Migrálás meglévő Futtató fiókból felügyelt identitásba

Fontos

2023. szeptember 30-án megszüntették az Azure Automation futtató fiókokat, beleértve a klasszikus futtató fiókokat is, és a felügyelt identitásokra cserélték. A továbbiakban nem hozhat létre vagy újíthat meg futtató fiókokat az Azure Portalon.

A futtató fiókok létrehozásának és tanúsítványmegújításának migrálási ütemezésével és támogatási ütemtervével kapcsolatos további információkért tekintse meg a gyakori kérdéseket.

Az Azure Automation-ben a futtató fiókok hitelesítést biztosítanak az Azure Resource Manager vagy a klasszikus üzembe helyezési modell által üzembe helyezett erőforrások kezeléséhez. Futtató fiók létrehozásakor a rendszer regisztrál egy Microsoft Entra-alkalmazást, és létrehoz egy önaláírt tanúsítványt. Ez a tanúsítvány egy hónapig érvényes. A tanúsítvány lejárata előtt havonta megújítva az Automation-fiók működik, de többletterhelést okoz.

Mostantól felügyelt identitás használatára is konfigurálhat Automation-fiókokat, és az Automation-fiókok létrehozásakor ez az alapértelmezett beállítás. Ezzel a funkcióval az Automation-fiókok anélkül végezhetnek hitelesítést az Azure-erőforrásokon, hogy ehhez hitelesítő adatokat kellene küldeniük. Felügyelt identitással nincs szükség sem a tanúsítvány megújítására, sem a szolgáltatásnév kezelésére.

A felügyelt identitások hozzárendelhetők rendszerhez vagy felhasználóhoz. Új Automation-fiók létrehozásakor rendszer által hozzárendelt felügyelt identitás lesz engedélyezve.

Előfeltételek

Mielőtt futtató fiókból vagy klasszikus futtató fiókból felügyelt identitásba migrálna:

1. Hozzon létre egy rendszer által hozzárendelt vagy egy felhasználó által hozzárendelt felügyelt identitást, vagy mindkettőt. A köztük lévő különbségekről további információt a Felügyelt identitások típusai című témakörben talál.

   Feljegyzés

   • A felhasználó által hozzárendelt identitások csak a felhőfeladatok esetében támogatottak. Az Automation-fiók felhasználó által felügyelt identitása nem használható hibrid runbook-feldolgozón. A hibrid feladatok használatához rendszer által hozzárendelt identitásokat kell létrehoznia.
   • A felügyelt identitások kétféleképpen használhatók a hibrid runbook-feldolgozó szkriptekben: vagy az Automation-fiók rendszer által hozzárendelt felügyelt identitása, vagy egy hibrid runbook-feldolgozóként futó Azure-beli virtuális gép (VM) felügyelt identitása.
   • A virtuális gép felhasználó által hozzárendelt felügyelt identitása és a virtuális gép rendszer által hozzárendelt felügyelt identitása nem fog működni egy Automation-fiók felügyelt identitásával konfigurált Automation-fiókban. Az Automation-fiók felügyelt identitásának engedélyezésekor csak az Automation-fiók rendszer által hozzárendelt felügyelt identitását használhatja, a virtuális gép által felügyelt identitást nem. További információ: Runbook-hitelesítés használata felügyelt identitásokkal.

2. Rendelje hozzá a futtató fióknak megfelelő ugyanazt a szerepkört az Azure-erőforrások eléréséhez. Ezzel a szkripttel engedélyezheti a rendszer által hozzárendelt identitást egy Automation-fiókban, és hozzárendelheti az Azure Automation-futtató fiókban található engedélyeket az Automation-fiók rendszer által hozzárendelt identitásához.

   Ha az Automation-fiókra például csak egy Azure-beli virtuális gép elindításához vagy leállításához van szükség, akkor a futtató fiókhoz rendelt engedélyeknek csak a virtuális gép elindítására vagy leállítására kell vonatkozniuk. Hasonlóképpen csak olvasási engedélyeket adjon meg, ha egy runbook az Azure Blob Storage-ból olvas. További információ: Az Azure Automation biztonsági irányelvei.

3. Ha klasszikus futtató fiókokat használ, győződjön meg arról, hogy a klasszikus üzemi modellen keresztül üzembe helyezett erőforrásokat migrálta az Azure Resource Managerbe.

4. Ezzel a szkripttel megtudhatja, hogy mely Automation-fiókok használnak Futtató fiókot. Ha az Azure Automation-fiókok futtató fiókot tartalmaznak, alapértelmezés szerint hozzá van rendelve a beépített közreműködői szerepkör. A szkripttel ellenőrizheti az Azure Automation Futtató fiókokat, és megállapíthatja, hogy a szerepkör-hozzárendelés az alapértelmezett, vagy egy másik szerepkördefinícióra lett-e módosítva.

