Migrace z existujícího účtu "Spustit jako" na spravované identity

Důležité

Účty Spustit jako pro Azure Automation, včetně účtů Classic Run as, byly vyřazeny k 30. září 2023 a byly nahrazeny spravovanými identitami. Účty 'Spustit jako' už nebudete moct vytvářet ani obnovovat prostřednictvím portálu Azure.

Další informace o četnosti migrace a časové ose podpory pro vytvoření účtu Spustit jako a prodloužení platnosti certifikátů najdete v nejčastějších dotazech.

Účty Run As ve službě Azure Automation poskytují ověřování pro správu prostředků nasazených prostřednictvím Azure Resource Manageru nebo klasického modelu nasazení. Při každém vytvoření účtu Spustit jako se zaregistruje aplikace Microsoft Entra a vygeneruje se samopodepsaný certifikát. Tento certifikát je platný po dobu jednoho měsíce. Prodloužení platnosti certifikátu každý měsíc před vypršením platnosti zajistí, že účet Automation bude fungovat, ale přidá režii.

Nově můžete nakonfigurovat účty Automation tak, aby používaly spravovanou identitu, což je výchozí možnost při vytváření účtu Automation. Díky této funkci se účet Automation může ověřovat v prostředcích Azure bez nutnosti výměny přihlašovacích údajů. Spravovaná identita odstraňuje režii spojenou s obnovením certifikátu nebo správou služebního principálu.

Spravovaná identita může být systémově přiřazená nebo uživatelsky přiřazená. Při vytvoření nového účtu Automation se povolí spravovaná identita přiřazená systémem.

Požadavky

Před migrací z účtu Spustit jako nebo účtu Spustit jako pro Classic na spravovanou identitu:

1. Vytvořte spravovanou identitu přiřazenou systémem nebo uživatelem nebo vytvořte oba typy. Další informace o rozdílech mezi nimi najdete v tématu Typy spravovaných identit.

   Poznámka:

   • Identity přiřazené uživateli jsou podporovány pouze pro cloudové úlohy. Není možné použít uživatelsky spravovanou identitu účtu Automation na pracovníkovi hybridního runbooku. Pokud chcete používat hybridní úlohy, musíte vytvořit identity přiřazené systémem.
   • Spravované identity můžete použít dvěma způsoby ve skriptech Hybrid Runbook Worker: spravovanou identitu přiřazenou systémem pro účet Automation nebo spravovanou identitu virtuálního počítače pro virtuální počítač Azure běžící jako hybrid Runbook Worker.
   • Identita spravovaná uživatelem a identita spravovaná systémem virtuálního počítače nebudou fungovat v účtu Automation, který je nakonfigurován s použitím spravované identity účtu Automation. Pokud povolíte spravovanou identitu účtu Automation, můžete používat pouze spravovanou identitu účtu Automation přiřazenou systému, nikoli spravovanou identitu virtuálního počítače. Další informace najdete v tématu Použití ověřování runbooků se spravovanými identitami.

2. Přiřaďte spravované identitě stejnou roli pro přístup k prostředkům Azure, které odpovídají účtu Run As. Pomocí tohoto skriptu povolíte identitu přiřazenou systémem v účtu Automation a přiřadíte stejnou sadu oprávnění, která se nacházejí v účtu Azure Automation Run As, k identitě přiřazené systémem účtu Automation.

   Pokud se například účet Automation vyžaduje jenom ke spuštění nebo zastavení virtuálního počítače Azure, oprávnění přiřazená k účtu Spustit jako musí být jenom pro spuštění nebo zastavení virtuálního počítače. Podobně přiřaďte oprávnění jen pro čtení, pokud runbook čte ze služby Azure Blob Storage. Další informace najdete v pokynech k zabezpečení služby Azure Automation.

3. Pokud používáte účty Classic Run As, ujistěte se, že jste migrovali prostředky nasazené prostřednictvím klasického modelu nasazení na Azure Resource Manager.

4. Pomocí tohoto skriptu zjistíte, které účty Power Automate používají Run As účet. Pokud vaše účty služby Azure Automation obsahují účet typu 'Spustit jako', má ve výchozím nastavení přiřazenou vestavěnou roli přispěvatele. Pomocí skriptu můžete zkontrolovat účty typu Run As v Azure Automation a určit, jestli je jejich přiřazení role výchozí, nebo zda bylo změněno na jinou definici role.

