Szerepkör-engedélyek és biztonság kezelése az Azure Automationben
Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) lehetővé teszi az Azure-erőforrások hozzáférés-kezelését. Az Azure RBAC használatával elkülönítheti a csapaton belüli feladatokat, és csak annyi hozzáférést biztosíthat a felhasználókhoz, csoportokhoz és alkalmazásokhoz, amelyekre a feladataik elvégzéséhez szükségük van. Szerepköralapú hozzáférést biztosíthat a felhasználóknak az Azure Portal, az Azure Parancssori eszközök vagy az Azure Management API-k használatával.
Szerepkörök az Automation-fiókokban
Az Azure Automationban a hozzáférés biztosítása a megfelelő Azure-szerepkör hozzárendelésével történik a felhasználókhoz, csoportokhoz és alkalmazásokhoz az Automation-fiók hatókörében. Alább láthatók az Automation-fiók által támogatott beépített szerepkörök:
| Szerepkör | Ismertetés |
|---|---|
| Owner | A Tulajdonos szerepkör hozzáférést biztosít az Automatizálási fiókon belüli összes erőforráshoz és művelethez, beleértve a hozzáférést más felhasználók, csoportok és alkalmazások számára az Automatizálási fiók kezeléséhez. |
| Contributor | A közreműködői szerepkör segítségével minden elemet kezelhet, csak más felhasználók Automation-fiókokra vonatkozó hozzáférési jogosultságait nem módosíthatja. |
| Reader | Az Olvasó szerepkör lehetővé teszi, hogy megtekinthesse az Automatizálási fiók összes erőforrását, de nem végezhet módosításokat. |
| Automatizálási közreműködő | Az Automation Contributor szerepkör lehetővé teszi az Automation-fiók összes erőforrásának kezelését, kivéve más felhasználók Automation-fiókhoz való hozzáférési jogosultságainak módosítását. |
| Automation-operátor | Az Automatizálási operátor szerepkör lehetővé teszi a futtatási könyvek nevének és tulajdonságainak megtekintését, valamint az Automatizálási fiókban lévő összes futtatási könyv feladatainak létrehozását és kezelését. Ez a szerepkör akkor hasznos, ha meg szeretné védeni az Automatizálási fiók erőforrásait, például a hitelesítő adatok és a futtatási könyvek megtekintésétől vagy módosításától, de a szervezet tagjai számára mégis lehetővé kívánja tenni a futtatási könyvek végrehajtását. |
| Automation-feladat operátora | Az Automation Job Operator szerepkör lehetővé teszi, hogy létrehozza és kezelje az Automation-fiók összes futtatási könyvének munkáit. |
| Automatizálási futtatókönyv-kezelő | Az Automation Runbook Operator szerepkör lehetővé teszi a futtatási könyvek nevének és tulajdonságainak megtekintését. |
| Log Analytics közreműködő | A Log Analytics Contributor szerepkör lehetővé teszi az összes felügyeleti adat olvasását és a felügyeleti beállítások szerkesztését. A felügyeleti beállítások szerkesztése magában foglalja a VM-bővítmény hozzáadását a VM-ekhez, a tárolási fiókkulcsok olvasását, hogy konfigurálni lehessen a naplók összegyűjtését az Azure tárolóból, az Automatizálási fiókok létrehozását és konfigurálását, az Azure Automation funkciók hozzáadását, valamint az Azure diagnosztika konfigurálását az összes Azure-erőforráson. |
| Log Analytics olvasó | A Log Analytics Reader szerepkör lehetővé teszi az összes felügyeleti adat megtekintését és keresését, valamint a felügyeleti beállítások megtekintését. Ez magában foglalja az Azure diagnosztika konfigurációjának megtekintését az összes Azure-erőforráson. |
| Figyelési közreműködő | A Monitoring Contributor szerepkör lehetővé teszi az összes felügyeleti adat olvasását és a felügyeleti beállítások frissítését. |
| Figyelési olvasó | A Monitoring olvasó szerepkör lehetővé teszi az összes monitoringadat olvasását. |
| User Access Administrator | A felhasználói hozzáférés rendszergazdájának szerepköre lehetővé teszi, hogy kezelje a felhasználói hozzáférést az Azure Automation-fiókokhoz. |
Szerepkör-engedélyek
Az alábbi táblázatok az egyes szerepkörökhöz adott engedélyeket ismertetik. Ez magában foglalhat olyan Műveleteket, amelyek engedélyeket adnak, és Nem műveleteket, amelyek korlátozzák azokat.
