Migrasi dari akun Jalankan Sebagai yang sudah ada ke Identitas terkelola
Penting
Akun Azure Automation Run as, termasuk Classic Run as telah dihentikan pada 30 September 2023 dan diganti dengan Identitas Terkelola. Anda tidak akan lagi dapat membuat atau memperbarui Jalankan sebagai akun melalui portal Azure.
Untuk informasi selengkapnya tentang irama migrasi dan garis waktu dukungan untuk pembuatan akun Run As dan perpanjangan sertifikat, lihat pertanyaan yang sering diajukan.
Akun Jalankan Sebagai di Azure Automation menyediakan autentikasi untuk mengelola sumber daya yang disebarkan melalui Azure Resource Manager atau model penyebaran klasik. Setiap kali akun Jalankan Sebagai dibuat, aplikasi Microsoft Entra terdaftar, dan sertifikat yang ditandatangani sendiri dibuat. Sertifikat berlaku selama satu bulan. Memperbarui sertifikat setiap bulan sebelum kedaluwarsa membuat akun Automation tetap berfungsi tetapi menambahkan overhead.
Anda dapat mengonfigurasi Akun Automation untuk menggunakan identitas terkelola, yang merupakan opsi default saat Anda membuat akun Automation. Dengan fitur ini, akun Automation dapat mengautentikasi ke sumber daya Azure tanpa perlu bertukar kredensial apa pun. Identitas terkelola menghapus overhead perpanjangan sertifikat atau mengelola perwakilan layanan.
Identitas terkelola dapat ditetapkan sistem atau ditetapkan pengguna. Saat akun Automation baru dibuat, identitas terkelola yang ditetapkan sistem diaktifkan.
Prasyarat
Sebelum Anda bermigrasi dari akun Jalankan Sebagai atau akun Jalankan Sebagai Klasik ke identitas terkelola:
Buat identitas terkelola yang ditetapkan sistem atau ditetapkan pengguna, atau buat kedua jenis tersebut. Untuk mempelajari selengkapnya tentang perbedaan antara kedua jenis tersebut, lihat Jenis identitas terkelola.
Catatan
- Identitas yang ditetapkan pengguna hanya didukung untuk pekerjaan cloud. Tidak dimungkinkan untuk menggunakan identitas yang dikelola pengguna akun Automation pada pekerja runbook hibrid. Untuk menggunakan pekerjaan hibrid, Anda harus membuat identitas yang ditetapkan sistem.
- Ada dua cara untuk menggunakan identitas terkelola dalam skrip pekerja runbook hibrid: baik identitas terkelola yang ditetapkan sistem untuk akun Automation atau identitas terkelola komputer virtual (VM) untuk Azure VM yang berjalan sebagai pekerja runbook hibrid.
- Identitas terkelola yang ditetapkan pengguna VM dan identitas terkelola yang ditetapkan sistem VM tidak akan berfungsi di akun Automation yang dikonfigurasi dengan identitas terkelola akun Automation. Saat mengaktifkan identitas terkelola akun Automation, Anda hanya dapat menggunakan identitas terkelola yang ditetapkan sistem akun Automation dan bukan identitas terkelola VM. Untuk informasi selengkapnya, lihat Menggunakan autentikasi runbook dengan identitas terkelola.
Tetapkan peran yang sama ke identitas terkelola untuk mengakses sumber daya Azure yang cocok dengan akun Run As. Gunakan skrip ini untuk mengaktifkan Identitas yang ditetapkan Sistem di akun Automation dan tetapkan sekumpulan izin yang sama yang ada di Azure Automation Run sebagai akun ke identitas Yang Ditetapkan Sistem dari akun Automation.
Misalnya, jika akun Automation hanya diperlukan untuk memulai atau menghentikan VM Azure, maka izin yang ditetapkan ke akun Jalankan Sebagai hanya perlu untuk memulai atau menghentikan VM tersebut. Demikian pula, tetapkan izin baca-saja jika runbook membaca dari Azure Blob Storage. Untuk mengetahui informasi selengkapnya, lihat panduan keamanan Azure Automation.
Jika Anda menggunakan akun Jalankan Sebagai Klasik, pastikan Anda telah memigrasikan sumber daya yang disebarkan melalui model penyebaran klasik ke Azure Resource Manager.
Gunakan skrip ini untuk mengetahui akun Automation mana yang menggunakan akun Jalankan Sebagai. Jika akun Azure Automation Anda berisi akun Jalankan Sebagai, akun tersebut memiliki peran kontributor bawaan yang ditetapkan untuk akun tersebut secara default. Anda dapat menggunakan skrip untuk memeriksa akun Azure Automation Run As dan menentukan apakah penetapan peran mereka adalah yang default atau apakah telah diubah ke definisi peran yang berbeda.
Gunakan skrip ini untuk mengetahui apakah semua runbook di akun Automation Anda menggunakan akun Jalankan Sebagai.
Migrasi dari akun Automation Run As ke identitas terkelola
Untuk bermigrasi dari akun Automation Run As atau akun Jalankan Sebagai Klasik ke identitas terkelola untuk autentikasi runbook Anda, ikuti langkah-langkah berikut:
Ubah kode runbook untuk menggunakan identitas terkelola.
Sebaiknya uji identitas terkelola untuk memverifikasi apakah runbook berfungsi seperti yang diharapkan dengan membuat salinan runbook produksi Anda. Perbarui kode runbook pengujian Anda untuk mengautentikasi dengan menggunakan identitas terkelola. Metode ini memastikan bahwa Anda tidak mengambil alih
AzureRunAsConnection
dalam runbook produksi Anda dan merusak instans Automation yang ada. Setelah yakin kode runbook berjalan seperti yang diharapkan melalui identitas terkelola, perbarui runbook produksi Anda untuk menggunakan identitas terkelola.Untuk dukungan identitas terkelola, gunakan cmdlet
Connect-AzAccount
. Untuk mempelajari selengkapnya tentang cmdlet ini, lihat Connect-AzAccount di referensi PowerShell.- Jika Anda menggunakan
Az
modul, perbarui ke versi terbaru dengan mengikuti langkah-langkah dalam artikel Memperbarui modul Azure PowerShell. - Jika Anda menggunakan modul AzureRM, perbarui
AzureRM.Profile
ke versi terbaru dan ganti dengan menggunakan cmdletAdd-AzureRMAccount
denganConnect-AzureRMAccount –Identity
.
Untuk memahami perubahan pada kode runbook yang diperlukan sebelum Anda dapat menggunakan identitas terkelola, gunakan skrip sampel.
- Jika Anda menggunakan
Ketika Anda yakin bahwa runbook berhasil berjalan dengan menggunakan identitas terkelola, Anda dapat dengan aman menghapus akun Jalankan Sebagai jika tidak ada runbook lain yang menggunakan akun tersebut.
Skrip sampel
Contoh skrip runbook berikut mengambil sumber daya Resource Manager dengan menggunakan akun Jalankan Sebagai (perwakilan layanan) dan identitas terkelola. Anda akan melihat perbedaan kode runbook di awal runbook, di mana ia mengautentikasi terhadap sumber daya.
- Identitas terkelola yang ditetapkan sistem
- Identitas terkelola yang ditetapkan pengguna
- Akun Jalankan Sebagai
Catatan
Aktifkan izin RBAC yang sesuai untuk identitas sistem akun Automation ini. Jika tidak, runbook mungkin gagal.
try
{
"Logging in to Azure..."
Connect-AzAccount -Identity
}
catch {
Write-Error -Message $_.Exception
throw $_.Exception
}
#Get all Resource Manager resources from all resource groups
$ResourceGroups = Get-AzResourceGroup
foreach ($ResourceGroup in $ResourceGroups)
{
Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName)
$Resources = Get-AzResource -ResourceGroupName $ResourceGroup.ResourceGroupName
foreach ($Resource in $Resources)
{
Write-Output ($Resource.Name + " of type " + $Resource.ResourceType)
}
Write-Output ("")
}
Lihat ID klien identitas yang ditetapkan pengguna
Di akun Automation Anda, di bawah Pengaturan Akun, pilih Identitas.
Di tab Ditetapkan pengguna, pilih identitas yang ditetapkan pengguna.
Buka Ringkasan>Esensial, untuk melihat ID Klien.
Runbook grafis
Periksa apakah akun Jalankan Sebagai digunakan dalam runbook grafis
Periksa setiap aktivitas dalam runbook untuk melihat apakah menggunakan akun Jalankan Sebagai saat memanggil cmdlet atau alias masuk apa pun, seperti
Add-AzRmAccount/Connect-AzRmAccount/Add-AzAccount/Connect-AzAccount
.Periksa parameter yang digunakan cmdlet.
Untuk digunakan dengan akun Jalankan Sebagai, cmdlet menggunakan parameter yang
ServicePrinicipalCertificate
diatur keApplicationId
.CertificateThumbprint
akan berasal dariRunAsAccountConnection
.
Mengedit runbook grafis untuk menggunakan identitas terkelola
Anda harus menguji identitas terkelola untuk memverifikasi bahwa runbook grafis berfungsi seperti yang diharapkan. Buat salinan runbook produksi Anda untuk menggunakan identitas terkelola, lalu perbarui kode runbook grafis pengujian Anda untuk mengautentikasi dengan menggunakan identitas terkelola. Anda dapat menambahkan fungsionalitas ini ke runbook grafis dengan menambahkan Connect-AzAccount
cmdlet.
Langkah-langkah berikut menyertakan contoh untuk menunjukkan bagaimana runbook grafis yang menggunakan akun Jalankan Sebagai dapat menggunakan identitas terkelola:
Masuk ke portal Azure.
Buka akun Automation, lalu pilih Runbook Automation>Proses.
Pilih runbook. Misalnya, pilih runbook Mulai VM Azure V2 dari daftar, lalu pilih Edit atau buka Telusuri Galeri dan pilih Mulai VM Azure V2.
Ganti koneksi Jalankan Sebagai yang menggunakan
AzureRunAsConnection
dan aset koneksi yang secara internal menggunakan cmdlet PowerShellGet-AutomationConnection
denganConnect-AzAccount
cmdlet.Pilih Hapus untuk menghapus
Get Run As Connection
aktivitas danConnect to Azure
.Di panel kiri, di bawah RUNBOOK CONTROL, pilih Kode lalu pilih Tambahkan ke kanvas.
Edit aktivitas kode, tetapkan nama label yang sesuai, dan pilih Logika aktivitas penulis.
Di halaman Editor Kode, masukkan kode PowerShell berikut dan pilih OK.
try { Write-Output ("Logging in to Azure...") Connect-AzAccount -Identity } catch { Write-Error -Message $_.Exception throw $_.Exception }
Koneksi aktivitas baru ke aktivitas yang disambungkan oleh Koneksi ke Azure sebelumnya dan simpan runbook.
Misalnya, dalam runbook Mulai Azure V2 VM di galeri runbook, Anda harus mengganti Get Run As Connection
aktivitas dan Connect to Azure
dengan aktivitas kode yang menggunakan Connect-AzAccount
cmdlet seperti yang dijelaskan di atas.
Untuk informasi selengkapnya, lihat contoh nama runbook AzureAutomationTutorialWithIdentityGraphical yang dibuat dengan akun Automation.
Catatan
Modul AzureRM PowerShell dihentikan pada 29 Februari 2024. Jika Anda menggunakan modul AzureRM PowerShell di runbook Grafis, Anda harus meningkatkannya untuk menggunakan modul Az PowerShell. Pelajari lebih lanjut.
Langkah berikutnya
Tinjau pertanyaan yang sering diajukan untuk migrasi ke identitas terkelola
Jika runbook Anda tidak berhasil diselesaikan, tinjau Memecahkan masalah identitas terkelola Azure Automation.
Untuk mempelajari selengkapnya tentang identitas terkelola yang ditetapkan sistem, lihat Menggunakan identitas terkelola yang ditetapkan sistem untuk akun Azure Automation.
Untuk mempelajari selengkapnya tentang identitas terkelola yang ditetapkan pengguna, lihat Menggunakan identitas terkelola yang ditetapkan pengguna untuk akun Azure Automation.
Untuk informasi tentang keamanan akun Azure Automation, lihat Gambaran umum autentikasi akun Azure Automation.