Para usar identidades gerenciadas nos aplicativos lógicos do Azure, são necessárias permissões específicas, tanto para a própria identidade gerenciada quanto para acessar os recursos do Azure Target. Aqui estão alguns pontos -chave em relação às permissões:
1. Permissões do administrador da Microsoft ENTRA: para atribuir funções às identidades gerenciadas, você precisa de permissões de administrador da Microsoft ENTRA. Isso é essencial para gerenciar o acesso a recursos protegidos pelo Microsoft ENTRA ID [2].
2. Atribuições de função para recursos de destino: Antes que uma identidade gerenciada possa acessar um recurso do Azure, ela deve receber as funções apropriadas. Por exemplo, se o seu aplicativo lógico precisar interagir com o armazenamento do Azure, você poderá atribuir a função "Contribuidor de dados do BLOB de armazenamento" à identidade gerenciada. Da mesma forma, para o barramento de serviço do Azure, funções como "remetente de dados do barramento de serviço do Azure" ou "Receptor de dados do barramento de serviço do Azure" podem ser necessárias [3].
3. Acesso ao grupo de assinatura e recursos: As identidades gerenciadas precisam acessar não apenas o recurso específico, mas também o grupo de recursos e a assinatura onde o recurso reside. Isso garante que o aplicativo lógico possa listar e acessar recursos nesses escopos [2].
4. Verificação de permissões: Para verificar se uma identidade gerenciada possui as permissões corretas, você pode verificar o objeto de aplicativo corporativo no Microsoft ENTRA ID ou usar comandos do PowerShell como `get-mgservicePrincipalAppRolEasseSignment` para consultar papéis atribuídos [5].
Em resumo, o uso de identidades gerenciadas em aplicativos lógicos requer um gerenciamento cuidadoso de permissões para garantir um acesso seguro e eficaz aos recursos do Azure.
Citações:
[1] https://www.red-gate.com/simple-talk/cloud/azure/how-to-use-managed-identities-in-your-azure-logic-apps/
[2] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identity
[3] https://www.middleway.eu/using-managed-identities-in-a-logic-app/
[4] https://www.youtube.com/watch?v=b69pb9cklra
[5] https://www.reddit.com/r/azure/comments/1aruc8t/where_can_i_see_if_my_logic_app_with_managed/
[6] https://docs.azure.cn/en-us/logic-apps/create-slestle-tenant-workflows-azure-portal
[7] https://www.youtube.com/watch?v=bzhcqyishie
[8] https://medienstudio.net/development-en/deploying-azure-logic-apps-managed-entity-with-bicep/
[9] https://gist.github.com/svenaelterman/fe2d66ad4ceb8c1a220766e4898b88Ba
[10] https://www.linkedin.com/pulse/managed-identities-logic-apps-azure-ad-automate-your-stuff-periwal