Az Azure Automation-fiókok hitelesítésének áttekintése
Fontos
2023. szeptember 30-án megszüntették az Azure Automation futtató fiókokat, beleértve a klasszikus futtató fiókokat is, és a felügyelt identitásokra cserélték. A továbbiakban nem hozhat létre vagy újíthat meg futtató fiókokat az Azure Portalon. További információ: Migrálás meglévő futtató fiókokból felügyelt identitásba.
Az Azure Automation lehetővé teszi a feladatok automatizálását az Azure erőforrásain, továbbá olyan felhőszolgáltatókkal, mint az Amazon webszolgáltatások (AWS). Runbookokkal automatizálhatja a feladatokat, vagy hibrid runbook-feldolgozót, ha üzleti vagy üzemeltetési folyamatokkal rendelkezik az Azure-on kívüli felügyelethez. Ezen környezetek bármelyikében való munkavégzéshez engedélyekre van szükség az erőforrások biztonságos eléréséhez a minimálisan szükséges jogosultságokkal.
Ez a cikk az Azure Automation által támogatott hitelesítési forgatókönyveket ismerteti, és bemutatja, hogyan kezdheti meg az első lépéseket a felügyelni kívánt környezet vagy környezet alapján.
Automation-fiók
Amikor először indítja el az Azure Automationt, legalább egy Automation-fiókot létre kell hoznia. Az Automation-fiókok lehetővé teszik az Automation-erőforrások, runbookok, objektumok és konfigurációk elkülönítését más fiókok erőforrásaitól. Az Automation-fiókok segítségével elkülönítheti az erőforrásokat különálló logikai környezetekbe vagy delegált felelősségekbe. Használhat például egy fiókot fejlesztéshez, egy másikat az üzemi használatra, egy harmadikat pedig a helyszíni környezethez. Vagy egy Automation-fiókot szentelhet az operációs rendszer frissítéseinek kezelésére az összes gépen az Update Management használatával.
Az Azure Automation-fiók különbözik a Microsoft-fiókjától vagy az Azure-előfizetésében létrehozott fiókoktól. Az Automation-fiók létrehozásának bemutatása: Automation-fiók létrehozása.
Automation-erőforrások
Az egyes Automation-fiókok Automation-erőforrásai egyetlen Azure-régióhoz vannak társítva, de a fiók kezelheti az Azure-előfizetés összes erőforrását. Az Automation-fiókok különböző régiókban történő létrehozásának fő oka az, ha olyan szabályzatokkal rendelkezik, amelyek megkövetelik az adatok és erőforrások elkülönítését egy adott régióban.
Az Azure Resource Managerrel és az Azure Automation PowerShell-parancsmagjaival létrehozott összes feladatnak hitelesítenie kell magát az Azure-ban a Microsoft Entra szervezeti identitás hitelesítő adatokon alapuló hitelesítésével.
Felügyelt identitások
A Microsoft Entra ID-ból származó felügyelt identitás révén a runbook egyszerűen hozzáférhet más, Microsoft Entra által védett erőforrásokhoz. Az identitás kezelését az Azure-platform végzi, és nem szükséges hozzá semmilyen titkos kulcs kiosztása vagy rotálása. A Microsoft Entra ID-ban található felügyelt identitásokról további információt az Azure-erőforrások felügyelt identitásai című témakörben talál.
A felügyelt identitások a runbookokban való hitelesítés ajánlott módjai, és ez az Automation-fiók alapértelmezett hitelesítési metódusa.
A felügyelt identitások használatának néhány előnye:
Az Automation futtató fiók helyett felügyelt identitás használata leegyszerűsíti a felügyeletet.
A felügyelt identitások további költségek nélkül használhatók.
A runbook kódjában nem kell megadnia a futtató kapcsolat objektumot. Az Automation-fiók felügyelt identitásával erőforrásokat érhet el egy runbookból anélkül, hogy tanúsítványokat, kapcsolatokat stb. hozna létre.
Az Automation-fiókok kétféle felügyelt identitással hitelesíthetők:
A rendszer által hozzárendelt identitás az alkalmazáshoz kötött, és adott esetben azzal együtt törlődik. Egy alkalmazás csak egy rendszer által hozzárendelt identitással rendelkezhet.
A felhasználó által hozzárendelt identitás különálló Azure-erőforrás, amely hozzárendelhető az alkalmazáshoz. Egy alkalmazás több felhasználó által hozzárendelt identitással is rendelkezhet.
Feljegyzés
A felhasználó által hozzárendelt identitások csak a felhőfeladatok esetében támogatottak. A különböző felügyelt identitásokról további információt az Identitástípusok kezelése című témakörben talál.
