Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure Automation memungkinkan Anda mengotomatiskan tugas terhadap sumber daya di Azure, lokal, dan dengan penyedia cloud lainnya seperti Amazon Web Services (AWS). Anda dapat menggunakan runbook untuk mengotomatiskan tugas Anda, atau Hybrid Runbook Worker jika Anda memiliki proses bisnis atau operasional untuk dikelola di luar Azure. Bekerja di salah satu lingkungan ini memerlukan izin untuk mengakses sumber daya dengan aman dengan hak minimal yang diperlukan.
Artikel ini membahas skenario autentikasi yang didukung oleh Azure Automation dan memberi tahu cara memulai berdasarkan lingkungan atau lingkungan yang perlu Anda kelola.
Akun Automation
Saat memulai Azure Automation untuk pertama kalinya, Anda harus membuat setidaknya satu akun Automation. Akun Otomasi memungkinkan Anda mengisolasi sumber daya Otomasi, runbook, aset, dan konfigurasi dari sumber daya akun-akun lain. Anda dapat menggunakan akun Automation untuk memisahkan sumber daya ke lingkungan logis terpisah atau tanggung jawab yang didelegasikan. Misalnya, Anda dapat menggunakan satu akun untuk pengembangan, akun lain untuk produksi, dan akun lain untuk lingkungan lokal Anda.
Akun Azure Automation berbeda dari akun Microsoft maupun akun yang dibuat dalam langganan Azure Anda. Untuk pengenalan pembuatan akun Automation, lihat Membuat akun Automation.
Sumber daya automasi
Sumber daya Automation untuk setiap akun Automation dikaitkan dengan satu wilayah Azure, tetapi akun tersebut dapat mengelola semua sumber daya di langganan Azure Anda. Alasan utama untuk membuat akun Automation di berbagai wilayah adalah jika Anda memiliki kebijakan yang mengharuskan data dan sumber daya diisolasi ke wilayah tertentu.
Semua tugas yang Anda buat terhadap sumber daya menggunakan Azure Resource Manager dan cmdlet PowerShell di Azure Automation harus mengautentikasi ke Azure menggunakan autentikasi berbasis kredensial identitas organisasi Microsoft Entra.
Identitas yang dikelola
Identitas terkelola dari MICROSOFT Entra ID memungkinkan runbook Anda untuk dengan mudah mengakses sumber daya yang dilindungi Microsoft Entra lainnya. Identitas dikelola oleh platform Azure dan tidak mengharuskan Anda untuk menyediakan atau memutar rahasia. Untuk informasi selengkapnya tentang identitas terkelola di ID Microsoft Entra, lihat Identitas terkelola untuk sumber daya Azure.
Identitas terkelola adalah cara yang disarankan untuk mengautentikasi di runbook Anda, dan merupakan metode autentikasi default untuk akun Automation Anda.
Berikut adalah beberapa manfaat menggunakan identitas terkelola:
Menggunakan identitas terkelola alih-alih akun Automation Run As menyederhanakan manajemen.
Identitas terkelola dapat digunakan tanpa biaya tambahan.
Anda dapat mengakses sumber daya menggunakan identitas terkelola akun Automation Anda dari runbook tanpa membuat sertifikat, koneksi, dll.
Akun Automation dapat mengautentikasi menggunakan dua jenis identitas terkelola:
Identitas yang ditetapkan sistem terkait dengan aplikasi Anda dan dihapus jika aplikasi Anda dihapus. Aplikasi hanya dapat memiliki satu identitas yang ditetapkan sistem.
Identitas yang ditetapkan pengguna adalah sumber daya Azure mandiri yang dapat ditetapkan ke aplikasi Anda. Aplikasi dapat memiliki beberapa identitas yang ditetapkan pengguna.
Nota
Identitas yang ditetapkan pengguna hanya didukung untuk pekerjaan cloud. Untuk mempelajari selengkapnya tentang berbagai identitas terkelola, lihat Mengelola jenis identitas.
Untuk detail tentang menggunakan identitas terkelola, lihat Mengaktifkan identitas terkelola untuk Azure Automation.
