Manage credentials in Azure Automation
Az Automation hitelesítő adategysége olyan objektumot tartalmaz, amely biztonsági hitelesítő adatokat, például felhasználónevet és jelszót tartalmaz. A runbookok és a DSC-konfigurációk olyan parancsmagokat használnak, amelyek elfogadják a PSCredential objektumot a hitelesítéshez. Másik lehetőségként kinyerhetik az objektum felhasználónevét PSCredential
és jelszavát, hogy a hitelesítést igénylő alkalmazás vagy szolgáltatás számára biztosítsanak.
Megjegyzés:
Biztonságba helyezheti az Azure Automationbeli összetevőket, például hitelesítő adatokat, tanúsítványokat, kapcsolatokat és titkosított változókat. Ezeket az eszközöket az Azure Automation titkosítja és tárolja az egyes Automation-fiókokhoz létrehozott egyedi kulccsal. Az Azure Automation a kulcsot a rendszer által felügyelt Key Vaultban tárolja. A biztonságos objektum tárolása előtt az Automation betölti a kulcsot a Key Vaultból, majd titkosítja az objektumot.
Megjegyzés:
További információ a személyes adatok megtekintésével vagy törlésével kapcsolatban: Azure érintettek kérelmei a GDPR-rel kapcsolatban. A GDPR-ról további információt a Microsoft Adatvédelmi központ GDPR-szakaszában és a Szolgáltatásmegbízhatósági portál GDPR szakaszában talál.
A hitelesítő adatok eléréséhez használt PowerShell-parancsmagok
Az alábbi táblázatban található parancsmagok Automation-hitelesítő adatokat hoznak létre és kezelnek a PowerShell használatával. Az Az modulok részeként szállítanak.
Parancsmag | Leírás |
---|---|
Get-AzAutomationCredential | Lekéri a hitelesítő adatok metaadatait tartalmazó CredentialInfo objektumot. A parancsmag nem kéri le magát az PSCredential objektumot. |
New-AzAutomationCredential | Létrehoz egy új Automation-hitelesítő adatot. |
Remove-AzAutomationCredential | Eltávolít egy Automation-hitelesítő adatot. |
Set-AzAutomationCredential | Beállítja egy meglévő Automation-hitelesítő adat tulajdonságait. |
A hitelesítő adatok eléréséhez használt egyéb parancsmagok
Az alábbi táblázatban található parancsmagok a runbookokban és a DSC-konfigurációkban található hitelesítő adatok elérésére szolgálnak.
Parancsmag | Leírás |
---|---|
Get-AutomationPSCredential |
Lekéri a PSCredential runbookban vagy DSC-konfigurációban használni kívánt objektumot. Leggyakrabban ezt a belső parancsmagot kell használnia a Get-AzAutomationCredential parancsmag helyett, mivel az utóbbi csak a hitelesítő adatokat kéri le. Ezek az információk általában nem hasznosak egy másik parancsmagnak való továbbításhoz. |
Get-Credential | Lekéri a hitelesítő adatokat egy felhasználónévre és jelszóra vonatkozó kéréssel. Ez a parancsmag az alapértelmezett Microsoft.PowerShell.Security modul része. Lásd: Alapértelmezett modulok. |
New-AzureAutomationCredential | Hitelesítőadat-objektumot hoz létre. Ez a parancsmag az alapértelmezett Azure-modul része. Lásd: Alapértelmezett modulok. |
A kódban lévő objektumok beolvasásához PSCredential
importálnia kell a modult Orchestrator.AssetManagement.Cmdlets
. További információ: Modulok kezelése az Azure Automationben.
Import-Module Orchestrator.AssetManagement.Cmdlets -ErrorAction SilentlyContinue
Megjegyzés:
Kerülje a változók használatát a Name
paraméterben Get-AutomationPSCredential
. Használatuk megnehezítheti a runbookok, dSC-konfigurációk és hitelesítő adatok közötti függőségek felderítését a tervezéskor.
Hitelesítő adatokat elérő Python-függvények
Az alábbi táblázatban szereplő függvény a Python 2 és 3 runbook hitelesítő adatainak elérésére szolgál. A Python 3 runbookok jelenleg előzetes verzióban érhetők el.
Function | Leírás |
---|---|
automationassets.get_automation_credential |
Adatokat kér le egy hitelesítő adategységről. |
Megjegyzés:
Importálja a automationassets
Python-runbook tetején található modult az eszközfüggvények eléréséhez.
Új hitelesítőadat-objektum létrehozása
Új hitelesítőadat-objektumot az Azure Portalon vagy a Windows PowerShell használatával hozhat létre.
Új hitelesítő adategység létrehozása az Azure Portallal
Az Automation-fiókjában a bal oldali panelen válassza a Hitelesítő adatok lehetőséget a Megosztott erőforrások területen.
A Hitelesítő adatok lapon válassza a Hitelesítő adatok hozzáadása lehetőséget.
Az Új hitelesítő adatok panelen adjon meg egy megfelelő hitelesítő nevet az elnevezési szabványoknak megfelelően.
Írja be a hozzáférési azonosítót a Felhasználónév mezőbe.
Mindkét jelszómezőhöz adja meg a titkos hozzáférési kulcsot.
Ha a többtényezős hitelesítés jelölőnégyzet be van jelölve, törölje a jelölését.