5. Ezzel a szkripttel megállapíthatja, hogy az Automation-fiók összes runbookja használja-e a futtató fiókot.

Migrálás automation futtató fiókból felügyelt identitásba

Ha automation futtató fiókról vagy klasszikus futtató fiókról szeretne áttelepülni egy felügyelt identitásra a runbook-hitelesítéshez, kövesse az alábbi lépéseket:

1. Módosítsa a runbook kódját felügyelt identitás használatára.

   Javasoljuk, hogy az éles környezeti runbook egy példányának létrehozásával tesztelje a felügyelt identitást, és ellenőrizze, hogy a runbook a várt módon működik-e. Frissítse a tesztelési runbook kódját a felügyelt identitással történő hitelesítéshez. Ez a módszer biztosítja, hogy ne bírálja felül AzureRunAsConnection az éles runbookot, és ne törje meg a meglévő Automation-példányt. Miután meggyőződött arról, hogy a runbook kódja a várt módon fut a felügyelt identitáson keresztül, frissítse az éles környezeti runbookot a felügyelt identitás használatára.

   A felügyelt identitás támogatásához használja a Connect-AzAccount parancsmagot. A parancsmagról további információt a PowerShell-referencia Connect-AzAccount című szakaszában talál.

   • Ha modulokat használ Az , frissítsen a legújabb verzióra az Azure PowerShell-modulok frissítése című cikk lépéseit követve.
   • Ha AzureRM-modulokat használ, frissítsen az AzureRM.Profile legújabb verziójára, és cserélje le az Add-AzureRMAccount parancsmaggal a Connect-AzureRMAccount –Identity használatával.

   A mintaszkripteket megvizsgálva jobban átláthatja, hogy milyen módosítások szükségesek a runbook kódján a felügyelt identitások használatához.

2. Ha biztos abban, hogy a runbook sikeresen fut felügyelt identitások használatával, biztonságosan törölheti a futtató fiókot , ha más runbook nem használja ezt a fiókot.

Mintaszkriptek

A runbook-szkriptek alábbi példái lekérik a Resource Manager-erőforrásokat a futtató fiók (szolgáltatásnév) és a felügyelt identitás használatával. A runbook kódjának különbsége a runbook elején jelenik meg, ahol az erőforráson hitelesít.

Rendszer által hozzárendelt felügyelt identitás

Feljegyzés

Engedélyezze a megfelelő RBAC-engedélyeket az Automation-fiók rendszeridentitásához. Ellenkező esetben előfordulhat, hogy a runbook meghiúsul.

try
{
    "Logging in to Azure..."
    Connect-AzAccount -Identity
}
catch {
    Write-Error -Message $_.Exception
    throw $_.Exception
}

#Get all Resource Manager resources from all resource groups
$ResourceGroups = Get-AzResourceGroup

foreach ($ResourceGroup in $ResourceGroups)
{    
    Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName)
    $Resources = Get-AzResource -ResourceGroupName $ResourceGroup.ResourceGroupName
    foreach ($Resource in $Resources)
    {
        Write-Output ($Resource.Name + " of type " +  $Resource.ResourceType)
    }
    Write-Output ("")
}

Felhasználó által hozzárendelt felügyelt identitás

try
{ 

    "Logging in to Azure..." 
    Connect-AzAccount -Identity -AccountId <Client Id of myUserAssignedIdentity>
} 
catch { 
    Write-Error -Message $_.Exception 
    throw $_.Exception 
} 
#Get all Resource Manager resources from all resource groups 
$ResourceGroups = Get-AzResourceGroup 
foreach ($ResourceGroup in $ResourceGroups) 
{     
    Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName) 
    $Resources = Get-AzResource -ResourceGroupName $ResourceGroup.ResourceGroupName 
    foreach ($Resource in $Resources) 
    { 
        Write-Output ($Resource.Name + " of type " +  $Resource.ResourceType) 
    } 
    Write-Output ("") 
}

Futtató fiók

  $connectionName = "AzureRunAsConnection"
  try
  {
      # Get the connection "AzureRunAsConnection"
      $servicePrincipalConnection=Get-AutomationConnection -Name $connectionName         

      "Logging in to Azure..."
      Add-AzureRmAccount `
          -ServicePrincipal `
          -TenantId $servicePrincipalConnection.TenantId `
          -ApplicationId $servicePrincipalConnection.ApplicationId `
          -CertificateThumbprint $servicePrincipalConnection.CertificateThumbprint 
  }
  catch {
      if (!$servicePrincipalConnection)
      {
          $ErrorMessage = "Connection $connectionName not found."
          throw $ErrorMessage
      } else{
          Write-Error -Message $_.Exception
          throw $_.Exception
      }
  }

  #Get all Resource Manager resources from all resource groups
  $ResourceGroups = Get-AzureRmResourceGroup 

  foreach ($ResourceGroup in $ResourceGroups)
  {    
      Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName)
      $Resources = Find-AzureRmResource -ResourceGroupNameContains $ResourceGroup.ResourceGroupName | Select ResourceName, ResourceType
      ForEach ($Resource in $Resources)
      {
          Write-Output ($Resource.ResourceName + " of type " +  $Resource.ResourceType)
      }
      Write-Output ("")
  } 