A felügyelt identitások használatáról további információt az Azure Automation felügyelt identitásának engedélyezése című témakörben talál.
Előfizetés engedélyei
Rendelkeznie kell a Microsoft.Authorization/*/Write
engedéllyel. Ez az engedély az alábbi beépített Azure-szerepkörök tagjaként érhető el:
További információ a klasszikus előfizetések engedélyeiről: Klasszikus Azure előfizetés-adminisztrátorok.
Microsoft Entra-engedélyek
A szolgáltatási megbízó megújításához a következő beépített Microsoft Entra-szerepkörök egyikének tagjának kell lennie:
A tagság a bérlő minden felhasználója számára hozzárendelhető a címtár szintjén, ez az alapértelmezett viselkedés. A címtár szintjén bármelyik szerepkörnek adhat tagságot. További információért tekintse meg, hogy ki rendelkezik engedéllyel alkalmazások hozzáadásához a Microsoft Entra-példányhoz.
Automation-fiók engedélyei
Az Automation-fiók frissítéséhez az alábbi Automation-fiókszerepkörök valamelyikének tagjának kell lennie:
Az Azure Resource Managerrel és a klasszikus üzemi modellekkel kapcsolatos további információkért tekintse meg a Resource Managert és a klasszikus üzembe helyezést.
Feljegyzés
Az Azure Felhőszolgáltató (CSP) előfizetések csak az Azure Resource Manager-modellt támogatják. A nem Azure Resource Manager szolgáltatások nem érhetők el a programban. CSP-előfizetés használata esetén a rendszer nem a klasszikus Azure-beli futtató fiókot, hanem az Azure-beli futtató fiókot hozza létre. A CSP-előfizetésekről további információt a CSP-előfizetésekben elérhető szolgáltatások című témakörben talál.
Szerepköralapú hozzáférés-vezérlés
A szerepköralapú hozzáférés-vezérlés az Azure Resource Managerrel érhető el, hogy engedélyezett műveleteket biztosítson egy Microsoft Entra-felhasználói fióknak és futtató fióknak, és hitelesítse a szolgáltatásnevet. Az Automation-engedélyek kezelésére használt modell fejlesztésére vonatkozó további információkért olvassa el Az Azure Automation szerepköralapú hozzáférés-vezérlése című cikket.
Ha szigorú biztonsági vezérlőkkel rendelkezik az erőforráscsoportok engedély-hozzárendeléséhez, a futtató fiók tagságát hozzá kell rendelnie az erőforráscsoport közreműködői szerepköréhez.
Feljegyzés
Javasoljuk, hogy ne használja a Log Analytics közreműködői szerepkörét az Automation-feladatok végrehajtásához. Ehelyett hozza létre az Azure Automation-közreműködő egyéni szerepkörét, és használja az Automation-fiókkal kapcsolatos műveletekhez.
Runbook-hitelesítés hibrid runbook-feldolgozóval
Az adatközpontban hibrid runbook-feldolgozón vagy más felhőalapú környezetekben, például az AWS-ben futó runbookok nem használhatják ugyanazt a módszert, amelyet általában az Azure-erőforrásokhoz való hitelesítéshez használnak. Ennek oka az, hogy azok az erőforrások az Azure-on kívül futnak, és emiatt az Automation szolgáltatásban meghatározott saját biztonsági hitelesítő adataikra van szükség a helyileg elérhető erőforrásokhoz történő hitelesítéshez. A Runbook-feldolgozókkal végzett runbook-hitelesítéssel kapcsolatos további információkért lásd : Runbookok futtatása hibrid runbook-feldolgozón.
Az Azure-beli virtuális gépeken hibrid Runbook-feldolgozókat használó runbookok esetében runbook-hitelesítést felügyelt identitásokkal használhat futtató fiókok helyett az Azure-erőforrások hitelesítéséhez.
Következő lépések
- Ha Automation-fiókot szeretne létrehozni az Azure Portalról, olvassa el az Önálló Azure Automation-fiók létrehozása című témakört.
- Ha inkább sablonnal szeretné létrehozni a fiókját, olvassa el Az Automation-fiók létrehozása Azure Resource Manager-sablonnal című témakört.
- Az Amazon Web Services használatával történő hitelesítésről lásd : Runbookok hitelesítése az Amazon Web Services szolgáltatással.
- Az Azure-erőforrások felügyelt identitásai szolgáltatást támogató Azure-szolgáltatások listájáért lásd az Azure-erőforrások felügyelt identitásait támogató szolgáltatásokkal foglalkozó részt.