Zarządzanie uprawnieniami ról i zabezpieczeniami w usłudze Azure Automation
Kontrola dostępu oparta na rolach (RBAC) platformy Azure umożliwia zarządzanie dostępem dla zasobów platformy Azure. Korzystając z kontroli dostępu opartej na rolach platformy Azure, możesz segregować obowiązki w zespole i udzielać tylko dostępu użytkownikom, grupom i aplikacjom, których potrzebują do wykonywania swoich zadań. Dostęp oparty na rolach można udzielić użytkownikom przy użyciu witryny Azure Portal, narzędzi wiersza polecenia platformy Azure lub interfejsów API zarządzania platformy Azure.
Role na kontach usługi Automation
W usłudze Azure Automation prawo dostępu jest nadawane poprzez przypisywanie użytkownikom, grupom i aplikacjom odpowiednich ról Azure w zakresie konta usługi. Poniżej przedstawiono wbudowane role obsługiwane przez konto automatyzacji:
| Rola | Opis |
|---|---|
| Właściciel | Rola Właściciel umożliwia dostęp do wszystkich zasobów i akcji w ramach konta usługi Automation, w tym zapewnienie innym użytkownikom, grupom i aplikacjom dostępu do zarządzania kontem tej usługi. |
| Współautor | Rola Współautor umożliwia zarządzanie wszystkim, z wyjątkiem modyfikowania uprawnień dostępu innych użytkowników do konta usługi Automation. |
| Czytelnik | Rola Czytelnik służy do wyświetlania wszystkich zasobów w ramach konta usługi Automation, ale nie pozwala na wprowadzanie żadnych zmian. |
| Współtwórca usługi Automation | Rola współtwórcy usługi Automation umożliwia zarządzanie wszystkimi zasobami na koncie usługi Automation, z wyjątkiem modyfikowania uprawnień dostępu innych użytkowników do konta usługi Automation. |
| Operator usługi | Rola Operator usługi Automation umożliwia wyświetlanie nazwy i właściwości elementu runbook oraz tworzenie zadań i zarządzanie nimi dla wszystkich elementów Runbook na koncie usługi Automation. Ta rola jest przydatna, jeśli zasoby konta usługi Automation, takie jak zasoby poświadczeń i inne elementy Runbook, mają być chronione przed możliwością wyświetlenia lub modyfikowania, ale członkowie organizacji mają mieć możliwość wykonywania tych elementów Runbook. |
| Operator zadań usługi Automation | Rola Operator zadania usługi Automation umożliwia tworzenie zadań i zarządzanie nimi dla wszystkich elementów Runbook na koncie usługi Automation. |
| Operator Runbook usługi Automation | Rola operatora Runbook usługi Automation umożliwia wyświetlanie nazwy i właściwości elementu Runbook. |
| Współautor usługi Log Analytics | Rola współtwórcy usługi Log Analytics umożliwia odczytywanie wszystkich danych monitorowania i edytowanie ustawień monitorowania. Edytowanie ustawień monitorowania obejmuje dodawanie rozszerzenia maszyny wirtualnej do maszyn wirtualnych, odczytywanie kluczy kont magazynu, aby móc konfigurować zbieranie dzienników z usługi Azure Storage, tworzenie i konfigurowanie kont usługi Automation, dodawanie funkcji usługi Azure Automation i konfigurowanie diagnostyki platformy Azure we wszystkich zasobach platformy Azure. |
| Czytelnik usługi Log Analytics | Rola Czytelnik usługi Log Analytics umożliwia wyświetlanie i przeszukiwanie wszystkich danych monitorowania, a także wyświetlanie ustawień monitorowania. Obejmuje to wyświetlanie konfiguracji diagnostyki platformy Azure we wszystkich zasobach platformy Azure. |
| Współautor monitorowania | Rola Współtwórca monitorowania umożliwia odczytywanie wszystkich danych monitorowania i aktualizowanie ustawień monitorowania. |
| Czytelnik monitorowania | Rola Czytelnik monitorowania umożliwia odczyt wszystkich danych monitorowania. |
| Administrator dostępu użytkowników | Rola Administrator dostępu użytkowników umożliwia zarządzanie dostępem użytkowników do kont usługi Azure Automation. |
Uprawnienia roli
W poniższych tabelach opisano określone uprawnienia podane dla każdej roli. Może to obejmować Akcje, które dają uprawnienia, i Nie Akcje, które je ograniczają.
