fi

Mostrar a identidade gerenciada atribuída ao sistema

Portal

Usando o portal do Azure:

1. Localize o seu servidor no portal, se não estiver aberto. Uma maneira de fazer isso é digitando o nome do servidor na barra de pesquisa. Quando o recurso com o nome correspondente for mostrado, selecione esse recurso.

   

2. No menu de recursos, em Visão geral, selecione Exibição JSON.

   

3. No painel JSON de recursos que se abre, localize a propriedade identity e, dentro dela, você pode encontrar o principalId e tenantId para a identidade gerenciada atribuída ao sistema.

   

CLI

# Show the system assigned managed identity
resourceGroup=<resource-group>
server=<server>
az postgres flexible-server identity list --resource-group $resourceGroup --server-name $server --query "{principalId:principalId, tenantId:tenantId}" --output table

Verificar a identidade gerenciada atribuída ao sistema

Portal

Usando o portal do Azure:

1. Localize o serviço Aplicações Empresariais no portal, se não o tiver aberto. Uma maneira de fazer isso é digitando seu nome na barra de pesquisa. Quando o serviço com o nome correspondente for mostrado, selecione-o.

   

2. Escolha Tipo de Aplicação == Identidade Gerenciada.

3. Forneça o nome da sua instância do Banco de Dados do Azure para servidor flexível PostgreSQL na caixa de texto Pesquisar por nome de aplicativo ou ID do objeto.

   

CLI

# Verify the system assigned managed identity
server=<server>
az ad sp list --display-name $server

Associar identidades gerenciadas atribuídas pelo usuário a servidores existentes

Este artigo pressupõe que você criou as identidades gerenciadas atribuídas ao usuário que deseja associar a uma instância existente do Banco de Dados do Azure para servidor flexível PostgreSQL.

Para obter mais informações, consulte como gerenciar identidades gerenciadas atribuídas pelo usuário na ID do Microsoft Entra.

Você pode associar quantas identidades gerenciadas atribuídas pelo usuário desejar a uma instância do Banco de Dados do Azure para servidor flexível PostgreSQL.

Portal

Não há suporte para associar identidades gerenciadas atribuídas pelo usuário a uma instância do Banco de Dados do Azure para servidor flexível PostgreSQL por meio do portal.

CLI

Você pode associar uma identidade atribuída ao usuário a uma instância do Banco de Dados do Azure para servidor flexível PostgreSQL por meio do comando az postgres flexible-server identity assign .

# Associate user assigned managed identity
resourceGroup=<resource-group>
server=<server>
identity=<identity>
az postgres flexible-server identity assign --resource-group $resourceGroup --server-name $server --identity $identity

Dissociar as identidades gerenciadas atribuídas pelo usuário aos servidores existentes

O serviço dá suporte à dissociação de identidades gerenciadas atribuídas pelo usuário que estão associadas a uma instância do Banco de Dados do Azure para servidor flexível PostgreSQL.

Uma exceção a essa regra é qualquer uma das identidades gerenciadas atribuídas ao usuário que são designadas como aquelas que devem ser usadas para acessar as chaves de criptografia. Esse caso só é possível em servidores que foram implantados com criptografia de dados usando chaves gerenciadas pelo cliente.

Portal

Não há suporte para dissociar identidades gerenciadas atribuídas pelo usuário de uma instância do Banco de Dados do Azure para servidor flexível PostgreSQL por meio do portal.

CLI

Você pode dissociar uma identidade atribuída ao usuário de uma instância do Banco de Dados do Azure para servidor flexível PostgreSQL por meio do comando az postgres flexible-server identity remover .

# Dissociate user assigned managed identity
resourceGroup=<resource-group>
server=<server>
identity=<identity>
az postgres flexible-server identity remove --resource-group $resourceGroup --server-name $server --identity $identity

Se você tentar remover uma identidade gerenciada atribuída ao usuário que é usada para acessar uma chave de criptografia de dados, você receberá o seguinte erro:

Cannot remove identity <identity> because it's used for data encryption.

Mostrar as identidades gerenciadas atribuídas ao usuário associado

Portal

Usando o portal do Azure:

1. Localize o seu servidor no portal, se não estiver aberto. Uma maneira de fazer isso é digitando o nome do servidor na barra de pesquisa. Quando o recurso com o nome correspondente for mostrado, selecione esse recurso.

   

2. No menu de recursos, em Visão geral, selecione Exibição JSON.

   

3. No painel JSON de recurso que se abre, localize a propriedade identity e, dentro dela, você pode encontrar userAssignedIdentities. Esse objeto consiste em um ou mais pares chave/valor, onde cada chave representa o identificador de recurso de um usuário atribuído identidade gerenciada, e seu valor correspondente é feito de principalId e clientId associado a essa identidade gerenciada.

   

CLI

# List all associated user assigned managed identities
resourceGroup=<resource-group>
server=<server>
az postgres flexible-server identity list --resource-group $resourceGroup --server-name $server --query "userAssignedIdentities"

Conteúdos relacionados

• Identidades gerenciadas no Banco de Dados do Azure para PostgreSQL - Servidor Flexível.
• Regras de firewall no Banco de Dados do Azure para PostgreSQL - Servidor Flexível.
• Acesso público e pontos de extremidade privados no Banco de Dados do Azure para PostgreSQL - Servidor Flexível.
• Integração de rede virtual na Base de Dados do Azure para PostgreSQL - Servidor Flexível.