Kattintson a Létrehozás gombra az új hitelesítőadat-objektum mentéséhez.
Megjegyzés:
Az Azure Automation nem támogatja a többtényezős hitelesítést használó felhasználói fiókokat.
Új hitelesítőadat-objektum létrehozása a Windows PowerShell használatával
Az alábbi példa bemutatja, hogyan hozhat létre új Automation hitelesítőadat-objektumot. A PSCredential
rendszer először névvel és jelszóval hoz létre egy objektumot, majd a hitelesítő adategység létrehozásához használja. Ehelyett a Get-Credential
parancsmaggal kérheti a felhasználót, hogy írjon be egy nevet és egy jelszót.
$user = "MyDomain\MyUser"
$pw = ConvertTo-SecureString "PassWord!" -AsPlainText -Force
$cred = New-Object –TypeName System.Management.Automation.PSCredential –ArgumentList $user, $pw
New-AzureAutomationCredential -AutomationAccountName "MyAutomationAccount" -Name "MyCredential" -Value $cred
Hitelesítő adategység lekérése
A runbook- vagy DSC-konfiguráció lekéri a hitelesítő adatokat a belső Get-AutomationPSCredential
parancsmaggal. Ez a parancsmag egy PSCredential
olyan objektumot kap, amelyet egy hitelesítő adatot igénylő parancsmaggal használhat. A hitelesítőadat-objektum tulajdonságait külön is lekérheti. Az objektum rendelkezik a felhasználónév és a biztonságos jelszó tulajdonságaival.
Megjegyzés:
A Get-AzAutomationCredential
parancsmag nem kér le hitelesítéshez PSCredential
használható objektumot. Csak a hitelesítő adatokról nyújt információt. Ha hitelesítő adatokat kell használnia egy runbookban, azt objektumként PSCredential
kell lekérnie a használatával Get-AutomationPSCredential
.
Másik lehetőségként a GetNetworkCredential metódussal lekérhet egy NetworkCredential objektumot, amely a jelszó nem biztonságos verzióját jelöli.
Példa szöveges runbookra
Az alábbi példa bemutatja, hogyan használható PowerShell-hitelesítő adatok egy runbookban. Lekéri a hitelesítő adatokat, és hozzárendeli a felhasználónevet és a jelszót a változókhoz.
$myCredential = Get-AutomationPSCredential -Name 'MyCredential'
$userName = $myCredential.UserName
$securePassword = $myCredential.Password
$password = $myCredential.GetNetworkCredential().Password
Hitelesítő adatokkal is hitelesíthet az Azure-ban Csatlakozás-AzAccount használatával, miután először csatlakozott egy felügyelt identitáshoz. Ez a példa egy rendszer által hozzárendelt felügyelt identitást használ.
# Ensures you do not inherit an AzContext in your runbook
Disable-AzContextAutosave -Scope Process
# Connect to Azure with system-assigned managed identity
$AzureContext = (Connect-AzAccount -Identity).context
# set and store context
$AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription -DefaultProfile $AzureContext
# Get credential
$myCred = Get-AutomationPSCredential -Name "MyCredential"
$userName = $myCred.UserName
$securePassword = $myCred.Password
$password = $myCred.GetNetworkCredential().Password
$myPsCred = New-Object System.Management.Automation.PSCredential ($userName,$securePassword)
# Connect to Azure with credential
$AzureContext = (Connect-AzAccount -Credential $myPsCred -TenantId $AzureContext.Subscription.TenantId).context
# set and store context
$AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription `
-TenantId $AzureContext.Subscription.TenantId `
-DefaultProfile $AzureContext
Példa grafikus runbookra
A belső Get-AutomationPSCredential
parancsmag tevékenységének grafikus runbookhoz való hozzáadásához kattintson a jobb gombbal a hitelesítő adatokra a grafikus szerkesztő Könyvtár panelén, és válassza a Hozzáadás a vászonhoz lehetőséget.
Az alábbi képen egy példa látható a hitelesítő adatok grafikus runbookban való használatára. Ebben az esetben a hitelesítő adatok hitelesítést biztosítanak egy runbookhoz az Azure-erőforrásokhoz, az Azure AutomationBen a Microsoft Entra ID használatával történő hitelesítéshez az Azure Automationben. Az első tevékenység lekéri az Azure-előfizetéshez hozzáféréssel rendelkező hitelesítő adatokat. A fiókkapcsolati tevékenység ezt a hitelesítő adatot használja a következő tevékenységek hitelesítésére. Itt egy folyamathivatkozást használunk, mivel Get-AutomationPSCredential
egyetlen objektumot vár.
Hitelesítő adatok használata DSC-konfigurációban
Bár az Azure Automation DSC-konfigurációi használhatják a hitelesítő adatokat Get-AutomationPSCredential
, a hitelesítő adatokat paramétereken keresztül is átadhatják. További információ: Konfigurációk összeállítása az Azure Automation DSC-ben.
Következő lépések
- A tanúsítványok eléréséhez használt parancsmagokról további információt az Azure Automation moduljainak kezelése című témakörben talál.
- A runbookokkal kapcsolatos általános információkért lásd : Runbook-végrehajtás az Azure Automationben.
- A DSC-konfigurációk részleteiért tekintse meg az Azure Automation State Configuration áttekintését.