Właściciel
Właściciel może zarządzać wszystkim, łącznie z dostępem. W poniższej tabeli przedstawiono uprawnienia udzielone dla roli:
| Czynności | Opis |
|---|---|
| Microsoft.Automation/automationAccounts/* | Tworzenie wszystkich typów zasobów i zarządzanie nimi. |
Współautor
Współtwórca może zarządzać wszystkim oprócz dostępu. W poniższej tabeli przedstawiono uprawnienia udzielone i odmówione dla roli:
| Akcje | Opis |
|---|---|
| Microsoft.Automation/automationAccounts/* | Tworzenie wszystkich typów zasobów i zarządzanie nimi |
| Nie działania. | |
| Microsoft.Authorization/*/Delete | Usuwanie ról i przypisań ról. |
| Microsoft.Authorization/*/Write | Tworzenie ról i przypisań ról. |
| Microsoft.Authorization/elevateAccess/Action | Odmawia możliwości utworzenia administratora dostępu użytkownika. |
Czytelnik
Uwaga
Niedawno wprowadziliśmy zmianę wbudowanego uprawnienia roli Czytelnik dla konta usługi Automation. Dowiedz się więcej
Rola Czytelnik służy do wyświetlania wszystkich zasobów w ramach konta usługi Automation, ale nie pozwala na wprowadzanie żadnych zmian.
| Akcje | Opis |
|---|---|
| Microsoft.Automation/automationAccounts/read | Wyświetl wszystkie zasoby na koncie usługi Automation. |
Współtwórca usługi Automation
Współautor usługi Automation może zarządzać wszystkimi zasobami na koncie usługi Automation z wyjątkiem dostępu. W poniższej tabeli przedstawiono uprawnienia udzielone dla roli:
| Akcje | Opis |
|---|---|
| Microsoft.Automation/automationAccounts/* | Tworzenie wszystkich typów zasobów i zarządzanie nimi. |
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról. |
| Microsoft.Resources/deployments/* | Tworzenie wdrożeń grup zasobów i zarządzanie nimi. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Odczytywanie wdrożenień grup zasobów. |
| Microsoft.Support/* | Tworzenie wniosków o pomoc techniczną i zarządzanie nimi. |
| Microsoft.Insights/ActionGroups/* | Grupy akcji odczytu/zapisu/usuwania. |
| Microsoft.Insights/ActivityLogAlerts/* | Odczyt/zapis/usuwanie alertów dziennika aktywności. |
| Microsoft.Insights/diagnosticSettings/* | Odczyt/zapis/usuwanie ustawień diagnostycznych. |
| Microsoft.Insights/MetricAlerts/* | Odczytywanie/zapisywanie/usuwanie alertów metryk niemal w czasie rzeczywistym. |
| Microsoft.Insights/ScheduledQueryRules/* | Alerty dziennika odczytu/zapisu/usuwania w usłudze Azure Monitor. |
| Microsoft.OperationalInsights/workspaces/sharedKeys/action | Lista kluczy dla obszaru roboczego usługi Log Analytics |
Uwaga
Rola Współautor usługi Automation może służyć do uzyskiwania dostępu do dowolnego zasobu przy użyciu tożsamości zarządzanej, jeśli odpowiednie uprawnienia są ustawione na zasobie docelowym lub przy użyciu konta Uruchom jako. Konto Uruchom jako usługi Automation jest domyślnie skonfigurowane z uprawnieniami współautora w subskrypcji. Postępuj zgodnie z zasadą najniższego wymaganego poziomu uprawnień i przypisz tylko uprawnienia wymagane do wykonania elementu runbook. Jeśli na przykład konto usługi Automation wymaga tylko możliwości uruchamiania lub zatrzymywania maszyny wirtualnej platformy Azure, do konta Uruchom jako lub do tożsamości zarządzanej powinny być przypisane tylko uprawnienia do uruchamiania lub zatrzymywania maszyny wirtualnej. Podobnie jeśli element runbook odczytuje dane z magazynu obiektów blob, przypisz uprawnienia tylko do odczytu.
Podczas przypisywania uprawnień zaleca się użycie kontroli dostępu opartej na rolach (RBAC) platformy Azure przypisanej do tożsamości zarządzanej. Zapoznaj się z naszymi zaleceniami dotyczącymi najlepszego podejścia do korzystania z tożsamości zarządzanej przypisanej do systemu lub użytkownika, w tym zarządzania i nadzoru w trakcie jego istnienia.
Operator usługi
Operator usługi Automation może tworzyć zadania i zarządzać nimi oraz odczytywać nazwy i właściwości elementów runbook dla wszystkich elementów Runbook na koncie usługi Automation.
Uwaga
Jeśli chcesz kontrolować dostęp operatora do poszczególnych elementów Runbook, nie ustawiaj tej roli. Zamiast tego należy używać ról Operator zadań automatyzacji i Operator elementu Runbook automatyzacji w połączeniu.
