Udostępnij za pośrednictwem


Zarządzanie uprawnieniami ról i zabezpieczeniami w usłudze Azure Automation

Kontrola dostępu oparta na rolach (RBAC) platformy Azure umożliwia zarządzanie dostępem dla zasobów platformy Azure. Korzystając z kontroli dostępu opartej na rolach platformy Azure, możesz segregować obowiązki w zespole i udzielać tylko dostępu użytkownikom, grupom i aplikacjom, których potrzebują do wykonywania swoich zadań. Dostęp oparty na rolach można udzielić użytkownikom przy użyciu witryny Azure Portal, narzędzi wiersza polecenia platformy Azure lub interfejsów API zarządzania platformy Azure.

Role na kontach usługi Automation

W usłudze Azure Automation prawo dostępu jest nadawane poprzez przypisywanie użytkownikom, grupom i aplikacjom odpowiednich ról Azure w zakresie konta usługi. Poniżej przedstawiono wbudowane role obsługiwane przez konto automatyzacji:

Rola Opis
Właściciel Rola Właściciel umożliwia dostęp do wszystkich zasobów i akcji w ramach konta usługi Automation, w tym zapewnienie innym użytkownikom, grupom i aplikacjom dostępu do zarządzania kontem tej usługi.
Współautor Rola Współautor umożliwia zarządzanie wszystkim, z wyjątkiem modyfikowania uprawnień dostępu innych użytkowników do konta usługi Automation.
Czytelnik Rola Czytelnik służy do wyświetlania wszystkich zasobów w ramach konta usługi Automation, ale nie pozwala na wprowadzanie żadnych zmian.
Współtwórca usługi Automation Rola współtwórcy usługi Automation umożliwia zarządzanie wszystkimi zasobami na koncie usługi Automation, z wyjątkiem modyfikowania uprawnień dostępu innych użytkowników do konta usługi Automation.
Operator usługi Rola Operator usługi Automation umożliwia wyświetlanie nazwy i właściwości elementu runbook oraz tworzenie zadań i zarządzanie nimi dla wszystkich elementów Runbook na koncie usługi Automation. Ta rola jest przydatna, jeśli zasoby konta usługi Automation, takie jak zasoby poświadczeń i inne elementy Runbook, mają być chronione przed możliwością wyświetlenia lub modyfikowania, ale członkowie organizacji mają mieć możliwość wykonywania tych elementów Runbook.
Operator zadań usługi Automation Rola Operator zadania usługi Automation umożliwia tworzenie zadań i zarządzanie nimi dla wszystkich elementów Runbook na koncie usługi Automation.
Operator Runbook usługi Automation Rola operatora Runbook usługi Automation umożliwia wyświetlanie nazwy i właściwości elementu Runbook.
Współautor usługi Log Analytics Rola współtwórcy usługi Log Analytics umożliwia odczytywanie wszystkich danych monitorowania i edytowanie ustawień monitorowania. Edytowanie ustawień monitorowania obejmuje dodawanie rozszerzenia maszyny wirtualnej do maszyn wirtualnych, odczytywanie kluczy kont magazynu, aby móc konfigurować zbieranie dzienników z usługi Azure Storage, tworzenie i konfigurowanie kont usługi Automation, dodawanie funkcji usługi Azure Automation i konfigurowanie diagnostyki platformy Azure we wszystkich zasobach platformy Azure.
Czytelnik usługi Log Analytics Rola Czytelnik usługi Log Analytics umożliwia wyświetlanie i przeszukiwanie wszystkich danych monitorowania, a także wyświetlanie ustawień monitorowania. Obejmuje to wyświetlanie konfiguracji diagnostyki platformy Azure we wszystkich zasobach platformy Azure.
Współautor monitorowania Rola Współtwórca monitorowania umożliwia odczytywanie wszystkich danych monitorowania i aktualizowanie ustawień monitorowania.
Czytelnik monitorowania Rola Czytelnik monitorowania umożliwia odczyt wszystkich danych monitorowania.
Administrator dostępu użytkowników Rola Administrator dostępu użytkowników umożliwia zarządzanie dostępem użytkowników do kont usługi Azure Automation.

Uprawnienia roli

W poniższych tabelach opisano określone uprawnienia podane dla każdej roli. Może to obejmować Akcje, które dają uprawnienia, i Nie Akcje, które je ograniczają.