Owner
A tulajdonos mindent kezelhet, beleértve a hozzáférést is. A következő táblázat a szerepkörhöz megadott engedélyeket mutatja:
| Műveletek | Leírás |
|---|---|
| Microsoft.Automation/automationAccounts/* | Minden típusú erőforrás létrehozása és kezelése. |
Contributor
A Hozzájáruló mindent kezelhet, kivéve a hozzáférést. A következő táblázat a szerepkör számára megadott és megtagadott engedélyeket mutatja:
| Actions | Ismertetés |
|---|---|
| Microsoft.Automation/automationAccounts/* | Minden típusú erőforrás létrehozása és kezelése |
| Nem akciók | |
| Microsoft.Authorization/*/Delete | Szerepkörök és szerepkör-kijelölések törlése. |
| Microsoft.Authorization/*/Write | Szerepkörök és szerepkör-kiosztások létrehozása. |
| Microsoft.Authorization/elevateAccess/Action | Megtagadja a Felhasználói hozzáférés rendszergazda létrehozásának lehetőségét. |
Reader
Megjegyzés:
Nemrég módosítottuk az Automation-fiók beépített Olvasó szerepkör-engedélyét. További információ
Az Olvasó megtekintheti az Automatizálási fiók összes erőforrását, de nem módosíthatja azokat.
| Actions | Ismertetés |
|---|---|
| Microsoft.Automation/automationAccounts/read | Az összes erőforrás megtekintése egy Automatizálási fiókban. |
Automatizálási közreműködő
Az Automation Contributor az Automation-fiók összes erőforrását kezelheti, kivéve a hozzáférést. A következő táblázat a szerepkörhöz megadott engedélyeket mutatja:
| Actions | Ismertetés |
|---|---|
| Microsoft.Automation/automationAccounts/* | Minden típusú erőforrás létrehozása és kezelése. |
| Microsoft.Authorization/*/read | Olvassa el a szerepeket és szerepkiosztásokat. |
| Microsoft.Resources/deployments/* | Erőforráscsoport-telepítések létrehozása és kezelése. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Erőforrás-csoport telepítések olvasása. |
| Microsoft.Support/* | Támogatási jegyek létrehozása és kezelése. |
| Microsoft.Insights/ActionGroups/* | Műveleti csoportok olvasása/írása/törlése. |
| Microsoft.Insights/ActivityLogAlerts/* | Tevékenységi naplójelzések olvasása/írása/törlése. |
| Microsoft.Insights/diagnosticSettings/* | Diagnosztikai beállítások olvasása/írása/törlése. |
| Microsoft.Insights/MetricAlerts/* | Közel valós idejű metrikus riasztások olvasása/írása/törlése. |
| Microsoft.Insights/ScheduledQueryRules/* | Naplójelzések olvasása/írása/törlése az Azure Monitorban. |
| Microsoft.OperationalInsights/workspaces/sharedKeys/action | A Log Analytics munkaterület kulcsainak listája |
Megjegyzés:
Az Automation közreműködői szerepkörrel bármely erőforráshoz hozzáférhet a felügyelt identitás használatával, ha a célerőforráson megfelelő engedélyek vannak beállítva, vagy futtató fiók használatával. Az Automation futtató fiók alapértelmezés szerint közreműködői jogosultságokkal van konfigurálva az előfizetésen. Kövesse a legalacsonyabb jogosultsági szint elvét, és ügyeljen arra, hogy csak a runbook végrehajtásához szükséges engedélyeket rendelje hozzá. Ha az Automation-fiókra például csak egy Azure-beli virtuális gép elindításához vagy leállításához van szükség, akkor a futtató fiókhoz vagy felügyelt identitáshoz rendelt engedélyeknek csak a virtuális gép elindítására vagy leállítására kell vonatkozniuk. Hasonlóképpen, ha egy runbook a Blob Storage-ból olvas, akkor csak olvasási engedélyeket rendeljen hozzá.
A jogosultságok kiosztásakor ajánlott az Azure szerepkör alapú hozzáférés-szabályozás (RBAC) használata, amely egy kezelt identitáshoz van rendelve. Tekintse át a legjobb megközelítést ajánlásokat a rendszer vagy a felhasználó által kijelölt kezelt személyazonosság használatára, beleértve az életciklus alatti kezelést és irányítást.
Automation-operátor
Az Automatizálási operátor képes munkákat létrehozni és kezelni, valamint olvasni a futtatási könyvek nevét és tulajdonságait az Automatizálási fiókban lévő összes futtatási könyvre vonatkozóan.
Megjegyzés:
Ha az egyes runbookokhoz való operátori hozzáférést szeretné szabályozni, akkor ne állítsa be ezt a szerepkört. Ehelyett használja az Automation-feladatkezelő és az Automation Runbook-operátor szerepköröket kombinálva.
