Hitelesítő adatok kezelése az Azure Automationben
Az Automation hitelesítő adategysége olyan objektumot tartalmaz, amely biztonsági hitelesítő adatokat, például felhasználónevet és jelszót tartalmaz. A runbookok és a DSC-konfigurációk olyan parancsmagokat használnak, amelyek elfogadják a PSCredential objektumot a hitelesítéshez. Másik lehetőségként kinyerhetik az objektum felhasználónevét PSCredential
és jelszavát, hogy a hitelesítést igénylő alkalmazás vagy szolgáltatás számára biztosítsanak.
Feljegyzés
Biztonságba helyezheti az Azure Automationbeli összetevőket, például hitelesítő adatokat, tanúsítványokat, kapcsolatokat és titkosított változókat. Ezeket az eszközöket az Azure Automation titkosítja és tárolja az egyes Automation-fiókokhoz létrehozott egyedi kulccsal. Az Azure Automation a kulcsot a rendszer által felügyelt Key Vaultban tárolja. A biztonságos objektum tárolása előtt az Automation betölti a kulcsot a Key Vaultból, majd titkosítja az objektumot.
Feljegyzés
A személyes adatok megtekintésével vagy törlésével kapcsolatos információkért tekintse meg a GDPR általános adattulajdonosi kérelmeit, a GDPR-ra vonatkozó Azure-beli adattulajdonosi kérelmeket vagy a GDPR-ra vonatkozó Windows-adattulajdonosi kérelmeket az Adott területtől és igényektől függően. A GDPR-ról további információt a Microsoft Adatvédelmi központ GDPR-szakaszában és a Szolgáltatásmegbízhatósági portál GDPR szakaszában talál.
A hitelesítő adatok eléréséhez használt PowerShell-parancsmagok
Az alábbi táblázatban található parancsmagok Automation-hitelesítő adatokat hoznak létre és kezelnek a PowerShell használatával. Az Az modulok részeként szállítanak.
Parancsmag | Leírás |
---|---|
Get-AzAutomationCredential | Lekéri a hitelesítő adatok metaadatait tartalmazó CredentialInfo objektumot. A parancsmag nem kéri le magát az PSCredential objektumot. |
New-AzAutomationCredential | Létrehoz egy új Automation-hitelesítő adatot. |
Remove-AzAutomationCredential | Eltávolít egy Automation-hitelesítő adatot. |
Set-AzAutomationCredential | Beállítja egy meglévő Automation-hitelesítő adat tulajdonságait. |
A hitelesítő adatok eléréséhez használt egyéb parancsmagok
Az alábbi táblázatban található parancsmagok a runbookokban és a DSC-konfigurációkban található hitelesítő adatok elérésére szolgálnak.
Parancsmag | Leírás |
---|---|
Get-AutomationPSCredential |
Lekéri a PSCredential runbookban vagy DSC-konfigurációban használni kívánt objektumot. Leggyakrabban ezt a belső parancsmagot kell használnia a Get-AzAutomationCredential parancsmag helyett, mivel az utóbbi csak a hitelesítő adatokat kéri le. Ezek az információk általában nem hasznosak egy másik parancsmagnak való továbbításhoz. |
Get-Credential | Lekéri a hitelesítő adatokat egy felhasználónévre és jelszóra vonatkozó kéréssel. Ez a parancsmag az alapértelmezett Microsoft.PowerShell.Security modul része. Lásd: Alapértelmezett modulok. |
New-AzureAutomationCredential | Hitelesítőadat-objektumot hoz létre. Ez a parancsmag az alapértelmezett Azure-modul része. Lásd: Alapértelmezett modulok. |
A kódban lévő objektumok beolvasásához PSCredential
importálnia kell a modult Orchestrator.AssetManagement.Cmdlets
. További információ: Modulok kezelése az Azure Automationben.
Import-Module Orchestrator.AssetManagement.Cmdlets -ErrorAction SilentlyContinue
Feljegyzés
Kerülje a változók használatát a Name
paraméterben Get-AutomationPSCredential
. Használatuk megnehezítheti a runbookok, dSC-konfigurációk és hitelesítő adatok közötti függőségek felderítését a tervezéskor.
Hitelesítő adatokat elérő Python-függvények
Az alábbi táblázatban szereplő függvény a Python 2 és 3 runbook hitelesítő adatainak elérésére szolgál. A Python 3 runbookok jelenleg előzetes verzióban érhetők el.
Függvény | Leírás |
---|---|
automationassets.get_automation_credential |
Adatokat kér le egy hitelesítő adategységről. |
Feljegyzés
Importálja a automationassets
Python-runbook tetején található modult az eszközfüggvények eléréséhez.
Új hitelesítőadat-objektum létrehozása
Új hitelesítőadat-objektumot az Azure Portalon vagy a Windows PowerShell használatával hozhat létre.
Új hitelesítő adategység létrehozása az Azure Portallal
Az Automation-fiókjában a bal oldali panelen válassza a Hitelesítő adatok lehetőséget a Megosztott erőforrások területen.
A Hitelesítő adatok lapon válassza a Hitelesítő adatok hozzáadása lehetőséget.
Az Új hitelesítő adatok panelen adjon meg egy megfelelő hitelesítő nevet az elnevezési szabványoknak megfelelően.
Írja be a hozzáférési azonosítót a Felhasználónév mezőbe.
Mindkét jelszómezőhöz adja meg a titkos hozzáférési kulcsot.