Hak akses langganan
Anda memerlukan izin Microsoft.Authorization/*/Write. Izin ini diperoleh melalui keanggotaan salah satu peran bawaan Azure berikut:
- Pemilik
- Pengelola Akses Pengguna
Untuk mempelajari selengkapnya tentang izin langganan klasik, lihat Administrator langganan klasik Azure.
Izin Microsoft Entra
Untuk memperbarui perwakilan layanan, Anda harus menjadi anggota salah satu peran bawaan Microsoft Entra berikut:
Keanggotaan dapat ditetapkan ke SEMUA pengguna tenant pada tingkat direktori, yang merupakan perilaku standar. Anda dapat memberikan keanggotaan ke salah satu peran di tingkat direktori. Untuk informasi selengkapnya, lihat Siapa yang memiliki izin untuk menambahkan aplikasi ke instans Microsoft Entra saya?.
Izin akun otomatisasi
Untuk memperbarui akun Automation, Anda harus menjadi anggota salah satu peran akun Automation berikut:
Untuk mempelajari selengkapnya tentang model penyebaran Azure Resource Manager dan Klasik, lihat Resource Manager dan penyebaran klasik.
Nota
Langganan Azure Cloud Solution Provider (CSP) hanya mendukung model Azure Resource Manager. Layanan Non-Azure Resource Manager tidak tersedia dalam program. Saat Anda menggunakan langganan CSP, akun Azure Classic Run As tidak dibuat, namun akun Azure Run As dibuat. Untuk mempelajari selengkapnya tentang langganan CSP, lihat Layanan yang tersedia dalam langganan CSP.
Kontrol akses berbasis peran
Kontrol akses berbasis peran tersedia melalui Azure Resource Manager untuk memberikan tindakan yang diizinkan kepada akun pengguna Microsoft Entra dan akun Run As, serta mengautentikasi prinsipal layanan. Baca kontrol akses berbasis peran di artikel Azure Automation untuk informasi lebih lanjut guna membantu mengembangkan model Anda untuk mengelola izin Automation.
Jika Anda memiliki kontrol keamanan ketat untuk penetapan izin dalam grup sumber daya, Anda perlu menetapkan akun Run As sebagai anggota peran Kontributor di grup sumber daya.
Nota
Sebaiknya Anda tidak menggunakan peran Kontributor Analitik Log untuk menjalankan pekerjaan Automation. Sebagai gantinya, buat peran kustom Azure Automation Contributor dan gunakan peran tersebut untuk tindakan yang terkait dengan akun Automation.
Autentikasi runbook dengan Hybrid Runbook Worker
Runbook yang berjalan pada Hybrid Runbook Worker di pusat data Anda atau terhadap layanan komputasi di lingkungan cloud lain seperti AWS, tidak dapat menggunakan metode yang sama yang biasanya digunakan untuk runbook yang mengautentikasi ke sumber daya Azure. Ini karena sumber daya tersebut berjalan di luar Azure dan oleh karena itu, memerlukan kredensial keamanan mereka sendiri yang ditentukan dalam Automation untuk mengautentikasi ke sumber daya yang mereka akses secara lokal. Untuk informasi selengkapnya tentang autentikasi runbook dengan pekerja runbook, lihat Menjalankan runbook di Hybrid Runbook Worker.
Untuk runbook yang menggunakan Hybrid Runbook Workers di Azure VM, Anda dapat menggunakan autentikasi runbook dengan identitas terkelola alih-alih akun Run As untuk mengautentikasi pada sumber daya Azure Anda.
Langkah selanjutnya
- Untuk membuat akun Otomatisasi dari portal Azure, lihat Membuat akun Azure Automation mandiri.
- Jika Anda lebih suka membuat akun menggunakan templat, lihat Membuat akun Automation menggunakan templat Azure Resource Manager.
- Untuk autentikasi menggunakan Amazon Web Services, lihat Mengautentikasi runbook dengan Amazon Web Services.
- Untuk daftar layanan Azure yang mendukung fitur identitas terkelola untuk sumber daya Azure, lihat Layanan yang mendukung identitas terkelola untuk sumber daya Azure.