A következő táblázat a szerepkörhöz megadott engedélyeket mutatja:
| Actions | Ismertetés |
|---|---|
| Microsoft.Authorization/*/read | Olvassa el az engedélyt. |
| Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read | Olvassa el a Hybrid Runbook Worker erőforrásokat. |
| Microsoft.Automation/automationAccounts/jobs/read | A futtatási könyv feladatainak listája. |
| Microsoft.Automation/automationAccounts/jobs/resume/action | Folytassa a szüneteltetett munkát. |
| Microsoft.Automation/automationAccounts/jobs/stop/action | Folyamatban lévő munka törlése. |
| Microsoft.Automation/automationAccounts/jobs/streams/read | Olvassa el a munkafolyamatokat és a kimenetet. |
| Microsoft.Automation/automationAccounts/jobs/output/read | Szerezd meg a munka kimenetét. |
| Microsoft.Automation/automationAccounts/jobs/suspend/action | Folyamatban lévő munka szüneteltetése. |
| Microsoft.Automation/automationAccounts/jobs/write | Munkahelyek teremtése. |
| Microsoft.Automation/automationAccounts/jobSchedules/read | Azure Automation munkabeosztás ütemezésének lekérdezése. |
| Microsoft.Automation/automationAccounts/jobSchedules/write | Hozzon létre egy Azure Automation munkabeosztást. |
| Microsoft.Automation/automationAccounts/linkedWorkspace/read | Az Automatizálási fiókhoz kapcsolódó munkaterület lekérdezése. |
| Microsoft.Automation/automationAccounts/read | Szerezzen be egy Azure Automation-fiókot. |
| Microsoft.Automation/automationAutomationAccounts/runbooks/read | Szerezzen be egy Azure Automation futtatókönyvet. |
| Microsoft.Automation/automationAccounts/schedules/read | Azure Automation ütemezési eszköz beszerzése. |
| Microsoft.Automation/automationAccounts/schedules/write | Azure Automation ütemezési eszköz létrehozása vagy frissítése. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Olvassa el a szerepeket és szerepkiosztásokat. |
| Microsoft.Resources/deployments/* | Erőforráscsoport-telepítések létrehozása és kezelése. |
| Microsoft.Insights/alertRules/* | Riasztási szabályok létrehozása és kezelése. |
| Microsoft.Support/* | Támogatási jegyek létrehozása és kezelése. |
| Microsoft.ResourceHealth/availabilityStatuses/read | A megadott hatókörben lévő összes erőforrás elérhetőségi állapotának lekérdezése. |
Automation-feladat operátora
Az Automatizálási feladat üzemeltetője szerepkör az Automatizálási fiók hatókörében van megadva. Ez lehetővé teszi az üzemeltető számára, hogy a fiókban lévő összes futtatási könyvhöz tartozó munkákat létrehozza és kezelje. Ha a Job Operator szerepkör olvasási jogosultságokat kap az Automatizálási fiókot tartalmazó erőforráscsoportban, a szerepkör tagjai képesek futtatási könyveket indítani. Azonban nem képesek létrehozni, szerkeszteni vagy törölni őket.
A következő táblázat a szerepkörhöz megadott engedélyeket mutatja:
| Actions | Ismertetés |
|---|---|
| Microsoft.Authorization/*/read | Olvassa el az engedélyt. |
| Microsoft.Automation/automationAccounts/jobs/read | A futtatási könyv feladatainak listája. |
| Microsoft.Automation/automationAccounts/jobs/resume/action | Folytassa a szüneteltetett munkát. |
| Microsoft.Automation/automationAccounts/jobs/stop/action | Folyamatban lévő munka törlése. |
| Microsoft.Automation/automationAccounts/jobs/streams/read | Olvassa el a munkafolyamatokat és a kimenetet. |
| Microsoft.Automation/automationAccounts/jobs/suspend/action | Folyamatban lévő munka szüneteltetése. |
| Microsoft.Automation/automationAccounts/jobs/write | Munkahelyek teremtése. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Olvassa el a szerepeket és szerepkiosztásokat. |
| Microsoft.Resources/deployments/* | Erőforráscsoport-telepítések létrehozása és kezelése. |
| Microsoft.Insights/alertRules/* | Riasztási szabályok létrehozása és kezelése. |
| Microsoft.Support/* | Támogatási jegyek létrehozása és kezelése. |
| Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read | Hibrid futókönyv-munkavállalói csoport olvasása. |
| Microsoft.Automation/automationAccounts/jobs/output/read | Egy feladat kimeneteinek lekérdezése. |
Automatizálási futtatókönyv-kezelő