Właściciel

Właściciel może zarządzać wszystkim, łącznie z dostępem. W poniższej tabeli przedstawiono uprawnienia udzielone dla roli:

Czynności Opis
Microsoft.Automation/automationAccounts/* Tworzenie wszystkich typów zasobów i zarządzanie nimi.

Współautor

Współtwórca może zarządzać wszystkim oprócz dostępu. W poniższej tabeli przedstawiono uprawnienia udzielone i odmówione dla roli:

Akcje Opis
Microsoft.Automation/automationAccounts/* Tworzenie wszystkich typów zasobów i zarządzanie nimi
Nie działania.
Microsoft.Authorization/*/Delete Usuwanie ról i przypisań ról.
Microsoft.Authorization/*/Write Tworzenie ról i przypisań ról.
Microsoft.Authorization/elevateAccess/Action Odmawia możliwości utworzenia administratora dostępu użytkownika.

Czytelnik

Uwaga

Niedawno wprowadziliśmy zmianę wbudowanego uprawnienia roli Czytelnik dla konta usługi Automation. Dowiedz się więcej

Rola Czytelnik służy do wyświetlania wszystkich zasobów w ramach konta usługi Automation, ale nie pozwala na wprowadzanie żadnych zmian.

Akcje Opis
Microsoft.Automation/automationAccounts/read Wyświetl wszystkie zasoby na koncie usługi Automation.

Współtwórca usługi Automation

Współautor usługi Automation może zarządzać wszystkimi zasobami na koncie usługi Automation z wyjątkiem dostępu. W poniższej tabeli przedstawiono uprawnienia udzielone dla roli:

Akcje Opis
Microsoft.Automation/automationAccounts/* Tworzenie wszystkich typów zasobów i zarządzanie nimi.
Microsoft.Authorization/*/read Odczytywanie ról i przypisań ról.
Microsoft.Resources/deployments/* Tworzenie wdrożeń grup zasobów i zarządzanie nimi.
Microsoft.Resources/subscriptions/resourceGroups/read Odczytywanie wdrożenień grup zasobów.
Microsoft.Support/* Tworzenie wniosków o pomoc techniczną i zarządzanie nimi.
Microsoft.Insights/ActionGroups/* Grupy akcji odczytu/zapisu/usuwania.
Microsoft.Insights/ActivityLogAlerts/* Odczyt/zapis/usuwanie alertów dziennika aktywności.
Microsoft.Insights/diagnosticSettings/* Odczyt/zapis/usuwanie ustawień diagnostycznych.
Microsoft.Insights/MetricAlerts/* Odczytywanie/zapisywanie/usuwanie alertów metryk niemal w czasie rzeczywistym.
Microsoft.Insights/ScheduledQueryRules/* Alerty dziennika odczytu/zapisu/usuwania w usłudze Azure Monitor.
Microsoft.OperationalInsights/workspaces/sharedKeys/action Lista kluczy dla obszaru roboczego usługi Log Analytics

Uwaga

Rola Współautor usługi Automation może służyć do uzyskiwania dostępu do dowolnego zasobu przy użyciu tożsamości zarządzanej, jeśli odpowiednie uprawnienia są ustawione na zasobie docelowym lub przy użyciu konta Uruchom jako. Konto Uruchom jako usługi Automation jest domyślnie skonfigurowane z uprawnieniami współautora w subskrypcji. Postępuj zgodnie z zasadą najniższego wymaganego poziomu uprawnień i przypisz tylko uprawnienia wymagane do wykonania elementu runbook. Jeśli na przykład konto usługi Automation wymaga tylko możliwości uruchamiania lub zatrzymywania maszyny wirtualnej platformy Azure, do konta Uruchom jako lub do tożsamości zarządzanej powinny być przypisane tylko uprawnienia do uruchamiania lub zatrzymywania maszyny wirtualnej. Podobnie jeśli element runbook odczytuje dane z magazynu obiektów blob, przypisz uprawnienia tylko do odczytu.

Podczas przypisywania uprawnień zaleca się użycie kontroli dostępu opartej na rolach (RBAC) platformy Azure przypisanej do tożsamości zarządzanej. Zapoznaj się z naszymi zaleceniami dotyczącymi najlepszego podejścia do korzystania z tożsamości zarządzanej przypisanej do systemu lub użytkownika, w tym zarządzania i nadzoru w trakcie jego istnienia.