W poniższej tabeli przedstawiono uprawnienia udzielone dla roli:
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytaj autoryzację. |
| Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read | Odczyt zasobów hybrydowego procesu roboczego elementu Runbook. |
| Microsoft.Automation/automationAccounts/jobs/read | Wyświetl listę zadań elementu runbook. |
| Microsoft.Automation/automationAccounts/jobs/resume/action | Wznawianie zadania, które jest wstrzymane. |
| Microsoft.Automation/automationAccounts/jobs/stop/action | Anulowanie zadania w toku. |
| Microsoft.Automation/automationAccounts/jobs/streams/read | Odczyt strumieni zadań i danych wyjściowych. |
| Microsoft.Automation/automationAccounts/jobs/output/read | Wyświetlanie danych wyjściowych zadania. |
| Microsoft.Automation/automationAccounts/jobs/suspend/action | Przerywanie trwającego zadania. |
| Microsoft.Automation/automationAccounts/jobs/write | Tworzenie zadań. |
| Microsoft.Automation/automationAccounts/jobSchedules/read | Uzyskiwanie harmonogramu zadań usługi Azure Automation. |
| Microsoft.Automation/automationAccounts/jobSchedules/write | Tworzenie harmonogramu zadań usługi Azure Automation. |
| Microsoft.Automation/automationAccounts/linkedWorkspace/read | Łączenie obszaru roboczego z kontem usługi Automation. |
| Microsoft.Automation/automationAccounts/read | Uzyskiwanie konta usługi Azure Automation. |
| Microsoft.Automation/automationAccounts/runbooks/read | Uzyskiwanie elementu runbook usługi Azure Automation. |
| Microsoft.Automation/automationAccounts/schedules/read | Uzyskiwanie zasobu harmonogramu usługi Azure Automation. |
| Microsoft.Automation/automationAccounts/schedules/write | Tworzenie lub aktualizowanie zasobu harmonogramu usługi Azure Automation. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Odczytywanie ról i przypisań ról. |
| Microsoft.Resources/deployments/* | Tworzenie wdrożeń grup zasobów i zarządzanie nimi. |
| Microsoft.Insights/alertRules/* | Tworzenie reguł alertów i zarządzanie nimi. |
| Microsoft.Support/* | Tworzenie wniosków o pomoc techniczną i zarządzanie nimi. |
| Microsoft.ResourceHealth/availabilityStatuses/read | Pobiera stany dostępności dla wszystkich zasobów w określonym zakresie. |
Operator zadań usługi Automation
Rola operatora zadania usługi Automation jest przyznawana w zakresie konta Automation. Dzięki temu operator może tworzyć zadania i zarządzać nimi dla wszystkich elementów Runbook na koncie. Jeśli roli Operator zadania udzielono uprawnień do odczytu w grupie zasobów zawierającej konto usługi Automation, członkowie roli mają możliwość uruchamiania elementów Runbook. Nie mają jednak możliwości ich tworzenia, edytowania ani usuwania.
W poniższej tabeli przedstawiono uprawnienia udzielone dla roli:
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytaj autoryzację. |
| Microsoft.Automation/automationAccounts/jobs/read | Wyświetl listę zadań elementu runbook. |
| Microsoft.Automation/automationAccounts/jobs/resume/action | Wznawianie zadania, które jest wstrzymane. |
| Microsoft.Automation/automationAccounts/jobs/stop/action | Anulowanie zadania w toku. |
| Microsoft.Automation/automationAccounts/jobs/streams/read | Odczyt strumieni zadań i danych wyjściowych. |
| Microsoft.Automation/automationAccounts/jobs/suspend/action | Przerywanie trwającego zadania. |
| Microsoft.Automation/automationAccounts/jobs/write | Tworzenie zadań. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Odczytywanie ról i przypisań ról. |
| Microsoft.Resources/deployments/* | Tworzenie wdrożeń grup zasobów i zarządzanie nimi. |
| Microsoft.Insights/alertRules/* | Tworzenie reguł alertów i zarządzanie nimi. |
| Microsoft.Support/* | Tworzenie wniosków o pomoc techniczną i zarządzanie nimi. |
| Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read | Odczytywanie grupy hybrydowych procesów roboczych elementu Runbook. |
| Microsoft.Automation/automationAccounts/jobs/output/read | Wyświetlanie danych wyjściowych zadania. |
Operator Runbook usługi Automation
