Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Automation umožňuje automatizovat úlohy s prostředky v Azure, místně a u jiných poskytovatelů cloudu, například Amazon Web Services (AWS). Runbooky můžete použít k automatizaci úloh nebo funkce Hybrid Runbook Worker, pokud máte obchodní nebo provozní procesy pro správu mimo Azure. Práce v jakémkoli z těchto prostředí vyžaduje oprávnění k bezpečnému přístupu k prostředkům s minimálními požadovanými právy.
Tento článek popisuje scénáře ověřování podporované službou Azure Automation a vysvětluje, jak začít na základě prostředí nebo prostředí, která potřebujete spravovat.
Automatizační účet
Při prvním spuštění služby Azure Automation vytvořte alespoň jeden účet Automation. Účty Automation umožňují izolovat prostředky Automation, runbooky, položky a konfigurace od prostředků jiných účtů. Účty Automation můžete použít k oddělení prostředků do samostatných logických prostředí nebo delegovaných zodpovědností. Jeden účet můžete například použít pro vývoj, druhý k produkci a další pro svoje místní prostředí.
Účet Azure Automation se liší od účtu Microsoft a účtů vytvořených v rámci vašeho předplatného Azure. Úvod k vytvoření účtu Automation najdete v tématu Vytvoření účtu Automation.
Automatizační prostředky
Prostředky služby Automation pro každý účet Automation jsou přidružené ke konkrétní oblasti Azure. Přesto může účet spravovat všechny prostředky ve vašem předplatném Azure. Hlavním důvodem vytvoření účtů Automation v různých oblastech je, že máte zásady, které vyžadují izolaci dat a prostředků do konkrétní oblasti.
Všechny úlohy, které vytvoříte pro prostředky s využitím Azure Resource Manageru a rutin PowerShellu ve službě Azure Automation, se musí ověřovat v Azure s využitím ověřování na základě přihlašovacích údajů organizační identity Microsoft Entra.
Spravované identity
Spravovaná identita ze služby Microsoft Entra ID umožňuje vašemu runbooku snadný přístup k dalším prostředkům chráněným službou Microsoft Entra. Identitu spravuje platforma Azure a nevyžaduje, abyste zřizovali nebo rotovali tajné kódy. Další informace o spravovaných identitách v Microsoft Entra ID najdete v tématu Spravované identity pro prostředky Azure.
Spravované identity představují doporučený způsob ověřování v runboocích a jedná se o výchozí metodu ověřování pro váš účet Automation.
Tady jsou některé z výhod použití spravovaných identit:
Spravované identity je možné použít bez jakýchkoli dalších nákladů.
K prostředkům můžete přistupovat pomocí spravované identity účtu Automation z runbooku, aniž byste museli vytvářet certifikáty, připojení atd.
Účet Automation se může ověřit pomocí dvou typů spravovaných identit:
Identita přiřazená systémem je svázaná s vaší aplikací a při odstranění aplikace se odstraní. Aplikace může mít pouze jednu identitu přiřazenou systémem.
Identita přiřazená uživatelem je samostatný prostředek Azure, který je možné přiřadit k vaší aplikaci. Aplikace může mít více identit přiřazených uživatelem.
Poznámka:
Identity přiřazené uživateli jsou podporovány pouze pro cloudové úlohy. Další informace o různých spravovaných identitách najdete v tématu Správa typů identit.
Podrobnosti o používání spravovaných identit najdete v tématu Povolení spravované identity pro Azure Automation.
Oprávnění předplatného
Potřebujete oprávnění Microsoft.Authorization/*/Write . Toto oprávnění se získává prostřednictvím členství v některé z následujících předdefinovaných rolí Azure:
Další informace o oprávněních předplatného Classic najdete v tématu Správci předplatného Azure Classic.
Oprávnění pro Microsoft Entra
Abyste mohli obnovit služební principál, musíte být členem jedné z následujících vestavěných rolí Microsoft Entra:
Členství lze přiřadit všem uživatelům v tenantovi na úrovni adresáře, což je výchozí chování. Členství můžete udělit každé z obou rolí na úrovni adresáře. Další informace najdete v tématu Kdo má oprávnění přidávat aplikace do instance Microsoft Entra ID.
Oprávnění účtu služby Automation
Abyste mohli aktualizovat účet služby Automation, musíte být členem jedné z následujících rolí účtu služby Automation:
Další informace o modelech nasazení Azure Resource Manager a Classic najdete v tématu Resource Manager a klasické nasazení.
Poznámka:
Předplatná Azure Cloud Solution Provider (CSP) podporují pouze model Azure Resource Manageru. Služby jiné než Azure Resource Manager nejsou v programu k dispozici. Další informace o předplatných CSP najdete v tématu Dostupné služby v předplatných CSP.
Ověřování runbooků pomocí funkce Hybrid Runbook Worker
Runbooky spuštěné v procesu Hybrid Runbook Worker ve vašem datacentru nebo výpočetních službách v jiných cloudových prostředích, jako je AWS, nemůžou používat stejnou metodu, která se obvykle používá pro runbooky ověřující prostředky Azure. Důvodem je to, že tyto prostředky jsou spuštěné mimo Azure a proto vyžadují vlastní přihlašovací údaje zabezpečení definované ve službě Automation, aby se ověřovaly v prostředcích, ke přistupují místně. Další informace o ověřování runbooků pomocí pracovních procesů sady Runbook naleznete v tématu Runbooky v procesu Hybrid Runbook Worker.
U runbooků, které používají Hybrid Runbook Workers na virtuálních počítačích Azure, můžete k ověřování vašich prostředků Azure využít ověřování runbooků pomocí spravovaných identit.
Další kroky
- Pokud chcete vytvořit účet Automation z webu Azure Portal, přečtěte si téma Vytvoření samostatného účtu Azure Automation.
- Pokud chcete vytvořit účet pomocí šablony, přečtěte si téma Vytvoření účtu Automation pomocí šablony Azure Resource Manageru.
- Informace o ověřování pomocí Amazon Web Services najdete v tématu Ověřování runbooků pomocí Amazon Web Services.
- Seznam služeb Azure, které podporují funkci spravovaných identit prostředků Azure, najdete v článku o službách podporujících spravované identity prostředků Azure.