Az Automatizálási futókönyv-üzemeltető szerepkör a futókönyv hatókörében van megadva. Az automatizálási futtatási könyv üzemeltetője megtekintheti a futtatási könyv nevét és tulajdonságait. Ez a szerepkör az Automation-feladatkezelő szerepkörrel kombinálva lehetővé teszi az operátor számára a runbookhoz tartozó feladatok létrehozását és kezelését is. A következő táblázat a szerepkörhöz megadott engedélyeket mutatja:
| Actions | Ismertetés |
|---|---|
| Microsoft.Automation/automationAutomationAccounts/runbooks/read | Sorolja fel a futókönyveket. |
| Microsoft.Authorization/*/read | Olvassa el az engedélyt. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Olvassa el a szerepeket és szerepkiosztásokat. |
| Microsoft.Resources/deployments/* | Erőforráscsoport-telepítések létrehozása és kezelése. |
| Microsoft.Insights/alertRules/* | Riasztási szabályok létrehozása és kezelése. |
| Microsoft.Support/* | Támogatási jegyek létrehozása és kezelése. |
Log Analytics közreműködő
A Log Analytics Contributor elolvashatja az összes felügyeleti adatot és szerkesztheti a felügyeleti beállításokat. A felügyeleti beállítások szerkesztése magában foglalja a VM-bővítmény hozzáadását a VM-ekhez; a tárolási fiókkulcsok olvasását, hogy konfigurálni lehessen a naplók összegyűjtését az Azure Storage-ból; az Automatizálási fiókok létrehozását és konfigurálását; a funkciók hozzáadását; és az Azure diagnosztika konfigurálását az összes Azure-erőforráson. A következő táblázat a szerepkörhöz megadott engedélyeket mutatja:
| Actions | Ismertetés |
|---|---|
| */read | Minden típusú forrás olvasása, kivéve a titkokat. |
| Microsoft.ClassicCompute/virtualMachines/extensions/* | Virtuális gépbővítmények létrehozása és kezelése. |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | Klasszikus tárolási fiókkulcsok listája. |
| Microsoft.Compute/virtualMachines/extensions/* | Klasszikus virtuális gépbővítmények létrehozása és kezelése. |
| Microsoft.Insights/alertRules/* | Riasztási szabályok olvasása/írása/törlése. |
| Microsoft.Insights/diagnosticSettings/* | Diagnosztikai beállítások olvasása/írása/törlése. |
| Microsoft.OperationalInsights/* | Az Azure Monitor naplók kezelése. |
| Microsoft.OperationsManagement/* | Az Azure Automation funkciók kezelése munkaterületeken. |
| Microsoft.Resources/deployments/* | Erőforráscsoport-telepítések létrehozása és kezelése. |
| Microsoft.Resources/subscriptions/resourcegroups/deployments/* | Erőforráscsoport-telepítések létrehozása és kezelése. |
| Microsoft.Storage/storageAccounts/listKeys/action | Tárolási fiókkulcsok listája. |
| Microsoft.Support/* | Támogatási jegyek létrehozása és kezelése. |
| Microsoft.HybridCompute/machines/extensions/write | Azure Arc bővítmények telepítése vagy frissítése. |
Log Analytics olvasó
A Log Analytics olvasó megtekintheti és keresheti az összes felügyeleti adatot, valamint a felügyeleti beállításokat, beleértve az Azure diagnosztika konfigurációjának megtekintését az összes Azure-erőforráson. A következő táblázat a szerepkör számára megadott vagy megtagadott engedélyeket mutatja:
| Actions | Ismertetés |
|---|---|
| */read | Minden típusú forrás olvasása, kivéve a titkokat. |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Az Azure Monitor naplóiban lévő lekérdezések kezelése. |
| Microsoft.OperationalInsights/workspaces/search/action | Azure Monitor naplóadatok keresése. |
| Microsoft.Support/* | Támogatási jegyek létrehozása és kezelése. |
| Nem akciók | |
| Microsoft.OperationalInsights/workspaces/sharedKeys/read | Nem tudja elolvasni a megosztott hozzáférési kulcsokat. |
Figyelési közreműködő
A Monitoring Contributor elolvashatja az összes felügyeleti adatot és frissítheti a felügyeleti beállításokat. A következő táblázat a szerepkörhöz megadott engedélyeket mutatja:
| Actions | Ismertetés |
|---|---|
| */read | Minden típusú forrás olvasása, kivéve a titkokat. |
| Microsoft.AlertsManagement/alerts/* | Riasztások kezelése. |
| Microsoft.AlertsManagement/alertsSummary/* | A riasztási műszerfal kezelése. |
| Microsoft.Insights/AlertRules/* | Riasztási szabályok kezelése. |