Rola operatora elementu Runbook usługi Automation jest przyznawana w zakresie elementu Runbook. Operator elementu Runbook usługi Automation może wyświetlać nazwę i właściwości elementu Runbook. Ta rola w połączeniu z rolą Operator zadania automatyzacji umożliwia operatorowi również tworzenie zadań dla elementu Runbook i zarządzanie nimi. W poniższej tabeli przedstawiono uprawnienia udzielone dla roli:
| Akcje | Opis |
|---|---|
| Microsoft.Automation/automationAccounts/runbooks/read | Wymień elementy runbook. |
| Microsoft.Authorization/*/read | Odczytaj autoryzację. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Odczytywanie ról i przypisań ról. |
| Microsoft.Resources/deployments/* | Tworzenie wdrożeń grup zasobów i zarządzanie nimi. |
| Microsoft.Insights/alertRules/* | Tworzenie reguł alertów i zarządzanie nimi. |
| Microsoft.Support/* | Tworzenie wniosków o pomoc techniczną i zarządzanie nimi. |
Współautor usługi Log Analytics
Współautor usługi Log Analytics może odczytywać wszystkie dane monitorowania i edytować ustawienia monitorowania. Edytowanie ustawień monitorowania obejmuje dodawanie rozszerzenia maszyny wirtualnej do maszyn wirtualnych, odczytywanie kluczy kont magazynu, aby móc konfigurować zbieranie dzienników z usługi Azure Storage, tworzenie i konfigurowanie kont usługi Automation, dodawanie funkcji i konfigurowanie diagnostyki platformy Azure we wszystkich zasobach platformy Azure. W poniższej tabeli przedstawiono uprawnienia udzielone dla roli:
| Akcje | Opis |
|---|---|
| */read | Czytanie zasobów wszystkich typów z wyjątkiem wpisów tajnych. |
| Microsoft.ClassicCompute/virtualMachines/extensions/* | Tworzenie rozszerzeń maszyn wirtualnych i zarządzanie nimi. |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | Wyświetlanie listy kluczy konta magazynu. |
| Microsoft.Compute/virtualMachines/extensions/* | Tworzenie rozszerzeń klasycznych maszyn wirtualnych i zarządzanie nimi. |
| Microsoft.Insights/alertRules/* | Odczyt/zapis/usuwanie reguł alertów. |
| Microsoft.Insights/diagnosticSettings/* | Odczyt/zapis/usuwanie ustawień diagnostycznych. |
| Microsoft.OperationalInsights/* | Zarządzanie dziennikami Azure Monitor. |
| Microsoft.OperationsManagement/* | Zarządzanie funkcjami usługi Azure Automation w obszarach roboczych. |
| Microsoft.Resources/deployments/* | Tworzenie wdrożeń grup zasobów i zarządzanie nimi. |
| Microsoft.Resources/subscriptions/resourcegroups/deployments/* | Tworzenie wdrożeń grup zasobów i zarządzanie nimi. |
| Microsoft.Storage/storageAccounts/listKeys/action | Wyświetlanie kluczy konta magazynu. |
| Microsoft.Support/* | Tworzenie wniosków o pomoc techniczną i zarządzanie nimi. |
| Microsoft.HybridCompute/machines/extensions/write | Instaluje lub aktualizuje rozszerzenia usługi Azure Arc. |
Czytelnik usługi Log Analytics
Czytelnik usługi Log Analytics może wyświetlać i przeszukiwać wszystkie dane monitorowania, a także wyświetlać ustawienia monitorowania, w tym wyświetlać konfigurację diagnostyki platformy Azure we wszystkich zasobach platformy Azure. W poniższej tabeli przedstawiono uprawnienia udzielone i odmówione dla roli:
| Akcje | Opis |
|---|---|
| */read | Czytanie zasobów wszystkich typów z wyjątkiem wpisów tajnych. |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Zarządzanie zapytaniami w dziennikach usługi Azure Monitor. |
| Microsoft.OperationalInsights/workspaces/search/action | Przeszukiwanie danych dziennika usługi Azure Monitor. |
| Microsoft.Support/* | Tworzenie wniosków o pomoc techniczną i zarządzanie nimi. |
| Nie działania. | |
| Microsoft.OperationalInsights/workspaces/sharedKeys/read | Nie można odczytać współużytkowanych kluczy dostępu. |
Współautor monitorowania
Współtwórca monitorowania może odczytywać wszystkie dane monitorowania i aktualizować ustawienia monitorowania. W poniższej tabeli przedstawiono uprawnienia udzielone dla roli:
| Akcje | Opis |
|---|---|
| */read | Czytanie zasobów wszystkich typów z wyjątkiem wpisów tajnych. |
| Microsoft.AlertsManagement/alerts/* | Zarządzanie alertami. |
| Microsoft.AlertsManagement/alertsSummary/* | Zarządzanie pulpitem nawigacyjnym alertu. |
| Microsoft.Insights/AlertRules/* | Zarządzanie regułami alertów. |
| Microsoft.Insights/components/* | Zarządzanie składnikami usługi Application Insights. |
| Microsoft.Insights/DiagnosticSettings/* | Zarządzanie ustawieniami diagnostycznymi. |
