O produto descrito nesta documentação, GKE no Azure, agora está em modo de manutenção e será encerrado em 17 de março de 2027.

Esta página foi traduzida pela API Cloud Translation.

Criar um aplicativo do Azure Active Directory

Nesta seção, você criará um aplicativo do Azure Active Directory (Azure AD) e objetos de entidade de serviço. O GKE no Azure usa esses objetos para armazenar informações de configuração no Azure.

Para criar o aplicativo do Azure AD, execute o seguinte comando:
```
az ad app create --display-name APPLICATION_NAME
```
Substitua APPLICATION_NAME por um nome para seu aplicativo, por exemplo, anthos-clusters .
Para salvar o ID do aplicativo em uma variável de ambiente para uso posterior, execute o seguinte comando:
```
APPLICATION_ID=$(az ad app list --all \
 --query "[?displayName=='APPLICATION_NAME'].appId" \
 --output tsv)
```
Substitua APPLICATION_NAME pelo nome do seu aplicativo.
Para criar uma entidade de serviço para o aplicativo, execute o seguinte comando:
```
az ad sp create --id "${APPLICATION_ID}"
```

Configurar federação de identidade de carga de trabalho

A federação de identidade da carga de trabalho permite que o GKE no Azure se autentique no Azure usando uma conta de serviço do Google. Esse método de autenticação no Azure é mais simples do que o método de autenticação AzureClient legado, que exige que você gerencie certificados e os carregue manualmente no Azure Active Directory (AD).

Para configurar uma credencial de identidade federada no seu aplicativo do Azure AD, execute os seguintes comandos. Observe que você pode adicionar até vinte credenciais a cada aplicativo do Azure AD.

Crie um arquivo JSON chamado credential.json .

{
  "name": "CREDENTIAL_NAME",
  "issuer": "https://accounts.google.com",
  "subject": "service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com",
  "audiences": ["api://AzureADTokenExchange"],
  "description": "Allow GKE on Azure to authenticate to the Azure AD application using a Google service account."
}

CREDENTIAL_NAME : o nome da credencial.
PROJECT_NUMBER : o número do Google Cloud projeto que hospeda o cluster.

Crie uma credencial de identidade federada no aplicativo do Azure AD:

az ad app federated-credential create --id "${APPLICATION_ID}" --parameters credential.json

Para obter mais detalhes, consulte a documentação do Azure Federação de identidade de carga de trabalho do Azure AD com o Google Cloud .

Você também pode provisionar a credencial de identidade federada do Azure usando o Terraform. Para obter detalhes, consulte azuread_application_federated_identity_credential .

O que vem a seguir

Criar atribuições de função do Azure