Ringkasan autentikasi akun Azure Automation
Penting
Akun Azure Automation Run as, termasuk Classic Run as telah dihentikan pada 30 September 2023 dan diganti dengan Identitas Terkelola. Anda tidak akan lagi dapat membuat atau memperbarui Jalankan sebagai akun melalui portal Azure. Untuk informasi selengkapnya, lihat bermigrasi dari akun Run As yang ada ke identitas terkelola.
Azure Automation memungkinkan Anda mengotomatiskan tugas terhadap sumber daya di Azure, lokal, dan dengan penyedia cloud lainnya seperti Amazon Web Services (AWS). Anda dapat menggunakan runbook untuk mengotomatiskan tugas Anda, atau Hybrid Runbook Worker jika Anda memiliki proses bisnis atau operasional untuk dikelola di luar Azure. Bekerja di salah satu lingkungan ini memerlukan izin untuk mengakses sumber daya dengan aman dengan hak minimal yang diperlukan.
Artikel ini membahas skenario autentikasi yang didukung oleh Azure Automation dan memberi tahu cara memulai berdasarkan lingkungan atau lingkungan yang perlu Anda kelola.
Akun Automation
Saat Memulai Azure Automation untuk pertama kalinya, Anda harus membuat setidaknya satu akun Otomatisasi. Akun Otomatisasi memungkinkan Anda mengisolasi sumber daya Otomatisasi, runbook, aset, dan konfigurasi sumber daya akun lain. Anda dapat menggunakan akun Otomatisasi untuk memisahkan sumber daya ke lingkungan logis terpisah atau tanggung jawab yang didelegasikan. Misalnya, Anda dapat menggunakan satu akun untuk pengembangan, akun lain untuk produksi, dan yang lain untuk lingkungan lokal Anda. Atau Anda dapat mendedikasikan akun Otomatisasi untuk mengelola pembaruan sistem operasi di semua komputer Anda dengan Manajemen Pembaruan.
Akun Azure Automation berbeda dengan akun atau akun Microsoft yang dibuat di langganan Azure Anda. Untuk pengenalan membuat akun Otomatisasi, lihat Membuat akun Otomatisasi.
Sumber daya Otomatisasi
Sumber daya Otomatisasi untuk setiap akun Otomatisasi dikaitkan dengan satu wilayah Azure, tetapi akun tersebut bisa mengelola semua sumber daya dalam langganan Azure Anda. Alasan utama untuk membuat akun Otomatisasi di berbagai wilayah adalah jika Anda memiliki kebijakan yang mengharuskan data dan sumber daya diisolasi ke wilayah tertentu.
Semua tugas yang Anda buat terhadap sumber daya menggunakan Azure Resource Manager dan cmdlet PowerShell di Azure Automation harus mengautentikasi ke Azure menggunakan autentikasi berbasis kredensial identitas organisasi Microsoft Entra.
Identitas Terkelola
Identitas terkelola dari Microsoft Entra ID memungkinkan runbook untuk mengakses sumber daya Microsoft Entra lain yang terproteksi dengan mudah. Identitas dikelola oleh platform Azure dan tidak mengharuskan Anda untuk menyediakan atau memutar rahasia. Untuk informasi selengkapnya tentang identitas terkelola di ID Microsoft Entra, lihat Identitas terkelola untuk sumber daya Azure.
Identitas terkelola adalah cara yang disarankan untuk mengautentikasi di buku pedoman Anda, dan merupakan metode autentikasi default untuk akun Automation Anda.
Berikut adalah beberapa manfaat menggunakan identitas terkelola:
Menggunakan identitas terkelola alih-alih akun Automation Run As menjadikan manajemen lebih sederhana.
Identitas terkelola dapat digunakan tanpa biaya tambahan.
Anda tidak perlu menentukan objek koneksi Jalankan Sebagai dalam kode runbook Anda. Anda dapat mengakses sumber daya menggunakan identitas terkelola akun Automation Anda dari runbook tanpa membuat sertifikat, koneksi, dll.
Akun Automation dapat mengautentikasi menggunakan dua jenis identitas terkelola:
Identitas yang ditetapkan sistem terkait dengan aplikasi Anda dan dihapus jika aplikasi Anda dihapus. Aplikasi hanya dapat memiliki satu identitas yang ditetapkan sistem.
Identitas yang ditetapkan pengguna adalah sumber daya Azure mandiri yang dapat ditetapkan ke aplikasi Anda. Aplikasi dapat memiliki beberapa identitas yang ditetapkan pengguna.