| Microsoft.Insights/eventtypes/* | Wyświetlanie listy zdarzeń dziennika aktywności (zdarzeń zarządzania) w subskrypcji. To uprawnienie ma zastosowanie zarówno do programowego, jak i portalowego dostępu do dziennika aktywności. |
| Microsoft.Insights/LogDefinitions/* | To uprawnienie jest niezbędne dla użytkowników, którzy potrzebują dostępu do dzienników aktywności za pośrednictwem portalu. Lista kategorii dziennika w Dzienniku aktywności. |
| Microsoft.Insights/MetricDefinitions/* | Czytanie definicji metryk (lista dostępnych typów metryk dla zasobu). |
| Microsoft.Insights/Metrics/* | Czytanie metryk zasobu. |
| Microsoft.Insights/Register/Action | Rejestrowanie dostawcy zasobów microsoft.insights. |
| Microsoft.Insights/webtests/* | Zarządzanie testami internetowymi usługi Application Insights. |
| Microsoft.OperationalInsights/workspaces/intelligencepacks/* | Zarządzanie pakietami rozwiązań dzienników usługi Azure Monitor. |
| Microsoft.OperationalInsights/workspaces/savedSearches/* | Zarządzanie zapisanymi wyszukiwaniami dzienników usługi Azure Monitor. |
| Microsoft.OperationalInsights/workspaces/search/action | Przeszukiwanie obszarów roboczych usługi Log Analytics. |
| Microsoft.OperationalInsights/workspaces/sharedKeys/action | Wyświetlanie listy kluczy dla obszaru roboczego usługi Log Analytics. |
| Microsoft.OperationalInsights/workspaces/storageinsightconfigs/* | Zarządzanie konfiguracjami szczegółowych informacji dotyczących dzienników usługi Azure Monitor. |
| Microsoft.Support/* | Tworzenie wniosków o pomoc techniczną i zarządzanie nimi. |
| Microsoft.WorkloadMonitor/workloads/* | Zarządzanie obciążeniami. |
Czytelnik monitorowania
Czytnik monitorowania może odczytać wszystkie dane monitorowania. W poniższej tabeli przedstawiono uprawnienia udzielone dla roli:
| Akcje | Opis |
|---|---|
| */read | Czytanie zasobów wszystkich typów z wyjątkiem wpisów tajnych. |
| Microsoft.OperationalInsights/workspaces/search/action | Przeszukiwanie obszarów roboczych usługi Log Analytics. |
| Microsoft.Support/* | Tworzenie wniosków o pomoc techniczną i zarządzanie nimi |
Administrator dostępu użytkowników
Administrator dostępu użytkownika może zarządzać dostępem użytkowników do zasobów platformy Azure. W poniższej tabeli przedstawiono uprawnienia udzielone dla roli:
| Akcje | Opis |
|---|---|
| */read | Przeczytaj wszystkie zasoby |
| Microsoft.Authorization/* | Zarządzanie autoryzacją |
| Microsoft.Support/* | Tworzenie wniosków o pomoc techniczną i zarządzanie nimi |
Uprawnienia dostępu dla roli Czytelnik
Ważne
Aby zwiększyć ogólny stan zabezpieczeń usługi Azure Automation, wbudowany czytelnik kontroli dostępu opartej na rolach nie będzie miał dostępu do kluczy konta usługi Automation za pośrednictwem wywołania interfejsu API — GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION.
Rola Wbudowanego czytelnika dla konta usługi Automation nie może używać API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION polecenia do pobierania kluczy konta usługi Automation. Jest to operacja o wysokich uprawnieniach dostarczająca poufnych informacji, które mogą stanowić zagrożenie bezpieczeństwa niepożądanego złośliwego aktora o niskich uprawnieniach, który może uzyskać dostęp do kluczy konta Automation i może wykonywać działania z podwyższonym poziomem uprawnień.
Aby uzyskać dostęp do API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATIONelementu , zalecamy przejście do wbudowanych ról, takich jak Właściciel, Współautor lub Współautor automatyzacji, aby uzyskać dostęp do kluczy konta usługi Automation. Te role domyślnie będą miały uprawnienia listKeys . Jako najlepsze rozwiązanie zalecamy utworzenie roli niestandardowej z ograniczonymi uprawnieniami dostępu do kluczy konta usługi Automation. W przypadku roli niestandardowej musisz dodać Microsoft.Automation/automationAccounts/listKeys/action uprawnienie do definicji roli.
Dowiedz się więcej na temat tworzenia roli niestandardowej w witrynie Azure Portal.
Uprawnienia do konfigurowania funkcji
W poniższych sekcjach opisano minimalne wymagane uprawnienia wymagane do włączenia rozwiązania Update Management i Śledzenie zmian i spis funkcji.
Uprawnienia do włączania rozwiązania Update Management i Śledzenie zmian i spis z maszyny wirtualnej
| Akcja | Uprawnienie | Minimalny zakres |
|---|---|---|
| Pisanie nowego wdrożenia | Microsoft.Resources/deployments/* | Subskrypcja |
| Pisanie nowej grupy zasobów | Microsoft.Resources/subscriptions/resourceGroups/write | Subskrypcja |
| Tworzenie nowego domyślnego obszaru roboczego | Microsoft.Operational Szczegółowe informacje/workspaces/write | Grupa zasobów |
| Tworzenie nowego konta | Microsoft.Automation/automationAccounts/write | Grupa zasobów |
| Łączenie obszaru roboczego i konta | Microsoft.Operational Szczegółowe informacje/workspaces/writeMicrosoft.Automation/automationAccounts/read | Konto usługi Automation obszaru roboczego |
| Tworzenie rozszerzenia MMA | Microsoft.Compute/virtualMachines/write | Maszyna wirtualna |
| Tworzenie zapisanego wyszukiwania | Microsoft.Operational Szczegółowe informacje/workspaces/write | Workspace |
| Tworzenie konfiguracji zakresu | Microsoft.Operational Szczegółowe informacje/workspaces/write | Workspace |
| Sprawdzanie stanu dołączania — odczyt obszaru roboczego | Microsoft.Operational Szczegółowe informacje/workspaces/read | Workspace |
| Sprawdzanie stanu dołączania — odczyt właściwości połączonego obszaru roboczego konta | Microsoft.Automation/automationAccounts/read | Konto usługi Automation |
| Sprawdzanie stanu dołączania — rozwiązanie do odczytu | Microsoft.Operational Szczegółowe informacje/workspaces/intelligencepacks/read | Rozwiązanie |
| Sprawdzanie stanu dołączania — odczyt maszyny wirtualnej | Microsoft.Compute/virtualMachines/read | Maszyna wirtualna |
| Sprawdzanie stanu dołączania — odczyt konta | Microsoft.Automation/automationAccounts/read | Konto usługi Automation |
| Sprawdzanie obszaru roboczego dołączania dla maszyny wirtualnej1 | Microsoft.Operational Szczegółowe informacje/workspaces/read | Subskrypcja |
| Rejestrowanie dostawcy usługi Log Analytics | Microsoft. Szczegółowe informacje/zarejestruj/akcję | Subskrypcja |
1 To uprawnienie jest wymagane do włączenia funkcji za pośrednictwem środowiska portalu maszyny wirtualnej.
Uprawnienia do włączania rozwiązania Update Management i Śledzenie zmian i spis z konta usługi Automation
| Akcja | Uprawnienie | Minimalny zakres |
|---|---|---|
| Tworzenie nowego wdrożenia | Microsoft.Resources/deployments/* | Subskrypcja |
| Tworzenie nowej grupy zasobów | Microsoft.Resources/subscriptions/resourceGroups/write | Subskrypcja |
| Blok AutomationOnboarding — tworzenie nowego obszaru roboczego | Microsoft.Operational Szczegółowe informacje/workspaces/write | Grupa zasobów |
| Blok AutomationOnboarding — odczyt połączony obszar roboczy | Microsoft.Automation/automationAccounts/read | Konto usługi Automation |
| Blok AutomationOnboarding — rozwiązanie do odczytu | Microsoft.Operational Szczegółowe informacje/workspaces/intelligencepacks/read | Rozwiązanie |
| Blok AutomationOnboarding — odczyt obszaru roboczego | Microsoft.Operational Szczegółowe informacje/workspaces/intelligencepacks/read | Workspace |
| Tworzenie linku dla obszaru roboczego i konta | Microsoft.Operational Szczegółowe informacje/workspaces/write | Workspace |
| Pisanie konta dla shoebox | Microsoft.Automation/automationAccounts/write | Klient |
| Tworzenie/edytowanie zapisanego wyszukiwania | Microsoft.Operational Szczegółowe informacje/workspaces/write | Workspace |
| Tworzenie/edytowanie konfiguracji zakresu | Microsoft.Operational Szczegółowe informacje/workspaces/write | Workspace |
| Rejestrowanie dostawcy usługi Log Analytics | Microsoft. Szczegółowe informacje/zarejestruj/akcję | Subskrypcja |
| Krok 2. Włączanie wielu maszyn wirtualnych | ||
| Blok VMOnboarding — tworzenie rozszerzenia MMA | Microsoft.Compute/virtualMachines/write | Maszyna wirtualna |
| Tworzenie/edytowanie zapisanego wyszukiwania | Microsoft.Operational Szczegółowe informacje/workspaces/write | Workspace |
| Tworzenie/edytowanie konfiguracji zakresu | Microsoft.Operational Szczegółowe informacje/workspaces/write | Workspace |
Zarządzanie uprawnieniami roli dla hybrydowych grup procesów roboczych i hybrydowych procesów roboczych
Role niestandardowe platformy Azure można utworzyć w usłudze Automation i przyznać następujące uprawnienia grupom hybrydowych procesów roboczych i hybrydowym procesom roboczym:
- Hybrydowy proces roboczy elementu Runbook oparty na rozszerzeniach
- Hybrydowy proces roboczy elementu Runbook systemu Windows oparty na agencie
- Hybrydowy proces roboczy elementu Runbook z systemem Linux oparty na agencie
Uprawnienia rozwiązania Update Management
Rozwiązanie Update Management może służyć do oceniania i planowania wdrożeń aktualizacji na maszynach w wielu subskrypcjach w tej samej dzierżawie firmy Microsoft Entra lub w różnych dzierżawach przy użyciu usługi Azure Lighthouse. W poniższej tabeli wymieniono uprawnienia wymagane do zarządzania wdrożeniami aktualizacji.