A felhasználó által hozzárendelt identitás ügyfélazonosítójának megtekintése

1. Az Automation-fiók Fiókbeállítások területén válassza az Identitás lehetőséget.

2. A Felhasználó által hozzárendelt lapon válassza ki a felhasználó által hozzárendelt identitást.

   

3. Nyissa meg az Overview>Essentials webhelyet az ügyfélazonosító megtekintéséhez.

   

Grafikus runbookok

Annak ellenőrzése, hogy a rendszer használ-e futtató fiókot grafikus runbookokban

1. Ellenőrizze a runbookon belüli összes tevékenységet, hogy használja-e a futtató fiókot, amikor bármilyen bejelentkezési parancsmagot vagy aliast, például Add-AzRmAccount/Connect-AzRmAccount/Add-AzAccount/Connect-AzAccount.

   

2. Vizsgálja meg a parancsmag által használt paramétereket.

   

   A futtató fiókkal való használathoz a parancsmag a ServicePrincipalCertificate következő paramétert ApplicationIdhasználja: . CertificateThumbprint lesz a RunAsAccountConnection.

   

Grafikus runbook szerkesztése felügyelt identitás használatához

A felügyelt identitás tesztelésével ellenőriznie kell, hogy a grafikus runbook a várt módon működik-e. Hozzon létre egy másolatot az éles runbookról a felügyelt identitás használatához, majd frissítse a teszt grafikus runbook kódját a felügyelt identitás használatával történő hitelesítéshez. Ezt a funkciót hozzáadhatja egy grafikus runbookhoz a Connect-AzAccount parancsmag hozzáadásával.

Az alábbi lépések egy példát tartalmaznak, amely bemutatja, hogyan használhat felügyelt identitásokat egy futtató fiókot használó grafikus runbook:

1. Jelentkezzen be az Azure Portalra.

2. Nyissa meg az Automation-fiókot, majd válassza a Folyamatautomatizálási>runbookok lehetőséget.

3. Válasszon ki egy runbookot. Válassza például az Azure V2 virtuális gépek indítása runbookot a listából, majd válassza a Szerkesztés vagy a Tallózás a katalógusban lehetőséget, és válassza az Azure V2 virtuális gépek indítása lehetőséget.

   

4. Cserélje le a használt AzureRunAsConnection futtató kapcsolatot és a PowerShell-parancsmagot Get-AutomationConnection belsőleg használó kapcsolati objektumot a Connect-AzAccount parancsmagra.

5. A Törlés gombra kattintva törölheti a tevékenységeket és Connect to Azure a Get Run As Connection tevékenységeket.

   

6. A bal oldali panel RUNBOOK CONTROL területén válassza a Kód elemet, majd a Hozzáadás a vászonhoz lehetőséget.

   

7. Szerkessze a kódtevékenységet, rendelje hozzá a megfelelő címkenevet, és válassza a Szerző tevékenység logikáját.

   

8. A Kódszerkesztő lapon adja meg a következő PowerShell-kódot, és válassza az OK gombot.

   try 
   { 
      Write-Output ("Logging in to Azure...") 
      Connect-AzAccount -Identity 
   } 
   catch { 
      Write-Error -Message $_.Exception 
      throw $_.Exception 
   } 
   

9. Csatlakoztassa az új tevékenységet az Azure-hoz korábban csatlakoztatott tevékenységekhez, és mentse a runbookot.

   

A runbook Start Azure V2 virtuális gépeinek runbookgalériában például a fenti parancsmagot használó Connect-AzAccount kódtevékenységre kell cserélnie azokat Get Run As Connection és Connect to Azure a tevékenységeket. További információkért tekintse meg az Automation-fiókkal létrehozott AzureAutomationTutorialWithIdentityGraphical minta runbooknevet.

Feljegyzés

Az AzureRM PowerShell-modulok 2024. február 29-én visszavonulnak. Ha AzureRM PowerShell-modulokat használ grafikus runbookokban, frissítenie kell őket az Az PowerShell-modulok használatára. További információ.

Következő lépések

• Tekintse át a felügyelt identitásokra való migrálással kapcsolatos gyakori kérdéseket

• Ha a runbookok nem fejeződnek be sikeresen, tekintse át az Azure Automation által felügyelt identitásokkal kapcsolatos problémák hibaelhárítását.

• A rendszer által hozzárendelt felügyelt identitásokról további információt az Azure Automation-fiók rendszer által hozzárendelt felügyelt identitásának használata című témakörben talál.

• A felhasználó által hozzárendelt felügyelt identitásokkal kapcsolatos további információkért lásd : Felhasználó által hozzárendelt felügyelt identitás használata egy Azure Automation-fiókhoz.

• Az Azure Automation-fiók biztonságáról további információt az Azure Automation-fiókhitelesítés áttekintésében talál.