| Microsoft.Insights/components/* | Application Insights komponensek kezelése. |
| Microsoft.Insights/DiagnosticSettings/* | Diagnosztikai beállítások kezelése. |
| Microsoft.Insights/eventtypes/* | Tevékenységi napló eseményeinek (kezelési események) listázása egy előfizetésben. Ez az engedély a tevékenységi naplóhoz való programozási és portálos hozzáférésre egyaránt vonatkozik. |
| Microsoft.Insights/LogDefinitions/* | Ez a jogosultság azon felhasználók számára szükséges, akiknek a portálon keresztül kell hozzáférniük a tevékenységi naplókhoz. Naplókategóriák listázása a Tevékenységi naplóban. |
| Microsoft.Insights/MetricDefinitions/* | Metrikadefiníciók olvasása (az erőforráshoz rendelkezésre álló metrikatípusok listája). |
| Microsoft.Insights/Metrics/* | Metrikák olvasása egy erőforráshoz. |
| Microsoft.Insights/Regisztráció/Ació | Regisztrálja a Microsoft.Insights szolgáltatót. |
| Microsoft.Insights/webtests/* | Application Insights webes tesztek kezelése. |
| Microsoft.OperationalInsights/workspaces/intelligencepacks/* | Azure Monitor naplók megoldási csomagok kezelése. |
| Microsoft.OperationalInsights/workspaces/savedSearches/* | Az Azure Monitor naplók mentett keresések kezelése. |
| Microsoft.OperationalInsights/workspaces/search/action | Keresés a Log Analytics munkaterületeken. |
| Microsoft.OperationalInsights/workspaces/sharedKeys/action | A Log Analytics munkaterület kulcsainak listája. |
| Microsoft.OperationalInsights/workspaces/storageinsightconfigs/* | Az Azure Monitor naplók tárolási betekintés konfigurációinak kezelése. |
| Microsoft.Support/* | Támogatási jegyek létrehozása és kezelése. |
| Microsoft.WorkloadMonitor/workloads/* | Munkaterhelések kezelése. |
Figyelési olvasó
A felügyeleti olvasó minden felügyeleti adatot be tud olvasni. A következő táblázat a szerepkörhöz megadott engedélyeket mutatja:
| Actions | Ismertetés |
|---|---|
| */read | Minden típusú forrás olvasása, kivéve a titkokat. |
| Microsoft.OperationalInsights/workspaces/search/action | Keresés a Log Analytics munkaterületeken. |
| Microsoft.Support/* | Támogatási jegyek létrehozása és kezelése |
User Access Administrator
A felhasználói hozzáférési rendszergazda kezelheti a felhasználók Azure-erőforrásokhoz való hozzáférését. A következő táblázat a szerepkörhöz megadott engedélyeket mutatja:
| Actions | Ismertetés |
|---|---|
| */read | Minden forrás elolvasása |
| Microsoft.Authorization/* | Engedélyezés kezelése |
| Microsoft.Support/* | Támogatási jegyek létrehozása és kezelése |
Olvasói szerepkör hozzáférési jogosultságai
Fontos
Az Azure Automation általános biztonsági helyzetének megerősítése érdekében a beépített RBAC-olvasó nem férne hozzá az Automation-fiókkulcsokhoz az API-híváson keresztül – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION.
Az Automation-fiók beépített olvasó szerepköre nem tudja beolvasni az API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION Automation-fiók kulcsait. Ez egy olyan magas jogosultságú művelet, amely érzékeny információkat szolgáltat, amelyek biztonsági kockázatot jelenthetnek egy alacsony jogosultságokkal rendelkező, nem kívánt rosszindulatú szereplő számára, aki hozzáférhet az automatizálási fiókkulcsokhoz, és magasabb jogosultsági szinten végezhet műveleteket.
A hozzáféréshez API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATIONjavasoljuk, hogy az Automation-fiókkulcsok eléréséhez váltson a beépített szerepkörökre, például tulajdonosra, közreműködőre vagy Automation-közreműködőre. Ezek a szerepkörök alapértelmezés szerint rendelkeznek a listKeys engedéllyel. Legjobb gyakorlatként azt javasoljuk, hogy hozzon létre egy egyéni szerepet korlátozott jogosultságokkal az Automatizálási fiókkulcsokhoz való hozzáféréshez. Egyéni szerepkörök esetén engedélyt kell adnia Microsoft.Automation/automationAccounts/listKeys/action a szerepkör-definícióhoz.
További információ arról, hogyan hozhat létre egyéni szerepkört az Azure Portalon.
Szolgáltatásbeállítási engedélyek
A következő szakaszok az Update Management és változáskövetés és leltározás funkciók engedélyezéséhez szükséges minimálisan szükséges engedélyeket ismertetik.
