Preguntas más frecuentes sobre la migración desde una cuenta de ejecución a identidades administradas
Las siguientes preguntas más frecuentes pueden ayudarle a migrar de una cuenta de ejecución a una identidad administrada en Azure Automation. Si tiene alguna otra pregunta sobre las funcionalidades, escriba en el foro de discusión. Si una pregunta es frecuente, se agrega a este artículo para que todo el mundo tenga acceso a ella.
¿Durante cuánto tiempo se admitirá una cuenta de ejecución?
Las cuentas de ejecución de Automation se admitirán hasta el 30 de septiembre de 2023. Además, a partir del 1 de abril de 2023, la creación de nuevas cuentas de ejecución en Azure Automation no será posible. La renovación de certificados para las cuentas de ejecución existentes solo sería posible hasta el final de la asistencia.
¿Podrán autenticarse los runbooks existentes que usen la cuenta de ejecución?
Sí, podrán autenticarse. Los runbooks existentes que usen una cuenta de ejecución no se verán afectados. Después del 30 de septiembre de 2023, no se admitirían todas las ejecuciones de runbook con cuentas de ejecución clásicas, incluidas las cuentas de ejecución clásicas. Por lo tanto, debe migrar todos los runbooks para usar identidades administradas antes de esa fecha.
Mi cuenta de ejecución expirará pronto, ¿cómo puedo renovarla?
Si el certificado de cuenta de ejecución expira pronto, es un buen momento para empezar a usar identidades administradas para la autenticación en lugar de renovar el certificado. Sin embargo, si desea renovarla, podrá hacerlo a través del portal hasta el 30 de septiembre de 2023.
¿Puedo crear nuevas cuentas de ejecución?
Desde el 1 de abril de 2023, la creación de nuevas cuentas de ejecución no es posible. Se recomienda encarecidamente empezar a usar identidades administradas para la autenticación en lugar de crear nuevas cuentas de ejecución.
¿Los runbooks que todavía usan la cuenta de ejecución podrán autenticarse después del 30 de septiembre de 2023?
Sí, los runbooks podrán autenticarse hasta que el certificado de cuenta de ejecución expire. Después del 30 de septiembre de 2023, no se admitirían todas las ejecuciones de runbook con cuentas de ejecución.
¿Se retiran los recursos de conexiones y credenciales el 30 de septiembre de 2023?
Las cuentas de ejecución de Automation no se admitirán después del 30 de septiembre de 2023. Las conexiones y los recursos de credenciales no se incluyen en la vista previa de esta retirada. Para una forma más segura de autenticación, se recomienda usar identidades administradas.
¿Qué es una identidad administrada?
Las aplicaciones usan identidades administradas en Microsoft Entra ID cuando se conectan a recursos que admiten la autenticación de Microsoft Entra. Las aplicaciones pueden usar identidades administradas para obtener tokens de Microsoft Entra sin administrar credenciales, secretos, certificados o claves.
Para más información sobre las identidades administradas en Microsoft Entra ID, consulte Identidades administradas para recursos de Azure.
¿Qué puedo hacer con una identidad administrada en las cuentas de Automation?
Una identidad administrada de Azure Automation de Microsoft Entra ID permite al runbook acceder a otros recursos protegidos por Microsoft Entra fácilmente. La plataforma Azure administra esta identidad y no es necesario que lleve a cabo el aprovisionamiento ni la rotación de los secretos.
Las principales ventajas son:
- Puede usar las identidades administradas para autenticarse en cualquier servicio de Azure que admita la autenticación de Microsoft Entra.
- Las identidades administradas eliminan la sobrecarga asociada a la administración de cuentas de ejecución en el código del runbook. Puede acceder a los recursos a través de una identidad administrada de una cuenta de Automation desde un runbook sin preocuparse por la creación de la entidad de servicio, el certificado de ejecución, la conexión de ejecución, etc.
- No es necesario renovar el certificado que usa la cuenta de ejecución de Automation.
¿Las identidades administradas son más seguras que una cuenta de ejecución?
Una cuenta de ejecución crea una aplicación de Microsoft Entra que se usa para administrar los recursos de la suscripción a través de un certificado que tiene acceso de colaborador en el nivel de suscripción de forma predeterminada. Un usuario malintencionado podría usar este certificado para realizar una operación con privilegios en los recursos de la suscripción, lo que podría provocar vulnerabilidades.
Las cuentas de ejecución también tienen una sobrecarga de administración que implica la creación de una entidad de servicio, certificado de ejecución, conexión de ejecución, renovación de certificados, etc. Las identidades administradas eliminan esta sobrecarga proporcionando un método seguro para que los usuarios autentiquen recursos que admiten la autenticación de Microsoft Entra sin preocuparse por ninguna administración de certificados o credenciales, y accedan a ellos.
¿Se puede usar una identidad administrada para los trabajos híbridos y en la nube?
Azure Automation admite identidades administradas asignadas por el sistema para trabajos híbridos y en la nube. Actualmente, las identidades administradas asignadas por el usuario de Azure Automation solo se pueden usar para trabajos en la nube y no para trabajos que se ejecutan en un trabajo híbrido.
¿Cómo puedo migrar desde una cuenta de ejecución que ya existe a una identidad administrada?
Siga los pasos descritos en Migración de una cuenta de ejecución que ya existe a una identidad administrada.
¿Cómo puedo ver los runbooks que usan una cuenta de ejecución y saber qué permisos se asignan a esa cuenta?
Use este script para averiguar qué cuentas de Automation usan una cuenta de ejecución. Si las cuentas de Azure Automation contienen una cuenta de ejecución, tendrá asignado el rol de colaborador integrado de forma predeterminada. Puede usar el script para comprobar las cuentas de ejecución de Azure Automation y determinar si su asignación de roles es la predeterminada o si se ha cambiado a otra definición de rol.
Pasos siguientes
Si su pregunta no se ha respondido aquí, puede consultar las fuentes siguientes para preguntas y respuestas adicionales: