Sdílet prostřednictvím


Fáze nasazení podrobného plánu

Důležité

11. července 2026 budou podrobné plány (Preview) zastaralé. Migrujte existující definice a přiřazení podrobných plánů do specifikací šablon a zásobníků nasazení. Artefakty podrobného plánu se mají převést na šablony JSON ARM nebo soubory Bicep, které se používají k definování zásobníků nasazení. Informace o tom, jak vytvořit artefakt jako prostředek ARM, najdete tady:

Při nasazení podrobného plánu služba Azure Blueprints provede řadu akcí, které nasadí prostředky definované v podrobném plánu. Tento článek obsahuje podrobnosti o tom, co jednotlivé kroky zahrnují.

Nasazení podrobného plánu se aktivuje přiřazením podrobného plánu k předplatnému nebo aktualizací existujícího přiřazení. Během nasazení azure Blueprints provede následující základní kroky:

  • Udělená práva vlastníka služby Azure Blueprints
  • Vytvoří se objekt přiřazení podrobného plánu.
  • Volitelné – Azure Blueprints vytvoří spravovanou identitu přiřazenou systémem .
  • Spravovaná identita nasadí artefakty podrobného plánu.
  • Služba Azure Blueprints a práva spravovaných identit přiřazených systémem se odvolají.

Udělená práva vlastníka služby Azure Blueprints

Instančnímu objektu Azure Blueprints jsou udělena práva vlastníka přiřazeného předplatného nebo předplatných při použití spravované identity přiřazené systémem . Udělená role umožňuje službě Azure Blueprints vytvořit a později odvolat spravovanou identitu přiřazenou systémem . Pokud používáte spravovanou identitu přiřazenou uživatelem , instanční objekt Azure Blueprints se nedostane a nepotřebuje k předplatnému práva vlastníka.

Práva se udělují automaticky, pokud se přiřazení provádí prostřednictvím portálu. Pokud se ale přiřazení provádí prostřednictvím rozhraní REST API, je potřeba udělit práva pomocí samostatného volání rozhraní API. Id aplikace Azure Blueprints je f71766dc-90d9-4b7d-bd9d-4499c4331c3f, ale instanční objekt se liší podle tenanta. K získání instančního objektu použijte azure Active Directory Graph API a servicePrincipals koncového bodu REST. Pak azure Blueprints udělte roli vlastníka prostřednictvím portálu, Azure CLI, Azure PowerShell, rozhraní REST API nebo šablony Azure Resource Manager.

Služba Azure Blueprints nenasazuje prostředky přímo.

Vytvoří se objekt přiřazení podrobného plánu.

Uživatel, skupina nebo instanční objekt přiřadí podrobný plán k předplatnému. Objekt přiřazení existuje na úrovni předplatného, kde byl podrobný plán přiřazen. Prostředky vytvořené nasazením se nekončí v kontextu nasazující entity.

Při vytváření přiřazení podrobného plánu je vybraný typ spravované identity . Výchozí je spravovaná identita přiřazená systémem . Je možné zvolit spravovanou identitu přiřazenou uživatelem . Při použití spravované identity přiřazené uživatelem musí být před vytvořením přiřazení podrobného plánu definována a udělena oprávnění. Předdefinované role Vlastník i Operátor podrobného plánu mají potřebná blueprintAssignment/write oprávnění k vytvoření přiřazení, které používá spravovanou identitu přiřazenou uživatelem .

Volitelné – Azure Blueprints vytvoří spravovanou identitu přiřazenou systémem.

Když se během přiřazení vybere spravovaná identita přiřazená systémem , Azure Blueprints ji vytvoří a udělí spravované identitě roli vlastníka . Pokud se upgraduje existující přiřazení, Azure Blueprints použije dříve vytvořenou spravovanou identitu.

Spravovaná identita související s přiřazením podrobného plánu se používá k nasazení nebo opětovnému nasazení prostředků definovaných v podrobném plánu. Tento návrh zabrání tomu, aby se přiřazení neúmyslně vzájemně rušila. Tento návrh také podporuje funkci zamykání prostředků tím, že řídí zabezpečení každého nasazeného prostředku z podrobného plánu.

Spravovaná identita nasadí artefakty podrobného plánu.

Spravovaná identita pak aktivuje Resource Manager nasazení artefaktů v rámci podrobného plánu v definovaném pořadí pořadí. Pořadí je možné upravit, aby se zajistilo, že se artefakty závislé na jiných artefaktech nasadí ve správném pořadí.

Selhání přístupu nasazením je často výsledkem úrovně přístupu udělené spravované identitě. Služba Azure Blueprints spravuje životní cyklus zabezpečení spravované identity přiřazené systémem . Uživatel ale zodpovídá za správu práv a životního cyklu spravované identity přiřazené uživatelem .

Služba podrobného plánu a práva spravované identity přiřazené systémem se odvolají.

Po dokončení nasazení služba Azure Blueprints odvolá práva spravované identity přiřazené systémem z předplatného. Pak služba Azure Blueprints odvolá svá práva z předplatného. Odebrání práv zabraňuje službě Azure Blueprints stát se trvalým vlastníkem předplatného.

Další kroky