5. Pomocí tohoto skriptu zjistíte, jestli všechny runbooky ve vašem účtu Automation používají účet Spustit jako.

Migrace z účtu automatizace typu 'Spustit jako' na spravovanou identitu

Pokud chcete migrovat z účtu Automation Run As nebo z účtu Classic Run As na spravovanou identitu pro ověřování runbooku, postupujte takto:

1. Změňte kód runbooku tak, aby používal spravovanou identitu.

   Doporučujeme nejprve otestovat spravovanou identitu a poté vytvořením kopie vašeho produkčního runbooku ověřit, zda runbook funguje podle očekávání. Aktualizujte kód testovacího runbooku tak, aby se ověřil pomocí spravované identity. Tato metoda zajišťuje, že v produkčním runbooku nepřepíšete AzureRunAsConnection a přerušíte existující instanci Automation. Jakmile budete mít jistotu, že kód runbooku běží prostřednictvím spravované identity podle očekávání, aktualizujte produkční runbook tak, aby používal spravovanou identitu.

   Pro podporu spravovaných identit použijte rutinu Connect-AzAccount. Další informace o této rutině najdete v tématu Connect-AzAccount v referenčních informacích k PowerShellu.

   • Pokud používáte Az moduly, aktualizujte na nejnovější verzi podle kroků v článku Aktualizace modulů Azure PowerShellu.
   • Pokud používáte moduly AzureRM, aktualizujte AzureRM.Profile na nejnovější verzi a proveďte nahrazení pomocí rutiny Add-AzureRMAccount s Connect-AzureRMAccount –Identity.

   Pokud chcete porozumět změnám kódu runbooku, které jsou potřeba před použitím spravovaných identit, použijte ukázkové skripty.

2. Pokud máte jistotu, že runbook úspěšně běží pomocí spravovaných identit, můžete Účet Run As bezpečně odstranit, pokud tento účet nepoužívá žádný jiný runbook.

Ukázkové skripty

Následující příklady skriptů runbooku načítají prostředky správce prostředků pomocí účtu 'Spustit jako' (service principal) a spravované identity. Na začátku runbooku byste si všimli rozdílu v kódu, kde se runbook ověřuje vůči prostředku.

Spravovaná identita přiřazená systémem

Poznámka:

Povolte příslušná oprávnění RBAC pro systémovou identitu tohoto účtu Automation. Jinak může runbook selhat.

try
{
    "Logging in to Azure..."
    Connect-AzAccount -Identity
}
catch {
    Write-Error -Message $_.Exception
    throw $_.Exception
}

#Get all Resource Manager resources from all resource groups
$ResourceGroups = Get-AzResourceGroup

foreach ($ResourceGroup in $ResourceGroups)
{    
    Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName)
    $Resources = Get-AzResource -ResourceGroupName $ResourceGroup.ResourceGroupName
    foreach ($Resource in $Resources)
    {
        Write-Output ($Resource.Name + " of type " +  $Resource.ResourceType)
    }
    Write-Output ("")
}

Spravovaná identita přiřazená uživatelem

try
{ 

    "Logging in to Azure..." 
    Connect-AzAccount -Identity -AccountId <Client Id of myUserAssignedIdentity>
} 
catch { 
    Write-Error -Message $_.Exception 
    throw $_.Exception 
} 
#Get all Resource Manager resources from all resource groups 
$ResourceGroups = Get-AzResourceGroup 
foreach ($ResourceGroup in $ResourceGroups) 
{     
    Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName) 
    $Resources = Get-AzResource -ResourceGroupName $ResourceGroup.ResourceGroupName 
    foreach ($Resource in $Resources) 
    { 
        Write-Output ($Resource.Name + " of type " +  $Resource.ResourceType) 
    } 
    Write-Output ("") 
}

Účet Spustit jako

  $connectionName = "AzureRunAsConnection"
  try
  {
      # Get the connection "AzureRunAsConnection"
      $servicePrincipalConnection=Get-AutomationConnection -Name $connectionName         

      "Logging in to Azure..."
      Add-AzureRmAccount `
          -ServicePrincipal `
          -TenantId $servicePrincipalConnection.TenantId `
          -ApplicationId $servicePrincipalConnection.ApplicationId `
          -CertificateThumbprint $servicePrincipalConnection.CertificateThumbprint 
  }
  catch {
      if (!$servicePrincipalConnection)
      {
          $ErrorMessage = "Connection $connectionName not found."
          throw $ErrorMessage
      } else{
          Write-Error -Message $_.Exception
          throw $_.Exception
      }
  }