Engedélyek az Update Management és változáskövetés és leltározás virtuális gépről való engedélyezéséhez
| Action | Permission | Minimális hatókör |
|---|---|---|
| Új üzembe helyezés írása | Microsoft.Resources/deployments/* | Subscription |
| Új erőforráscsoport írása | Microsoft.Resources/subscriptions/resourceGroups/write | Subscription |
| Új alapértelmezett munkaterület létrehozása | Microsoft.Operational Elemzések/workspaces/write | Erőforráscsoport |
| Új fiók létrehozása | Microsoft.Automation/automationAccounts/write | Erőforráscsoport |
| Munkaterület és fiók csatolása | Microsoft.Operational Elemzések/workspaces/write Microsoft.Automation/automationAccounts/read |
Workspace Automation-fiók |
| MMA-bővítmény létrehozása | Microsoft.Compute/virtualMachines/write | Virtuális gép |
| Mentett keresés létrehozása | Microsoft.Operational Elemzések/workspaces/write | Workspace |
| Hatókör konfigurációjának létrehozása | Microsoft.Operational Elemzések/workspaces/write | Workspace |
| Előkészítési állapot ellenőrzése – Olvasási munkaterület | Microsoft.Operational Elemzések/workspaces/read | Workspace |
| Előkészítési állapot ellenőrzése – A fiók csatolt munkaterület-tulajdonságának olvasása | Microsoft.Automation/automationAccounts/read | Automation account |
| Előkészítési állapot ellenőrzése – Megoldás olvasása | Microsoft.Operational Elemzések/workspaces/intelligencepacks/read | Megoldás |
| Előkészítési állapot ellenőrzése – Virtuális gép olvasása | Microsoft.Compute/virtualMachines/read | Virtuális gép |
| Előkészítési állapot ellenőrzése – Fiók olvasása | Microsoft.Automation/automationAccounts/read | Automation account |
| Munkaterület-ellenőrzés előkészítése az 1. virtuális géphez | Microsoft.Operational Elemzések/workspaces/read | Subscription |
| A Log Analytics-szolgáltató regisztrálása | Microsoft. Elemzések/regisztráció/művelet | Subscription |
1 Ez az engedély szükséges a funkciók virtuálisgép-portálon keresztüli engedélyezéséhez.
Engedélyek az Update Management és változáskövetés és leltározás Automation-fiókból való engedélyezéséhez
| Action | Permission | Minimális hatókör |
|---|---|---|
| Új üzembe helyezés létrehozása | Microsoft.Resources/deployments/* | Subscription |
| Új erőforráscsoport létrehozása | Microsoft.Resources/subscriptions/resourceGroups/write | Subscription |
| AutomationOnboarding panel – Új munkaterület létrehozása | Microsoft.Operational Elemzések/workspaces/write | Erőforráscsoport |
| AutomationOnboarding panel – csatolt munkaterület olvasása | Microsoft.Automation/automationAccounts/read | Automation account |
| AutomationOnboarding panel – olvasási megoldás | Microsoft.Operational Elemzések/workspaces/intelligencepacks/read | Megoldás |
| AutomationOnboarding panel – olvasási munkaterület | Microsoft.Operational Elemzések/workspaces/intelligencepacks/read | Workspace |
| Hivatkozás létrehozása munkaterülethez és fiókhoz | Microsoft.Operational Elemzések/workspaces/write | Workspace |
| Fiók írása cipősdobozhoz | Microsoft.Automation/automationAccounts/write | Számla |
| Mentett keresés létrehozása/szerkesztése | Microsoft.Operational Elemzések/workspaces/write | Workspace |
| Hatókör konfigurációjának létrehozása/szerkesztése | Microsoft.Operational Elemzések/workspaces/write | Workspace |
| A Log Analytics-szolgáltató regisztrálása | Microsoft. Elemzések/regisztráció/művelet | Subscription |
| 2. lépés – Több virtuális gép engedélyezése | ||
| VMOnboarding panel – MMA-bővítmény létrehozása | Microsoft.Compute/virtualMachines/write | Virtuális gép |
| Mentett keresés létrehozása/szerkesztése | Microsoft.Operational Elemzések/workspaces/write | Workspace |
| Hatókörkonfiguráció létrehozása/szerkesztése | Microsoft.Operational Elemzések/workspaces/write | Workspace |
Hibrid feldolgozócsoportok és hibrid feldolgozók szerepkör-engedélyeinek kezelése
Egyéni Azure-szerepköröket hozhat létre az Automationben, és a következő engedélyeket adhat a hibrid feldolgozócsoportoknak és a hibrid feldolgozóknak:
- Bővítményalapú hibrid runbook-feldolgozó
- Ügynökalapú Hibrid Windows Runbook-feldolgozó
- Ügynökalapú hibrid Runbook-feldolgozó
Frissítéskezelési engedélyek
Az Update Management segítségével felmérheti és ütemezheti a frissítéstelepítéseket ugyanazon Microsoft Entra-bérlő több előfizetésében lévő gépekre vagy az Azure Lighthouse-t használó bérlőkre. Az alábbi táblázat a frissítéstelepítések kezeléséhez szükséges engedélyeket sorolja fel.