Operator usługi

Operator usługi Automation może tworzyć zadania i zarządzać nimi oraz odczytywać nazwy i właściwości elementów runbook dla wszystkich elementów Runbook na koncie usługi Automation.

Uwaga

Jeśli chcesz kontrolować dostęp operatora do poszczególnych elementów Runbook, nie ustawiaj tej roli. Zamiast tego należy używać ról Operator zadań automatyzacji i Operator elementu Runbook automatyzacji w połączeniu.

W poniższej tabeli przedstawiono uprawnienia udzielone dla roli:

Akcje Opis
Microsoft.Authorization/*/read Odczytaj autoryzację.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read Odczyt zasobów hybrydowego procesu roboczego elementu Runbook.
Microsoft.Automation/automationAccounts/jobs/read Wyświetl listę zadań elementu runbook.
Microsoft.Automation/automationAccounts/jobs/resume/action Wznawianie zadania, które jest wstrzymane.
Microsoft.Automation/automationAccounts/jobs/stop/action Anulowanie zadania w toku.
Microsoft.Automation/automationAccounts/jobs/streams/read Odczyt strumieni zadań i danych wyjściowych.
Microsoft.Automation/automationAccounts/jobs/output/read Wyświetlanie danych wyjściowych zadania.
Microsoft.Automation/automationAccounts/jobs/suspend/action Przerywanie trwającego zadania.
Microsoft.Automation/automationAccounts/jobs/write Tworzenie zadań.
Microsoft.Automation/automationAccounts/jobSchedules/read Uzyskiwanie harmonogramu zadań usługi Azure Automation.
Microsoft.Automation/automationAccounts/jobSchedules/write Tworzenie harmonogramu zadań usługi Azure Automation.
Microsoft.Automation/automationAccounts/linkedWorkspace/read Łączenie obszaru roboczego z kontem usługi Automation.
Microsoft.Automation/automationAccounts/read Uzyskiwanie konta usługi Azure Automation.
Microsoft.Automation/automationAccounts/runbooks/read Uzyskiwanie elementu runbook usługi Azure Automation.
Microsoft.Automation/automationAccounts/schedules/read Uzyskiwanie zasobu harmonogramu usługi Azure Automation.
Microsoft.Automation/automationAccounts/schedules/write Tworzenie lub aktualizowanie zasobu harmonogramu usługi Azure Automation.
Microsoft.Resources/subscriptions/resourceGroups/read Odczytywanie ról i przypisań ról.
Microsoft.Resources/deployments/* Tworzenie wdrożeń grup zasobów i zarządzanie nimi.
Microsoft.Insights/alertRules/* Tworzenie reguł alertów i zarządzanie nimi.
Microsoft.Support/* Tworzenie wniosków o pomoc techniczną i zarządzanie nimi.
Microsoft.ResourceHealth/availabilityStatuses/read Pobiera stany dostępności dla wszystkich zasobów w określonym zakresie.

Operator zadań usługi Automation

Rola operatora zadania usługi Automation jest przyznawana w zakresie konta Automation. Dzięki temu operator może tworzyć zadania i zarządzać nimi dla wszystkich elementów Runbook na koncie. Jeśli roli Operator zadania udzielono uprawnień do odczytu w grupie zasobów zawierającej konto usługi Automation, członkowie roli mają możliwość uruchamiania elementów Runbook. Nie mają jednak możliwości ich tworzenia, edytowania ani usuwania.

W poniższej tabeli przedstawiono uprawnienia udzielone dla roli:

