Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Automation lehetővé teszi a feladatok automatizálását az Azure erőforrásain, helyszíni környezetekben, valamint más felhőszolgáltatókkal, például az Amazon Web Services (AWS) szolgáltatással. A runbookokkal automatizálhatja a feladatokat, vagy használhat hibrid Runbook Workert, ha üzleti vagy üzemeltetési folyamatokat kell az Azure-on kívül kezelnie. Ezen környezetek bármelyikében való munkavégzéshez engedélyekre van szükség az erőforrások biztonságos eléréséhez a minimálisan szükséges jogosultságokkal.
Ez a cikk az Azure Automation által támogatott hitelesítési forgatókönyveket ismerteti, és bemutatja, hogyan kezdheti meg az első lépéseket a felügyelni kívánt környezet vagy környezet alapján.
Automatizálási fiók
Amikor először indítja el az Azure Automationt, legalább egy Automation-fiókot létre kell hoznia. Az Automation-fiókok lehetővé teszik az Automation-erőforrások, runbookok, objektumok és konfigurációk elkülönítését más fiókok erőforrásaitól. Az Automation-fiókok segítségével elkülönítheti az erőforrásokat különálló logikai környezetekbe vagy delegált felelősségekbe. Használhat például egy fiókot fejlesztéshez, egy másikat az üzemi használatra, egy harmadikat pedig a helyszíni környezethez.
Az Azure Automation-fiók különbözik a Microsoft-fiókjától vagy az Azure-előfizetésében létrehozott fiókoktól. Az Automation-fiók létrehozásának bemutatása: Automation-fiók létrehozása.
Automation-erőforrások
Az egyes Automation-fiókok Automation-erőforrásai egyetlen Azure-régióhoz vannak társítva, de a fiók kezelheti az Azure-előfizetés összes erőforrását. Az Automation-fiókok különböző régiókban történő létrehozásának fő oka az, ha olyan szabályzatokkal rendelkezik, amelyek megkövetelik az adatok és erőforrások elkülönítését egy adott régióban.
Az Azure Resource Managerrel és az Azure Automation PowerShell-parancsmagjaival létrehozott összes feladatnak hitelesítenie kell magát az Azure-ban a Microsoft Entra szervezeti identitás hitelesítő adatokon alapuló hitelesítésével.
Felügyelt identitások
A Microsoft Entra ID-ból származó felügyelt identitás révén a runbook egyszerűen hozzáférhet más, Microsoft Entra által védett erőforrásokhoz. Az identitás kezelését az Azure-platform végzi, és nem szükséges hozzá semmilyen titkos kulcs kiosztása vagy rotálása. A Microsoft Entra ID-ban található felügyelt identitásokról további információt az Azure-erőforrások felügyelt identitásai című témakörben talál.
A felügyelt identitások a runbookokban való hitelesítés ajánlott módjai, és ez az Automation-fiók alapértelmezett hitelesítési metódusa.
A felügyelt identitások használatának néhány előnye:
A felügyelt identitások további költségek nélkül használhatók.
Az Automation-fiók felügyelt identitásával erőforrásokat érhet el egy runbookból anélkül, hogy tanúsítványokat, kapcsolatokat stb. hozna létre.
Az Automation-fiókok kétféle felügyelt identitással hitelesíthetők:
A rendszer által hozzárendelt identitás az alkalmazáshoz kötött, és adott esetben azzal együtt törlődik. Egy alkalmazás csak egy rendszer által hozzárendelt identitással rendelkezhet.
A felhasználó által hozzárendelt identitás különálló Azure-erőforrás, amely hozzárendelhető az alkalmazáshoz. Egy alkalmazás több felhasználó által hozzárendelt identitással is rendelkezhet.
Feljegyzés
A felhasználó által hozzárendelt identitások csak a felhőfeladatok esetében támogatottak. A különböző felügyelt identitásokról további információt az Identitástípusok kezelése című témakörben talál.
A felügyelt identitások használatáról további információt az Azure Automation felügyelt identitásának engedélyezése című témakörben talál.
Előfizetés engedélyei
Rendelkeznie kell a Microsoft.Authorization/*/Write engedéllyel. Ez az engedély az alábbi beépített Azure-szerepkörök tagjaként érhető el:
További információ a klasszikus előfizetések engedélyeiről: Klasszikus Azure előfizetés-adminisztrátorok.
Microsoft Entra-engedélyek
A szolgáltatási megbízó megújításához a következő beépített Microsoft Entra-szerepkörök egyikének tagjának kell lennie:
A tagság a bérlő minden felhasználója számára hozzárendelhető a címtár szintjén, ez az alapértelmezett viselkedés. A címtár szintjén a két szerepkör közül bármelyiknek adhat tagságot. További információért tekintse meg, hogy ki rendelkezik engedéllyel alkalmazások hozzáadásához a Microsoft Entra-példányhoz.
Automation fiók engedélyei
Az Automation-fiók frissítéséhez az alábbi Automation-fiókszerepkörök valamelyikének tagjának kell lennie:
Az Azure Resource Managerrel és a klasszikus üzemi modellekkel kapcsolatos további információkért tekintse meg a Resource Managert és a klasszikus üzembe helyezést.
Feljegyzés
Az Azure Felhőszolgáltató (CSP) előfizetések csak az Azure Resource Manager-modellt támogatják. A nem Azure Resource Manager szolgáltatások nem érhetők el a programban. A CSP-előfizetésekről további információt a CSP-előfizetésekben elérhető szolgáltatások című témakörben talál.
Runbook-hitelesítés hibrid runbook-szolgáltatóval
Az adatközpontban hibrid runbook-feldolgozón vagy más felhőalapú környezetekben, például az AWS-ben futó runbookok nem használhatják ugyanazt a módszert, amelyet általában az Azure-erőforrásokhoz való hitelesítéshez használnak. Ennek oka az, hogy azok az erőforrások az Azure-on kívül futnak, és emiatt az Automation szolgáltatásban meghatározott saját biztonsági hitelesítő adataikra van szükség a helyileg elérhető erőforrásokhoz történő hitelesítéshez. A Runbook-feldolgozókkal végzett runbook-hitelesítéssel kapcsolatos további információkért lásd : Runbookok futtatása hibrid runbook-feldolgozón.
Azokban a runbookokban, amelyek az Azure-beli virtuális gépeken hibrid Runbook-munkavállalókat használnak, a runbook-hitelesítést felügyelt identitásokkal végezheti el az Azure-erőforrások hitelesítéséhez.
Következő lépések
- Ha Automation-fiókot szeretne létrehozni az Azure Portalról, olvassa el az Önálló Azure Automation-fiók létrehozása című témakört.
- Ha inkább sablonnal szeretné létrehozni a fiókját, olvassa el Az Automation-fiók létrehozása Azure Resource Manager-sablonnal című témakört.
- Az Amazon Web Services használatával történő hitelesítésről lásd : Runbookok hitelesítése az Amazon Web Services szolgáltatással.
- Az Azure-erőforrások felügyelt identitásai szolgáltatást támogató Azure-szolgáltatások listájáért lásd az Azure-erőforrások felügyelt identitásait támogató szolgáltatásokkal foglalkozó részt.