| Erőforrás | Szerepkör | Hatókör |
|---|---|---|
| Automation account | Virtuális gépek közreműködője | A fiók erőforráscsoportja |
| Log Analytics-munkaterület | Log Analytics közreműködő | Log Analytics-munkaterület |
| Log Analytics-munkaterület | Log Analytics olvasó | Subscription |
| Megoldás | Log Analytics közreműködő | Megoldás |
| Virtuális gép | Virtuális gépek közreműködője | Virtuális gép |
| Műveletek a virtuális gépen | ||
| A frissítésütemezés végrehajtásának előzményeinek megtekintése (szoftverfrissítési konfigurációs gép futtatása) | Reader | Automation account |
| Műveletek a virtuális gépen | Permission | |
| Frissítési ütemezés létrehozása (szoftverfrissítési konfigurációk) | Microsoft.Compute/virtualMachines/write | Statikus virtuálisgép-lista és erőforráscsoportok esetén |
| Frissítési ütemezés létrehozása (szoftverfrissítési konfigurációk) | Microsoft.OperationalInsights/workspaces/analytics/query/action | Nem Azure-beli dinamikus lista használata esetén a munkaterület erőforrás-azonosítója. |
Megjegyzés:
Az Update Management használatakor győződjön meg arról, hogy a szkriptek végrehajtási szabályzata RemoteSigned.
Az Azure RBAC konfigurálása az Automation-fiókhoz
Az alábbi szakasz bemutatja, hogyan konfigurálhatja az Azure RBAC-t az Automation-fiókjában az Azure Portalon és a PowerShellen keresztül.
Az Azure RBAC konfigurálása az Azure Portal használatával
Jelentkezzen be az Azure Portalra , és nyissa meg Automation-fiókját az Automation-fiókok lapon.
Válassza a Hozzáférés-vezérlés (IAM) lehetőséget, és válasszon ki egy szerepkört az elérhető szerepkörök listájából. Kiválaszthatja az Automation-fiókok által támogatott elérhető beépített szerepköröket, vagy bármilyen egyéni szerepkört, amelyet esetleg definiált. Rendelje hozzá a szerepkört egy olyan felhasználóhoz, amelyhez engedélyeket szeretne adni.
A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.
Megjegyzés:
Szerepköralapú hozzáférés-vezérlést csak az Automation-fiók hatókörében állíthat be, az Automation-fiók alatti erőforrásokban nem.
Szerepkör-hozzárendelések eltávolítása egy felhasználótól
Eltávolíthatja a hozzáférési engedélyt azoknak a felhasználóknak, akik nem kezelik az Automation-fiókot, vagy akik már nem dolgoznak a szervezetnél. Az alábbi lépések bemutatják, hogyan távolíthatja el a szerepkör-hozzárendeléseket egy felhasználótól. Részletes lépésekért tekintse meg az Azure-szerepkör-hozzárendelések eltávolítása című témakört:
Nyissa meg a hozzáférés-vezérlést (IAM) egy hatókörön, például felügyeleti csoporton, előfizetésen, erőforráscsoporton vagy erőforráson, ahol el szeretné távolítani a hozzáférést.
Válassza a Szerepkör-hozzárendelések lapot az összes szerepkör-hozzárendelés megtekintéséhez ebben a hatókörben.
A szerepkör-hozzárendelések listájában adjon hozzá egy pipát a felhasználó mellett az eltávolítani kívánt szerepkör-hozzárendeléssel.
Select Remove.
Az Azure RBAC konfigurálása a PowerShell használatával
Az Automation-fiókok szerepköralapú hozzáférését az alábbi Azure PowerShell-parancsmagok használatával is konfigurálhatja:
A Get-AzRoleDefinition felsorolja a Microsoft Entra ID-ban elérhető összes Azure-szerepkört. Ezzel a parancsmaggal a Name paraméterrel listázhatja azokat a műveleteket, amelyeket egy adott szerepkör végrehajthat.
Get-AzRoleDefinition -Name 'Automation Operator'
A példa kimenete a következő:
Name : Automation Operator
Id : d3881f73-407a-4167-8283-e981cbba0404
IsCustom : False
Description : Automation Operators are able to start, stop, suspend, and resume jobs
Actions : {Microsoft.Authorization/*/read, Microsoft.Automation/automationAccounts/jobs/read, Microsoft.Automation/automationAccounts/jobs/resume/action,
Microsoft.Automation/automationAccounts/jobs/stop/action...}
NotActions : {}
AssignableScopes : {/}
A Get-AzRoleAssignment listázza az Azure-szerepkör-hozzárendeléseket a megadott hatókörben. Paraméterek nélkül ez a parancsmag az előfizetésben végrehajtott összes szerepkör-hozzárendelést adja vissza. A paraméter használatával ExpandPrincipalGroups listázhatja a megadott felhasználó hozzáférési hozzárendeléseit, valamint azokat a csoportokat, amelyekhez a felhasználó tartozik.