Catatan
Identitas yang ditetapkan pengguna hanya didukung untuk pekerjaan cloud. Untuk mempelajari selengkapnya tentang identitas terkelola yang berbeda, lihat Mengelola tipe identitas.
Untuk detail tentang penggunaan identitas terkelola, lihat Mengaktifkan identitas terkelola untuk Azure Automation.
Izin langganan
Anda memerlukan izin Microsoft.Authorization/*/Write
. Izin ini diperoleh melalui keanggotaan salah satu peran bawaan Azure berikut:
Untuk mempelajari selengkapnya tentang izin langganan klasik, lihat Administrator langganan klasik Azure.
Izin Microsoft Entra
Untuk memperbarui prinsipal layanan, Anda harus menjadi anggota salah satu peran bawaan Microsoft Entra berikut:
Keanggotaan dapat ditetapkan ke SEMUA pengguna di penyewa pada tingkat direktori, yang merupakan perilaku default. Anda dapat memberikan keanggotaan ke salah satu peran di tingkat direktori. Untuk informasi selengkapnya, lihat Siapa yang memiliki izin untuk menambahkan aplikasi ke instans Microsoft Entra saya?.
Izin akun Automation
Untuk memperbarui akun Automation, Anda harus menjadi anggota salah satu peran akun Automation berikut:
Untuk mempelajari selengkapnya tentang model penyebaran Azure Resource Manager dan Klasik, lihat Resource Manager dan penyebaran klasik.
Catatan
Langganan Azure Cloud Solution Provider (CSP) hanya mendukung model Azure Resource Manager. Layanan Resource Manager Non-Azure tidak tersedia dalam program ini. Saat Anda menggunakan langganan CSP, akun Jalankan Sebagai Klasik Azure tidak dibuat, tetapi akun Jalankan Sebagai Azure dibuat. Untuk mempelajari selengkapnya tentang langganan CSP, lihat Layanan yang tersedia di langganan CSP.
Kontrol Akses Berbasis Peran
Kontrol akses berbasis peran tersedia dengan Azure Resource Manager untuk memberikan tindakan yang diizinkan ke akun pengguna Microsoft Entra dan akun Jalankan Sebagai, dan mengautentikasi perwakilan layanan. Baca kontrol akses berbasis peran di artikel Azure Automation untuk informasi lebih lanjut guna membantu mengembangkan model Anda untuk mengelola izin Otomatisasi.
Jika Anda memiliki kontrol keamanan yang ketat untuk penetapan izin dalam grup sumber daya, Anda harus menetapkan keanggotaan akun Jalankan Sebagai ke peran Kontributor di grup sumber daya.
Catatan
Sebaiknya jangan gunakan peran Kontributor Log Analytics untuk menjalankan pekerjaan Automation. Sebagai gantinya, buat peran kustom Azure Automation Contributor dan gunakan peran tersebut untuk tindakan yang terkait dengan akun Automation.
Autentikasi runbook dengan Hybrid Runbook Worker
Runbook yang berjalan pada Hybrid Runbook Worker di pusat data Anda atau terhadap layanan komputasi di lingkungan cloud lain seperti AWS, tidak dapat menggunakan metode yang sama yang biasanya digunakan untuk runbook yang mengautentikasi ke sumber daya Azure. Ini karena sumber daya tersebut berjalan di luar Azure dan oleh karena itu, memerlukan kredensial keamanan sendiri yang ditentukan dalam Otomatisasi untuk mengautentikasi ke sumber daya yang mereka akses secara lokal. Untuk informasi selengkapnya tentang autentikasi runbook dengan pekerja runbook, lihat Menjalankan runbook pada Hybrid Runbook Worker.
Untuk runbook yang menggunakan Hybrid Runbook Workers di Azure VM, Anda dapat menggunakan autentikasi runbook dengan identitas terkelola, alih-alih akun Jalankan Sebagai untuk mengautentikasi ke sumber daya Azure Anda.
Langkah berikutnya
- Untuk membuat akun Otomatisasi dari portal Azure, lihat Membuat akun Azure Automation mandiri.
- Jika Anda lebih suka membuat akun menggunakan templat, lihat Membuat akun Automation menggunakan templat Azure Resource Manager.
- Untuk autentikasi menggunakan Amazon Web Services, lihat Mengautentikasi runbook dengan Amazon Web Services.
- Untuk daftar layanan Azure yang mendukung fitur identitas terkelola untuk sumber daya Azure, lihat Layanan yang mendukung identitas terkelola untuk sumber daya Azure.