Ha a többtényezős hitelesítés jelölőnégyzet be van jelölve, törölje a jelölését.
Kattintson a Létrehozás gombra az új hitelesítőadat-objektum mentéséhez.
Feljegyzés
Az Azure Automation nem támogatja a többtényezős hitelesítést használó felhasználói fiókokat.
Új hitelesítőadat-objektum létrehozása a Windows PowerShell használatával
Az alábbi példa bemutatja, hogyan hozhat létre új Automation hitelesítőadat-objektumot. A PSCredential
rendszer először névvel és jelszóval hoz létre egy objektumot, majd a hitelesítő adategység létrehozásához használja. Ehelyett a Get-Credential
parancsmaggal kérheti a felhasználót, hogy írjon be egy nevet és egy jelszót.
$user = "MyDomain\MyUser"
$pw = ConvertTo-SecureString "PassWord!" -AsPlainText -Force
$cred = New-Object –TypeName System.Management.Automation.PSCredential –ArgumentList $user, $pw
New-AzureAutomationCredential -AutomationAccountName "MyAutomationAccount" -Name "MyCredential" -Value $cred
Hitelesítő adategység lekérése
A runbook- vagy DSC-konfiguráció lekéri a hitelesítő adatokat a belső Get-AutomationPSCredential
parancsmaggal. Ez a parancsmag egy PSCredential
olyan objektumot kap, amelyet egy hitelesítő adatot igénylő parancsmaggal használhat. A hitelesítőadat-objektum tulajdonságait külön is lekérheti. Az objektum rendelkezik a felhasználónév és a biztonságos jelszó tulajdonságaival.
Feljegyzés
A Get-AzAutomationCredential
parancsmag nem kér le hitelesítéshez PSCredential
használható objektumot. Csak a hitelesítő adatokról nyújt információt. Ha hitelesítő adatokat kell használnia egy runbookban, azt objektumként PSCredential
kell lekérnie a használatával Get-AutomationPSCredential
.
Másik lehetőségként a GetNetworkCredential metódussal lekérhet egy NetworkCredential objektumot, amely a jelszó nem biztonságos verzióját jelöli.
Példa szöveges runbookra
Az alábbi példa bemutatja, hogyan használható PowerShell-hitelesítő adatok egy runbookban. Lekéri a hitelesítő adatokat, és hozzárendeli a felhasználónevet és a jelszót a változókhoz.
$myCredential = Get-AutomationPSCredential -Name 'MyCredential'
$userName = $myCredential.UserName
$securePassword = $myCredential.Password
$password = $myCredential.GetNetworkCredential().Password
Hitelesítő adatokkal is hitelesíthet az Azure-ban a Connect-AzAccount használatával, miután először csatlakozott egy felügyelt identitással. Ez a példa egy rendszer által hozzárendelt felügyelt identitást használ.
# Ensures you do not inherit an AzContext in your runbook
Disable-AzContextAutosave -Scope Process
# Connect to Azure with system-assigned managed identity
$AzureContext = (Connect-AzAccount -Identity).context
# set and store context
$AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription -DefaultProfile $AzureContext
# Get credential
$myCred = Get-AutomationPSCredential -Name "MyCredential"
$userName = $myCred.UserName
$securePassword = $myCred.Password
$password = $myCred.GetNetworkCredential().Password
$myPsCred = New-Object System.Management.Automation.PSCredential ($userName,$securePassword)
# Connect to Azure with credential
$AzureContext = (Connect-AzAccount -Credential $myPsCred -TenantId $AzureContext.Subscription.TenantId).context
# set and store context
$AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription `
-TenantId $AzureContext.Subscription.TenantId `
-DefaultProfile $AzureContext
Példa grafikus runbookra
A belső Get-AutomationPSCredential
parancsmag tevékenységének grafikus runbookhoz való hozzáadásához kattintson a jobb gombbal a hitelesítő adatokra a grafikus szerkesztő Könyvtár panelén, és válassza a Hozzáadás a vászonhoz lehetőséget.
Az alábbi képen egy példa látható a hitelesítő adatok grafikus runbookban való használatára. Ebben az esetben a hitelesítő adatok hitelesítést biztosítanak egy runbookhoz az Azure-erőforrásokhoz, az Azure AutomationBen a Microsoft Entra ID használatával történő hitelesítéshez az Azure Automationben. Az első tevékenység lekéri az Azure-előfizetéshez hozzáféréssel rendelkező hitelesítő adatokat. A fiókkapcsolati tevékenység ezt a hitelesítő adatot használja a következő tevékenységek hitelesítésére. Itt egy folyamathivatkozást használunk, mivel Get-AutomationPSCredential
egyetlen objektumot vár.
Hitelesítő adatok használata DSC-konfigurációban
Bár az Azure Automation DSC-konfigurációi használhatják a hitelesítő adatokat Get-AutomationPSCredential
, a hitelesítő adatokat paramétereken keresztül is átadhatják. További információ: Konfigurációk összeállítása az Azure Automation DSC-ben.
Következő lépések
- A tanúsítványok eléréséhez használt parancsmagokról további információt az Azure Automation moduljainak kezelése című témakörben talál.
- A runbookokkal kapcsolatos általános információkért lásd : Runbook-végrehajtás az Azure Automationben.
- A DSC-konfigurációk részleteiért tekintse meg az Azure Automation State Configuration áttekintését.