Akcje Opis
Microsoft.Authorization/*/read Odczytaj autoryzację.
Microsoft.Automation/automationAccounts/jobs/read Wyświetl listę zadań elementu runbook.
Microsoft.Automation/automationAccounts/jobs/resume/action Wznawianie zadania, które jest wstrzymane.
Microsoft.Automation/automationAccounts/jobs/stop/action Anulowanie zadania w toku.
Microsoft.Automation/automationAccounts/jobs/streams/read Odczyt strumieni zadań i danych wyjściowych.
Microsoft.Automation/automationAccounts/jobs/suspend/action Przerywanie trwającego zadania.
Microsoft.Automation/automationAccounts/jobs/write Tworzenie zadań.
Microsoft.Resources/subscriptions/resourceGroups/read Odczytywanie ról i przypisań ról.
Microsoft.Resources/deployments/* Tworzenie wdrożeń grup zasobów i zarządzanie nimi.
Microsoft.Insights/alertRules/* Tworzenie reguł alertów i zarządzanie nimi.
Microsoft.Support/* Tworzenie wniosków o pomoc techniczną i zarządzanie nimi.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read Odczytywanie grupy hybrydowych procesów roboczych elementu Runbook.
Microsoft.Automation/automationAccounts/jobs/output/read Wyświetlanie danych wyjściowych zadania.

Operator Runbook usługi Automation

Rola operatora elementu Runbook usługi Automation jest przyznawana w zakresie elementu Runbook. Operator elementu Runbook usługi Automation może wyświetlać nazwę i właściwości elementu Runbook. Ta rola w połączeniu z rolą Operator zadania automatyzacji umożliwia operatorowi również tworzenie zadań dla elementu Runbook i zarządzanie nimi. W poniższej tabeli przedstawiono uprawnienia udzielone dla roli:

Akcje Opis
Microsoft.Automation/automationAccounts/runbooks/read Wymień elementy runbook.
Microsoft.Authorization/*/read Odczytaj autoryzację.
Microsoft.Resources/subscriptions/resourceGroups/read Odczytywanie ról i przypisań ról.
Microsoft.Resources/deployments/* Tworzenie wdrożeń grup zasobów i zarządzanie nimi.
Microsoft.Insights/alertRules/* Tworzenie reguł alertów i zarządzanie nimi.
Microsoft.Support/* Tworzenie wniosków o pomoc techniczną i zarządzanie nimi.

Współautor usługi Log Analytics

Współautor usługi Log Analytics może odczytywać wszystkie dane monitorowania i edytować ustawienia monitorowania. Edytowanie ustawień monitorowania obejmuje dodawanie rozszerzenia maszyny wirtualnej do maszyn wirtualnych, odczytywanie kluczy kont magazynu, aby móc konfigurować zbieranie dzienników z usługi Azure Storage, tworzenie i konfigurowanie kont usługi Automation, dodawanie funkcji i konfigurowanie diagnostyki platformy Azure we wszystkich zasobach platformy Azure. W poniższej tabeli przedstawiono uprawnienia udzielone dla roli:

Akcje Opis
*/read Czytanie zasobów wszystkich typów z wyjątkiem wpisów tajnych.
Microsoft.ClassicCompute/virtualMachines/extensions/* Tworzenie rozszerzeń maszyn wirtualnych i zarządzanie nimi.
Microsoft.ClassicStorage/storageAccounts/listKeys/action Wyświetlanie listy kluczy konta magazynu.
Microsoft.Compute/virtualMachines/extensions/* Tworzenie rozszerzeń klasycznych maszyn wirtualnych i zarządzanie nimi.
Microsoft.Insights/alertRules/* Odczyt/zapis/usuwanie reguł alertów.
Microsoft.Insights/diagnosticSettings/* Odczyt/zapis/usuwanie ustawień diagnostycznych.
Microsoft.OperationalInsights/* Zarządzanie dziennikami Azure Monitor.
Microsoft.OperationsManagement/* Zarządzanie funkcjami usługi Azure Automation w obszarach roboczych.
Microsoft.Resources/deployments/* Tworzenie wdrożeń grup zasobów i zarządzanie nimi.
Microsoft.Resources/subscriptions/resourcegroups/deployments/* Tworzenie wdrożeń grup zasobów i zarządzanie nimi.
Microsoft.Storage/storageAccounts/listKeys/action Wyświetlanie kluczy konta magazynu.
Microsoft.Support/* Tworzenie wniosków o pomoc techniczną i zarządzanie nimi.
Microsoft.HybridCompute/machines/extensions/write Instaluje lub aktualizuje rozszerzenia usługi Azure Arc.

