Skip to main content

Featured

Novo recurso no Microsoft Entra ID: desativar App Registration sem excluir

O Microsoft Entra ID agora permite desativar uma App Registration de forma reversível, sem precisar excluí-la do tenant.  Além de uma maneira de obter maior controle operacional, menor superfície de ataque e maior maturidade em identidade corporativa, esse recurso proporciona segurança, sem que haja  perca de configurações e permissões de aplicações que podem voltar a serem utilizadas. Antes dessa funcionalidade, administradores precisavam optar entre manter o aplicativo ativo durante uma investigação ou removê-lo completamente, o que implicava perda de histórico, permissões de API e configurações. Agora é possível interromper o acesso sem destruir o objeto. O que acontece ao desativar um aplicativo Quando uma App Registration é desativada, n ovos tokens deixam de ser emitidos, u suários não conseguem autenticar, a  aplicação não consegue acessar APIs usando novos tokens e o  Service Principal passa a ter o atributo isDisabled definido como true Se houver tentativa ...
Post a Comment
Read more

Snapshots não vivem para sempre: Automatização da exclusão no Azure usando Tag de Expiração

Manter snapshots no Azure sem controle pode resultar em custos acumulados desnecessários e riscos operacionais. Embora snapshots sejam essenciais para proteção contra falhas e testes de restauração, eles devem ser tratados como recursos temporários. Neste cenário, a automação baseada em tags de expiração surge como uma estratégia eficaz para garantir governança e economia no ambiente Azure.

O problema: Snapshots esquecidos

Snapshots de discos gerenciados no Azure são amplamente usados para backup e replicação temporária. No entanto, sem uma política de limpeza, esses recursos podem:

  • Aumentar significativamente o custo de armazenamento.

  • Comprometer a governança da nuvem.

  • Tornar a conta do Azure desorganizada e vulnerável a erros.

A Solução: Tags de expiração + Automação com PowerShell + Azure Automation

A proposta é simples: adicionar uma tag personalizada de expiração ("expirar-em": "2025-07-15"), e configurar um script automático que verifique e exclua snapshots expirados com base nessa tag.

Etapas de Implementação

1. Adicionar a Tag de Expiração ao Criar o Snapshot

Use o portal, PowerShell ou CLI para adicionar a tag expirar-em com uma data no formato ISO (yyyy-mm-dd).

$resourceGroup = "meu-grupo"
$snapshotName = "snapshot-temporario"
Set-AzSnapshot -ResourceGroupName $resourceGroup -SnapshotName $snapshotName `
  -Tag @{ "expirar-em" = "2025-07-15" }

2. Script PowerShell para Identificar e Excluir Snapshots Expirados

O script consulta todos os snapshots com a tag expirar-em, compara com a data atual e remove os que já passaram da validade:

$hoje = Get-Date
$snapshots = Get-AzSnapshot

foreach ($snapshot in $snapshots) {
    if ($snapshot.Tags["expirar-em"]) {
        $dataExpiracao = Get-Date $snapshot.Tags["expirar-em"]
        if ($dataExpiracao -lt $hoje) {
            Remove-AzSnapshot -ResourceGroupName $snapshot.ResourceGroupName `
                -SnapshotName $snapshot.Name -Force
        }
    }
}

3. Agendamento via Azure Automation

  • Crie uma conta de Azure Automation.

  • Importe o script como um Runbook PowerShell.

  • Agende uma execução diária ou semanal.

  • Conceda a permissão adequada usando uma Managed Identity com papel de Contributor.

Benefícios da Estratégia

  • Redução de custos com snapshots obsoletos.

  • Padronização de ciclo de vida de recursos temporários.

  • Governança automatizada, sem intervenção manual recorrente.

  • Fácil integração com processos de DevOps ou políticas de compliance.

Considerações finais

Embora snapshots sejam importantes, sua permanência indefinida compromete a eficiência financeira e operacional da nuvem. A estratégia de usar tags de expiração com automação traz simplicidade, escalabilidade e controle, ao mesmo tempo que preserva a flexibilidade do ambiente Azure.

Se desejar, posso gerar uma imagem ilustrativa do fluxo: criar snapshot → adicionar tag → execução do runbook → exclusão automática. Deseja?

Comments

Post a Comment