Megosztás a következőn keresztül:

Rendszer által hozzárendelt felügyelt identitás letiltása az Azure Automation-fiókhoz

  • Cikk

A rendszer által hozzárendelt felügyelt identitásokat az Azure Automationben az Azure Portal vagy a REST API használatával tilthatja le.

Letiltás az Azure Portal használatával

A rendszer által hozzárendelt felügyelt identitást az Azure Portalról letilthatja, függetlenül attól, hogy a rendszer által hozzárendelt felügyelt identitás eredetileg hogyan lett beállítva.

  1. Jelentkezzen be az Azure Portalra.

  2. Lépjen az Automation-fiókjára, és a Fiók Gépház területen válassza az Identitás lehetőséget.

  3. A Rendszerhez rendelt lap Állapot gombja alatt válassza a Ki, majd a Mentés lehetőséget. Amikor a rendszer megerősítést kér, válassza az Igen lehetőséget.

A rendszer által hozzárendelt felügyelt identitás le van tiltva, és már nincs hozzáférése a célerőforráshoz.

Letiltás a REST API használatával

A szintaxis és a példalépések az alábbiakban találhatók.

Kérés törzse

Az alábbi kérelemtörzs letiltja a rendszer által hozzárendelt felügyelt identitást, és eltávolítja a felhasználó által hozzárendelt felügyelt identitásokat a HTTP PATCH metódus használatával.

{ 
 "identity": { 
   "type": "None" 
  } 
}

Ha több felhasználó által hozzárendelt identitás van meghatározva, a rendszer által hozzárendelt identitás megőrzéséhez és csak a rendszer által hozzárendelt identitás eltávolításához vesszővel tagolt listával kell megadnia a felhasználó által hozzárendelt identitásokat. Az alábbi példa a HTTP PATCH metódust használja.

{ 
"identity" : {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/firstIdentity": {},
        "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/secondIdentity": {}
        }
    }
}

A következő a szolgáltatás REST API-kérésének URI-ja a PATCH-kérés elküldéséhez.

PATCH https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resource-group-name/providers/Microsoft.Automation/automationAccounts/automation-account-name?api-version=2020-01-13-preview

Example

Hajtsa végre a következő lépéseket.

  1. Másolja és illessze be a kérelem törzsét attól függően, hogy melyik műveletet szeretné végrehajtani, egy nevesített body_remove_sa.jsonfájlba. Mentse a fájlt a helyi gépen vagy egy Azure Storage-fiókban.

  2. Jelentkezzen be interaktívan az Azure-ba az Csatlakozás-AzAccount parancsmaggal, és kövesse az utasításokat.

    # Sign in to your Azure subscription
$sub = Get-AzSubscription -ErrorAction SilentlyContinue
if(-not($sub))
{
    Connect-AzAccount
}

# If you have multiple subscriptions, set the one to use
# Select-AzSubscription -SubscriptionId "<SUBSCRIPTIONID>"

  3. Adjon meg egy megfelelő értéket a változókhoz, majd hajtsa végre a szkriptet.

    $subscriptionID = "subscriptionID"
$resourceGroup = "resourceGroupName"
$automationAccount = "automationAccountName"
$file = "path\body_remove_sa.json"

  4. Ez a példa az Invoke-RestMethod PowerShell-parancsmaggal küldi el a PATCH-kérést az Automation-fióknak.

    # build URI
$URI = "https://management.azure.com/subscriptions/$subscriptionID/resourceGroups/$resourceGroup/providers/Microsoft.Automation/automationAccounts/$automationAccount`?api-version=2020-01-13-preview"

# build body
$body = Get-Content $file

# obtain access token
$azContext = Get-AzContext
$azProfile = [Microsoft.Azure.Commands.Common.Authentication.Abstractions.AzureRmProfileProvider]::Instance.Profile
$profileClient = New-Object -TypeName Microsoft.Azure.Commands.ResourceManager.Common.RMProfileClient -ArgumentList ($azProfile)
$token = $profileClient.AcquireAccessToken($azContext.Subscription.TenantId)
$authHeader = @{
    'Content-Type'='application/json'
    'Authorization'='Bearer ' + $token.AccessToken
}

# Invoke the REST API
Invoke-RestMethod -Uri $URI -Method PATCH -Headers $authHeader -Body $body

# Confirm removal
(Get-AzAutomationAccount `
    -ResourceGroupName $resourceGroup `
    -Name $automationAccount).Identity.Type

    A használt szintaxistól függően a kimenet a következő lesz: UserAssigned vagy üres.

Következő lépések

  • A felügyelt identitások Azure Automationben való engedélyezéséről további információt a felügyelt identitások engedélyezése és használata az Automationben című témakörben talál.

  • Az Automation-fiókok biztonságának áttekintését az Automation-fiókhitelesítés áttekintésében tekintheti meg.