Czytelnik usługi Log Analytics

Czytelnik usługi Log Analytics może wyświetlać i przeszukiwać wszystkie dane monitorowania, a także wyświetlać ustawienia monitorowania, w tym wyświetlać konfigurację diagnostyki platformy Azure we wszystkich zasobach platformy Azure. W poniższej tabeli przedstawiono uprawnienia udzielone i odmówione dla roli:

Akcje Opis
*/read Czytanie zasobów wszystkich typów z wyjątkiem wpisów tajnych.
Microsoft.OperationalInsights/workspaces/analytics/query/action Zarządzanie zapytaniami w dziennikach usługi Azure Monitor.
Microsoft.OperationalInsights/workspaces/search/action Przeszukiwanie danych dziennika usługi Azure Monitor.
Microsoft.Support/* Tworzenie wniosków o pomoc techniczną i zarządzanie nimi.
Nie działania.
Microsoft.OperationalInsights/workspaces/sharedKeys/read Nie można odczytać współużytkowanych kluczy dostępu.

Współautor monitorowania

Współtwórca monitorowania może odczytywać wszystkie dane monitorowania i aktualizować ustawienia monitorowania. W poniższej tabeli przedstawiono uprawnienia udzielone dla roli:

Akcje Opis
*/read Czytanie zasobów wszystkich typów z wyjątkiem wpisów tajnych.
Microsoft.AlertsManagement/alerts/* Zarządzanie alertami.
Microsoft.AlertsManagement/alertsSummary/* Zarządzanie pulpitem nawigacyjnym alertu.
Microsoft.Insights/AlertRules/* Zarządzanie regułami alertów.
Microsoft.Insights/components/* Zarządzanie składnikami usługi Application Insights.
Microsoft.Insights/DiagnosticSettings/* Zarządzanie ustawieniami diagnostycznymi.
Microsoft.Insights/eventtypes/* Wyświetlanie listy zdarzeń dziennika aktywności (zdarzeń zarządzania) w subskrypcji. To uprawnienie ma zastosowanie zarówno do programowego, jak i portalowego dostępu do dziennika aktywności.
Microsoft.Insights/LogDefinitions/* To uprawnienie jest niezbędne dla użytkowników, którzy potrzebują dostępu do dzienników aktywności za pośrednictwem portalu. Lista kategorii dziennika w Dzienniku aktywności.
Microsoft.Insights/MetricDefinitions/* Czytanie definicji metryk (lista dostępnych typów metryk dla zasobu).
Microsoft.Insights/Metrics/* Czytanie metryk zasobu.
Microsoft.Insights/Register/Action Rejestrowanie dostawcy zasobów microsoft.insights.
Microsoft.Insights/webtests/* Zarządzanie testami internetowymi usługi Application Insights.
Microsoft.OperationalInsights/workspaces/intelligencepacks/* Zarządzanie pakietami rozwiązań dzienników usługi Azure Monitor.
Microsoft.OperationalInsights/workspaces/savedSearches/* Zarządzanie zapisanymi wyszukiwaniami dzienników usługi Azure Monitor.
Microsoft.OperationalInsights/workspaces/search/action Przeszukiwanie obszarów roboczych usługi Log Analytics.
Microsoft.OperationalInsights/workspaces/sharedKeys/action Wyświetlanie listy kluczy dla obszaru roboczego usługi Log Analytics.
Microsoft.OperationalInsights/workspaces/storageinsightconfigs/* Zarządzanie konfiguracjami szczegółowych informacji dotyczących dzienników usługi Azure Monitor.
Microsoft.Support/* Tworzenie wniosków o pomoc techniczną i zarządzanie nimi.
Microsoft.WorkloadMonitor/workloads/* Zarządzanie obciążeniami.

Czytelnik monitorowania

Czytnik monitorowania może odczytać wszystkie dane monitorowania. W poniższej tabeli przedstawiono uprawnienia udzielone dla roli:

Akcje Opis
*/read Czytanie zasobów wszystkich typów z wyjątkiem wpisów tajnych.
Microsoft.OperationalInsights/workspaces/search/action Przeszukiwanie obszarów roboczych usługi Log Analytics.
Microsoft.Support/* Tworzenie wniosków o pomoc techniczną i zarządzanie nimi

Administrator dostępu użytkowników

Administrator dostępu użytkownika może zarządzać dostępem użytkowników do zasobów platformy Azure. W poniższej tabeli przedstawiono uprawnienia udzielone dla roli:

Akcje Opis
*/read Przeczytaj wszystkie zasoby
Microsoft.Authorization/* Zarządzanie autoryzacją
Microsoft.Support/* Tworzenie wniosków o pomoc techniczną i zarządzanie nimi

Uprawnienia dostępu dla roli Czytelnik

Ważne

Aby zwiększyć ogólny stan zabezpieczeń usługi Azure Automation, wbudowany czytelnik kontroli dostępu opartej na rolach nie będzie miał dostępu do kluczy konta usługi Automation za pośrednictwem wywołania interfejsu API — GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION.