| Zasób | Rola | Scope |
|---|---|---|
| Konto usługi Automation | Współautor maszyny wirtualnej | Grupa zasobów dla konta |
| Obszar roboczy usługi Log Analytics | Współautor usługi Log Analytics | Obszar roboczy usługi Log Analytics |
| Obszar roboczy usługi Log Analytics | Czytelnik usługi Log Analytics | Subskrypcja |
| Rozwiązanie | Współautor usługi Log Analytics | Rozwiązanie |
| Maszyna wirtualna | Współautor maszyny wirtualnej | Maszyna wirtualna |
| Akcje na maszynie wirtualnej | ||
| Wyświetlanie historii wykonywania harmonogramu aktualizacji (przebiegi maszyny konfiguracji aktualizacji oprogramowania) | Czytelnik | Konto usługi Automation |
| Akcje na maszynie wirtualnej | Uprawnienie | |
| Tworzenie harmonogramu aktualizacji (konfiguracje aktualizacji oprogramowania) | Microsoft.Compute/virtualMachines/write | W przypadku statycznej listy maszyn wirtualnych i grup zasobów |
| Tworzenie harmonogramu aktualizacji (konfiguracje aktualizacji oprogramowania) | Microsoft.OperationalInsights/workspaces/analytics/query/action | W przypadku identyfikatora zasobu obszaru roboczego w przypadku korzystania z listy dynamicznej innej niż platforma Azure. |
Uwaga
W przypadku korzystania z rozwiązania Update Management upewnij się, że zasady wykonywania skryptów są remoteSigned.
Konfigurowanie kontroli dostępu opartej na rolach platformy Azure dla konta usługi Automation
W poniższej sekcji przedstawiono sposób konfigurowania kontroli dostępu opartej na rolach platformy Azure na koncie usługi Automation za pośrednictwem witryny Azure Portal i programu PowerShell.
Konfigurowanie kontroli dostępu opartej na rolach platformy Azure przy użyciu witryny Azure Portal
Zaloguj się do witryny Azure Portal i otwórz konto usługi Automation na stronie Konta usługi Automation.
Wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) i wybierz rolę z listy dostępnych ról. Możesz wybrać dowolną dostępną wbudowaną rolę obsługiwaną przez konto usługi Automation lub dowolną zdefiniowaną rolę niestandardową. Przypisz rolę do użytkownika, do którego chcesz nadać uprawnienia.
Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.
Uwaga
Kontrolę dostępu opartą na rolach można ustawić tylko w zakresie konta usługi Automation, a nie w żadnym zasobie poniżej konta usługi Automation.
Usuwanie przypisań ról z użytkownika
Możesz usunąć uprawnienie dostępu dla użytkownika, który nie zarządza kontem usługi Automation lub który nie działa już w organizacji. W poniższych krokach pokazano, jak usunąć przypisania ról z użytkownika. Aby uzyskać szczegółowe instrukcje, zobacz Usuwanie przypisań ról platformy Azure:
Otwórz obszar Kontrola dostępu (IAM) w zakresie, takim jak grupa zarządzania, subskrypcja, grupa zasobów lub zasób, w którym chcesz usunąć dostęp.
Wybierz kartę Przypisania ról, aby wyświetlić wszystkie przypisania ról w tym zakresie.
Na liście przypisań ról dodaj znacznik wyboru obok użytkownika z przypisaniem roli, które chcesz usunąć.
Wybierz Usuń.
Konfigurowanie kontroli dostępu opartej na rolach platformy Azure przy użyciu programu PowerShell
Dostęp oparty na rolach można również skonfigurować na koncie usługi Automation przy użyciu następujących poleceń cmdlet programu Azure PowerShell:
Polecenie Get-AzRoleDefinition zawiera listę wszystkich ról platformy Azure dostępnych w identyfikatorze Entra firmy Microsoft. Tego polecenia cmdlet można użyć z parametrem , Name aby wyświetlić listę wszystkich akcji, które może wykonać określona rola.
Get-AzRoleDefinition -Name 'Automation Operator'
Poniżej przedstawiono przykładowe dane wyjściowe:
Name : Automation Operator
Id : d3881f73-407a-4167-8283-e981cbba0404
IsCustom : False
Description : Automation Operators are able to start, stop, suspend, and resume jobs
Actions : {Microsoft.Authorization/*/read, Microsoft.Automation/automationAccounts/jobs/read, Microsoft.Automation/automationAccounts/jobs/resume/action,
Microsoft.Automation/automationAccounts/jobs/stop/action...}
NotActions : {}
AssignableScopes : {/}
Polecenie Get-AzRoleAssignment wyświetla listę przypisań ról platformy Azure w określonym zakresie. Bez żadnych parametrów to polecenie cmdlet zwraca wszystkie przypisania ról wykonane w ramach subskrypcji. Użyj parametru , ExpandPrincipalGroups aby wyświetlić listę przypisań dostępu dla określonego użytkownika, a także grupy, do których należy użytkownik.
Przykład: użyj następującego polecenia cmdlet, aby wyświetlić listę wszystkich użytkowników i ich ról w ramach konta usługi Automation.
