Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica como criar um principal de serviço usando a CLI do Azure ou o portal do Azure. Você pode usar o service principal ao implantar um cluster do Microsoft Azure Red Hat OpenShift. Uma nova implantação de cluster também cria um principal de serviço.
Para interagir com as APIs do Azure, um cluster do Microsoft Azure Red Hat OpenShift requer um principal de serviço do Microsoft Entra. Essa entidade de serviço é usada para criar, gerenciar ou acessar dinamicamente outros recursos do Azure, como um balanceador de carga do Azure ou um Registro de Contêiner do Azure. Para obter mais informações, veja Objetos de aplicativo e entidade de serviço no Microsoft Entra ID.
As entidades de serviço expiram em um ano, a menos que sejam configuradas por períodos mais longos. Para obter informações sobre como estender o período de expiração do principal de serviço, consulte Alternar as credenciais do principal de serviço para o cluster do Azure Red Hat OpenShift.
Criar um principal de serviço
As seções a seguir explicam como criar uma entidade de serviço para implantar um cluster do Red Hat OpenShift no Azure.
Pré-requisitos
Se você estiver usando a CLI do Azure, precisará da CLI do Azure versão 2.30.0 ou posterior instalada e configurada. Para saber qual é a versão, execute az --version. Se você precisa instalar ou atualizar, consulte Instalar a CLI do Azure.
Criar um grupo de recursos
Para criar um grupo de recursos para o cluster do Red Hat OpenShift no Azure, execute o seguinte comando da CLI do Azure. O nome do grupo de recursos é armazenado na AZ_RG variável.
AZ_RG=$(az group create --name test-aro-rg --___location eastus2 --query name --output tsv)
Criar um principal de serviço e atribuir controle de acesso baseado em função
Os principais de serviço devem ser exclusivos por cluster do Azure RedHat OpenShift. Os comandos a seguir criam a variável AZ_SUB_ID para armazenar sua ID de assinatura do Azure e atribuem a função Colaborador e definem o escopo do principal de serviço para o grupo de recursos do Azure Red Hat OpenShift.
AZ_SUB_ID=$(az account show --query id --output tsv)
az ad sp create-for-rbac --name "test-aro-sp" --role Contributor --scopes "/subscriptions/${AZ_SUB_ID}/resourceGroups/${AZ_RG}"
A saída deverá ser semelhante ao seguinte exemplo:
{
"appId": "55556666-ffff-7777-aaaa-8888bbbb9999",
"displayName": "test-aro-sp",
"password": "Gg7Hh~8Ii9.-Jj0Kk1Ll2Mm3Nn4Oo5_Pp6Qq7Rr8",
"tenant": "bbbbcccc-1111-dddd-2222-eeee3333ffff"
}
Anote essas informações e armazene-as em um local seguro. O valor da senha é exibido apenas uma vez. Para obter mais informações sobre o comando, consulte az ad sp create-for-rbac.
Importante
Esse principal de serviço só concede a função de Colaborador sobre o grupo de recursos que contém o cluster do Azure Red Hat OpenShift. Se sua rede virtual estiver em outro grupo de recursos, você precisará atribuir a função de Colaborador da entidade de serviço a esse grupo de recursos. Você também precisa criar seu cluster do Azure Red Hat OpenShift no grupo de recursos que você criou para o principal do serviço.
Para conceder permissões a uma entidade de serviço existente com o portal do Azure, consulte Criar um aplicativo do Microsoft Entra e uma entidade de serviço no portal.
Crie uma entidade de serviço com o portal do Azure
Para criar uma entidade de serviço para seu cluster do Red Hat OpenShift no Azure por meio do portal do Azure, consulte Registrar um aplicativo do Microsoft Entra e criar uma entidade de serviço. Salve a ID do aplicativo (cliente) e o segredo e armazene-a em um local seguro. O valor secreto é mostrado apenas uma vez.
A função Colaborador é listada nas funções de administrador privilegiado quando você adiciona a atribuição de função a partir do portal.
Limpar os recursos
Você pode excluir o registro do aplicativo e a entidade de serviço no Microsoft Entra ID se não precisar mais deles.
Os comandos a seguir obtêm a ID do aplicativo e excluem o registro do aplicativo e a entidade de serviço.
APP_ID=$(az ad app list --display-name test-aro-sp --query [].appId --output tsv)
az ad app delete --id $APP_ID
Acesse Microsoft Entra ID>registros de aplicativos>aplicativos de sua propriedade. Insira o nome de exibição test-aro-sp, selecione o nome e selecione Excluir.
Para excluir permanentemente o registro do aplicativo, vá para Aplicativos Excluídos, pesquise o nome do aplicativo, marque a caixa de seleção do aplicativo e selecione Excluir permanentemente.
Conteúdo relacionado
Para obter mais informações sobre como criar uma entidade de serviço na CLI do Azure e atribuir funções, consulte Criar uma entidade de serviço do Azure com a CLI do Azure e atribuir funções do Azure usando a CLI do Azure.