Példa: Az alábbi parancsmaggal listázhatja egy Automation-fiók összes felhasználóját és szerepkörét.
Get-AzRoleAssignment -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'
A példa kimenete a következő:
RoleAssignmentId : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
ers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName : admin@contoso.com
SignInName : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId : d3881f73-407a-4167-8283-e981cbba0404
ObjectId : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType : User
A New-AzRoleAssignment használatával hozzáférést rendelhet felhasználókhoz, csoportokhoz és alkalmazásokhoz egy adott hatókörhöz.
Példa: Az alábbi paranccsal rendelje hozzá az Automation-fiók hatókörében lévő felhasználó "Automation-operátor" szerepkörét.
New-AzRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName 'Automation operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'
A példa kimenete a következő:
RoleAssignmentId : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
ers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName : admin@contoso.com
SignInName : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId : d3881f73-407a-4167-8283-e981cbba0404
ObjectId : bbbbbbbb-1111-2222-3333-cccccccccccc
ObjectType : User
A Remove-AzRoleAssignment használatával eltávolíthatja egy adott felhasználó, csoport vagy alkalmazás hozzáférését egy adott hatókörből.
Példa: A következő paranccsal távolítsa el a felhasználót az Automation-fiók hatókörében lévő Automation-operátor szerepkörből.
Remove-AzRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName 'Automation Operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'
Az előző példában cserélje le sign-in ID of a user you wish to removea , SubscriptionID, Resource Group Nameés Automation account name a fiók adatait. Válassza az igen lehetőséget, amikor a rendszer megerősítést kér a felhasználói szerepkör-hozzárendelések eltávolítása előtt.
Felhasználói élmény az Automation-operátor szerepkörhöz – Automation-fiók
Ha az Automation-fiók hatókörében az Automation-operátor szerepkörhöz rendelt felhasználó megtekinti azt az Automation-fiókot, amelyhez hozzá van rendelve, a felhasználó csak az Automation-fiókban létrehozott runbookok, runbook-feladatok és ütemezések listáját tekintheti meg. Ez a felhasználó nem tudja megtekinteni ezeknek az elemeknek a definícióit. A felhasználó elindíthatja, leállíthatja, felfüggesztheti, folytathatja vagy ütemezheti a runbook-feladatot. A felhasználó azonban nem rendelkezik hozzáféréssel más Automation-erőforrásokhoz, például konfigurációkhoz, hibrid runbook-feldolgozócsoportokhoz vagy DSC-csomópontokhoz.
Az Azure RBAC konfigurálása runbookokhoz
Az Azure Automation lehetővé teszi, hogy Azure-szerepköröket rendeljen hozzá adott runbookokhoz. Ehhez futtassa a következő szkriptet egy felhasználó adott runbookhoz való hozzáadásához. Egy Automation-fiók Rendszergazda istrator vagy bérlői Rendszergazda istrator futtathatja ezt a szkriptet.
$rgName = "<Resource Group Name>" # Resource Group name for the Automation account
$automationAccountName ="<Automation account name>" # Name of the Automation account
$rbName = "<Name of Runbook>" # Name of the runbook
$userId = "<User ObjectId>" # Azure Active Directory (AAD) user's ObjectId from the directory
# Gets the Automation account resource
$aa = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts" -ResourceName $automationAccountName
# Get the Runbook resource
$rb = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts/runbooks" -ResourceName "$rbName"
# The Automation Job Operator role only needs to be run once per user.
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Job Operator" -Scope $aa.ResourceId
# Adds the user to the Automation Runbook Operator role to the Runbook scope
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Runbook Operator" -Scope $rb.ResourceId
A szkript futtatása után a felhasználó jelentkezzen be az Azure Portalra, és válassza a Minden erőforrás lehetőséget. A listában a felhasználó láthatja azt a runbookot, amelyhez Automation Runbook-operátorként lett hozzáadva.
Felhasználói élmény az Automation-operátori szerepkörhöz – Runbook
Ha a Runbook hatókörében az Automation-operátor szerepkörhöz hozzárendelt felhasználó megtekint egy hozzárendelt runbookot, a felhasználó csak elindíthatja a runbookot, és megtekintheti a runbook-feladatokat.
Következő lépések
- A biztonsági irányelveket az Azure Automation biztonsági ajánlott eljárásaiban találhatja meg.
- Az Azure RBAC PowerShell-lel való használatáról további információt az Azure-szerepkör-hozzárendelések hozzáadása vagy eltávolítása az Azure PowerShell használatával című témakörben talál.
- A runbookok típusainak részleteiért tekintse meg az Azure Automation runbook-típusait.
- Runbook indításához lásd : Runbook indítása az Azure Automationben.