Get-AzRoleAssignment -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'
Poniżej przedstawiono przykładowe dane wyjściowe:
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
ers/Microsoft.Authorization/roleAssignments/cc594d39-ac10-46c4-9505-f182a355c41f
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName : admin@contoso.com
SignInName : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId : d3881f73-407a-4167-8283-e981cbba0404
ObjectId : 15f26a47-812d-489a-8197-3d4853558347
ObjectType : User
Użyj polecenia New-AzRoleAssignment , aby przypisać dostęp do użytkowników, grup i aplikacji do określonego zakresu.
Przykład: użyj następującego polecenia, aby przypisać rolę "Operator automatyzacji" dla użytkownika w zakresie konta usługi Automation.
New-AzRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName 'Automation operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'
Poniżej przedstawiono przykładowe dane wyjściowe:
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
ers/Microsoft.Authorization/roleAssignments/25377770-561e-4496-8b4f-7cba1d6fa346
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName : admin@contoso.com
SignInName : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId : d3881f73-407a-4167-8283-e981cbba0404
ObjectId : f5ecbe87-1181-43d2-88d5-a8f5e9d8014e
ObjectType : User
Użyj polecenia Remove-AzRoleAssignment , aby usunąć dostęp określonego użytkownika, grupy lub aplikacji z określonego zakresu.
Przykład: użyj następującego polecenia, aby usunąć użytkownika z roli Operator usługi Automation w zakresie konta usługi Automation.
Remove-AzRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName 'Automation Operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'
W poprzednim przykładzie zastąp wartości sign-in ID of a user you wish to remove, SubscriptionID, Resource Group Namei Automation account name swoimi szczegółami konta. Wybierz pozycję Tak po wyświetleniu monitu o potwierdzenie przed kontynuowaniem usuwania przypisań ról użytkownika.
Środowisko użytkownika roli operator usługi Automation — konto usługi Automation
Gdy użytkownik przypisany do roli Operator usługi Automation w zakresie konta usługi Automation wyświetla konto usługi Automation, do którego jest przypisany, użytkownik może wyświetlać tylko listę elementów Runbook, zadań runbook i harmonogramów utworzonych na koncie usługi Automation. Ten użytkownik nie może wyświetlić definicji tych elementów. Użytkownik może uruchomić, zatrzymać, wstrzymać, wznowić lub zaplanować zadanie elementu Runbook. Jednak użytkownik nie ma dostępu do innych zasobów usługi Automation, takich jak konfiguracje, grupy hybrydowych procesów roboczych elementu Runbook lub węzły DSC.
Konfigurowanie kontroli dostępu opartej na rolach platformy Azure dla elementów Runbook
Usługa Azure Automation umożliwia przypisywanie ról platformy Azure do określonych elementów Runbook. W tym celu uruchom następujący skrypt, aby dodać użytkownika do określonego elementu Runbook. Konto usługi Automation Administracja istrator lub Administracja istrator dzierżawy może uruchomić ten skrypt.
$rgName = "<Resource Group Name>" # Resource Group name for the Automation account
$automationAccountName ="<Automation account name>" # Name of the Automation account
$rbName = "<Name of Runbook>" # Name of the runbook
$userId = "<User ObjectId>" # Azure Active Directory (AAD) user's ObjectId from the directory
# Gets the Automation account resource
$aa = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts" -ResourceName $automationAccountName
# Get the Runbook resource
$rb = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts/runbooks" -ResourceName "$rbName"
# The Automation Job Operator role only needs to be run once per user.
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Job Operator" -Scope $aa.ResourceId
# Adds the user to the Automation Runbook Operator role to the Runbook scope
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Runbook Operator" -Scope $rb.ResourceId
Po uruchomieniu skryptu użytkownik zaloguj się do witryny Azure Portal i wybierz pozycję Wszystkie zasoby. Na liście użytkownik może zobaczyć element Runbook, dla którego został dodany jako operator elementu Runbook usługi Automation.
Środowisko użytkownika roli operatora usługi Automation — Runbook
Gdy użytkownik przypisany do roli Operator automatyzacji w zakresie elementu Runbook wyświetla przypisany element Runbook, może uruchomić element Runbook tylko i wyświetlić zadania elementu Runbook.
Następne kroki
- Aby dowiedzieć się więcej na temat wytycznych dotyczących zabezpieczeń, zobacz Najlepsze rozwiązania w zakresie zabezpieczeń w usłudze Azure Automation.
- Aby dowiedzieć się więcej na temat kontroli dostępu opartej na rolach platformy Azure przy użyciu programu PowerShell, zobacz Dodawanie lub usuwanie przypisań ról platformy Azure przy użyciu programu Azure PowerShell.
- Aby uzyskać szczegółowe informacje o typach elementów Runbook, zobacz Typy elementów Runbook usługi Azure Automation.
- Aby uruchomić element Runbook, zobacz Uruchamianie elementu Runbook w usłudze Azure Automation.