Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo explica como criar um principal de serviço através do Azure CLI ou do portal do Azure. Pode usar o principal de serviço quando implantar um cluster Red Hat OpenShift no Microsoft Azure. Uma nova implantação de cluster também cria um principal de serviço.
Para interagir com as APIs do Azure, um cluster Microsoft Azure Red Hat OpenShift requer uma entidade de serviço do Microsoft Entra. Essa entidade de serviço é usada para criar, gerenciar ou acessar dinamicamente outros recursos do Azure, como um balanceador de carga do Azure ou um Registro de Contêiner do Azure. Para obter mais informações, consulte Objetos principais de aplicativo e serviço no Microsoft Entra ID.
As entidades de serviço expiram em um ano, a menos que sejam configuradas para períodos mais longos. Para obter informações sobre como estender o período de expiração da entidade de serviço, consulte Renovar credenciais da entidade de serviço para o seu cluster do Azure Red Hat OpenShift.
Criar um "service principal"
As seções a seguir explicam como criar uma entidade de serviço para implantar um cluster do Azure Red Hat OpenShift.
Pré-requisitos
Se você estiver usando a CLI do Azure, precisará da CLI do Azure versão 2.30.0 ou posterior instalada e configurada. Para localizar a versão, execute az --version. Se precisar de instalar ou atualizar, consulte Install Azure CLI.
Criar um grupo de recursos
Para criar um grupo de recursos para seu cluster do Azure Red Hat OpenShift, execute o seguinte comando da CLI do Azure. O nome do AZ_RG grupo de recursos é armazenado na variável.
AZ_RG=$(az group create --name test-aro-rg --___location eastus2 --query name --output tsv)
Criar um principal de serviço e atribuir controle de acesso baseado em funções
As entidades de serviço devem ser exclusivas por cluster RedHat OpenShift do Azure. Os comandos a seguir criam a AZ_SUB_ID variável para armazenar sua ID de assinatura do Azure e atribuem a função de Colaborador e o escopo da entidade de serviço ao grupo de recursos do Azure Red Hat OpenShift.
AZ_SUB_ID=$(az account show --query id --output tsv)
az ad sp create-for-rbac --name "test-aro-sp" --role Contributor --scopes "/subscriptions/${AZ_SUB_ID}/resourceGroups/${AZ_RG}"
O resultado é semelhante ao seguinte exemplo:
{
"appId": "55556666-ffff-7777-aaaa-8888bbbb9999",
"displayName": "test-aro-sp",
"password": "Gg7Hh~8Ii9.-Jj0Kk1Ll2Mm3Nn4Oo5_Pp6Qq7Rr8",
"tenant": "bbbbcccc-1111-dddd-2222-eeee3333ffff"
}
Anote esta informação e guarde-a num local seguro. O valor da senha é exibido apenas uma vez. Para obter mais informações sobre o comando, consulte az ad sp create-for-rbac.
Importante
Essa entidade de serviço só permite um Colaborador sobre o grupo de recursos que contém o cluster do Azure Red Hat OpenShift. Se sua rede virtual estiver em outro grupo de recursos, você precisará atribuir a função de Colaborador da entidade de serviço a esse grupo de recursos. Você também precisa criar seu cluster Azure Red Hat OpenShift no grupo de recursos que criou para o principal de serviço.
Para conceder permissões a uma entidade de serviço existente com o portal do Azure, consulte Criar uma entidade de serviço e uma entidade de serviço do Microsoft Entra no portal.
Criar uma entidade de serviço com o portal do Azure
Para criar uma entidade de serviço para seu cluster do Azure Red Hat OpenShift por meio do portal do Azure, consulte Registrar um aplicativo Microsoft Entra e criar uma entidade de serviço. Certifique-se de salvar o ID do aplicativo (cliente) e o segredo e armazená-lo em um local seguro. O valor secreto é mostrado apenas uma vez.
A função de Colaborador é listada nas funções de administrador privilegiado quando você adiciona a atribuição de função do portal.
Limpeza de recursos
Você pode excluir o registro do aplicativo e o principal de serviço do Microsoft Entra ID se não precisar deles.
Os comandos a seguir obtêm a ID do aplicativo e excluem o registro do aplicativo e a entidade de serviço.
APP_ID=$(az ad app list --display-name test-aro-sp --query [].appId --output tsv)
az ad app delete --id $APP_ID
Vá para Microsoft Entra ID>Registos de Aplicações>Aplicações de Propriedade. Digite o nome de apresentação test-aro-sp, selecione o nome e selecione Eliminar.
Para excluir permanentemente o registro do aplicativo, vá para Aplicativos excluídos, procure o nome do aplicativo, marque a caixa de seleção do aplicativo e selecione Excluir permanentemente.
Conteúdo relacionado
Para obter mais informações sobre como criar uma entidade de serviço na CLI do Azure e atribuir funções, consulte Criar uma entidade de serviço do Azure com a CLI do Azure e Atribuir funções do Azure usando a CLI do Azure.