  #Get all Resource Manager resources from all resource groups
  $ResourceGroups = Get-AzureRmResourceGroup 

  foreach ($ResourceGroup in $ResourceGroups)
  {    
      Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName)
      $Resources = Find-AzureRmResource -ResourceGroupNameContains $ResourceGroup.ResourceGroupName | Select ResourceName, ResourceType
      ForEach ($Resource in $Resources)
      {
          Write-Output ($Resource.ResourceName + " of type " +  $Resource.ResourceType)
      }
      Write-Output ("")
  } 

Zobrazení ID klienta identity přiřazené uživatelem

1. V účtu Automation v části Nastavení účtu vyberte Identita.

2. Na kartě Přiřazení uživatelem vyberte identitu přiřazenou uživatelem.

   

3. Pokud chcete zobrazit ID klienta, přejděte do části Základní informace o přehledu>.

   

Grafické runbooky

Kontrola, jestli se účet Spustit jako používá v grafických runboocích

1. Zkontrolujte každou aktivitu v runbooku, abyste zjistili, zda používá účet Spustit jako při volání přihlašovacích rutin nebo aliasů, jako například Add-AzRmAccount/Connect-AzRmAccount/Add-AzAccount/Connect-AzAccount.

   

2. Prozkoumejte parametry, které rutina používá.

   

   Pro použití s účtem Spustit jako používá rutina ServicePrincipalCertificate parametr nastavený na ApplicationId. CertificateThumbprint bude od RunAsAccountConnection.

   

Úprava grafického runbooku pro použití spravované identity

Spravovanou identitu musíte otestovat, abyste ověřili, že grafický runbook funguje, jak má. Vytvořte kopii produkčního runbooku pro použití spravované identity a pak aktualizujte testovací grafický kód runbooku, aby se ověřil pomocí spravované identity. Tuto funkci můžete přidat do grafického runbooku přidáním rutiny Connect-AzAccount .

Následující kroky obsahují příklad, který ukazuje, jak může grafický runbook, který používá účet Spustit jako, používat spravované identity:

1. Přihlaste se k portálu Azure.

2. Otevřete účet Automation, a poté vyberte Process Automation>Runbooks.

3. Vyberte runbook. Vyberte například runbook Spustit virtuální počítače Azure V2 ze seznamu a pak vyberte Upravit nebo přejděte do Galerie procházení a vyberte Spustit virtuální počítače Azure V2.

   

4. Nahraďte připojení Spustit jako, které používá AzureRunAsConnection, a prostředek připojení, který interně používá PowerShell cmdlet Get-AutomationConnection, cmdletem Connect-AzAccount.

5. Vyberte Odstranit pro odstranění aktivit Get Run As Connection a Connect to Azure.

   

6. V levém panelu v části RUNBOOK CONTROL vyberte Kód a pak vyberte Přidat na plátno.

   

7. Upravte aktivitu kódu, přiřaďte libovolný přiměřený název štítku a vyberte logiku aktivity autora.

   

8. Na stránce Editor kódu zadejte následující kód PowerShellu a vyberte OK.

   try 
   { 
      Write-Output ("Logging in to Azure...") 
      Connect-AzAccount -Identity 
   } 
   catch { 
      Write-Error -Message $_.Exception 
      throw $_.Exception 
   } 
   

9. Připojte novou aktivitu k aktivitám, které byly dříve připojeny pomocí Připojit k Azure, a uložte runbook.

   

Například v runbooku Spustit virtuální počítače Azure V2 v galerii runbooků musíte nahradit Get Run As Connection a Connect to Azure aktivity aktivitou s kódem, která používá Connect-AzAccount rutinu, jak je popsáno výše. Další informace najdete v ukázkovém runbooku s názvem AzureAutomationTutorialWithIdentityGraphical , který je vytvořený pomocí účtu Automation.

Poznámka:

Moduly AzureRM PowerShellu se 29. února 2024 vyřazuje z provozu. Pokud používáte moduly AzureRM PowerShellu v grafických runboocích, musíte je upgradovat, aby používaly moduly Az PowerShellu. Další informace.

Další kroky

• Projděte si nejčastější dotazy týkající se migrace na spravované identity.

• Pokud se runbooky úspěšně nedokončí, projděte si část Řešení potíží se spravovanou identitou v Azure Automation.

• Další informace o spravovaných identitách přiřazených systémem najdete v tématu Použití spravované identity přiřazené systémem pro účet Azure Automation.

• Další informace o spravovaných identitách přiřazených uživatelem najdete v tématu Použití spravované identity přiřazené uživatelem pro účet Azure Automation.

• Informace o zabezpečení účtu Azure Automation najdete v přehledu ověřování účtů Azure Automation.