Rola Wbudowanego czytelnika dla konta usługi Automation nie może używać API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION polecenia do pobierania kluczy konta usługi Automation. Jest to operacja o wysokich uprawnieniach dostarczająca poufnych informacji, które mogą stanowić zagrożenie bezpieczeństwa niepożądanego złośliwego aktora o niskich uprawnieniach, który może uzyskać dostęp do kluczy konta Automation i może wykonywać działania z podwyższonym poziomem uprawnień.

Aby uzyskać dostęp do API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATIONelementu , zalecamy przejście do wbudowanych ról, takich jak Właściciel, Współautor lub Współautor automatyzacji, aby uzyskać dostęp do kluczy konta usługi Automation. Te role domyślnie będą miały uprawnienia listKeys . Jako najlepsze rozwiązanie zalecamy utworzenie roli niestandardowej z ograniczonymi uprawnieniami dostępu do kluczy konta usługi Automation. W przypadku roli niestandardowej musisz dodać Microsoft.Automation/automationAccounts/listKeys/action uprawnienie do definicji roli. Dowiedz się więcej na temat tworzenia roli niestandardowej w witrynie Azure Portal.

Uprawnienia do konfigurowania funkcji

W poniższych sekcjach opisano minimalne wymagane uprawnienia wymagane do włączenia rozwiązania Update Management i Śledzenie zmian i spis funkcji.

Uprawnienia do włączania rozwiązania Update Management i Śledzenie zmian i spis z maszyny wirtualnej

Akcja Uprawnienie Minimalny zakres
Pisanie nowego wdrożenia Microsoft.Resources/deployments/* Subskrypcja
Pisanie nowej grupy zasobów Microsoft.Resources/subscriptions/resourceGroups/write Subskrypcja
Tworzenie nowego domyślnego obszaru roboczego Microsoft.Operational Szczegółowe informacje/workspaces/write Grupa zasobów
Tworzenie nowego konta Microsoft.Automation/automationAccounts/write Grupa zasobów
Łączenie obszaru roboczego i konta Microsoft.Operational Szczegółowe informacje/workspaces/write
Microsoft.Automation/automationAccounts/read
Konto usługi Automation obszaru roboczego
Tworzenie rozszerzenia MMA Microsoft.Compute/virtualMachines/write Maszyna wirtualna
Tworzenie zapisanego wyszukiwania Microsoft.Operational Szczegółowe informacje/workspaces/write Workspace
Tworzenie konfiguracji zakresu Microsoft.Operational Szczegółowe informacje/workspaces/write Workspace
Sprawdzanie stanu dołączania — odczyt obszaru roboczego Microsoft.Operational Szczegółowe informacje/workspaces/read Workspace
Sprawdzanie stanu dołączania — odczyt właściwości połączonego obszaru roboczego konta Microsoft.Automation/automationAccounts/read Konto usługi Automation
Sprawdzanie stanu dołączania — rozwiązanie do odczytu Microsoft.Operational Szczegółowe informacje/workspaces/intelligencepacks/read Rozwiązanie
Sprawdzanie stanu dołączania — odczyt maszyny wirtualnej Microsoft.Compute/virtualMachines/read Maszyna wirtualna
Sprawdzanie stanu dołączania — odczyt konta Microsoft.Automation/automationAccounts/read Konto usługi Automation
Sprawdzanie obszaru roboczego dołączania dla maszyny wirtualnej1 Microsoft.Operational Szczegółowe informacje/workspaces/read Subskrypcja
Rejestrowanie dostawcy usługi Log Analytics Microsoft. Szczegółowe informacje/zarejestruj/akcję Subskrypcja

1 To uprawnienie jest wymagane do włączenia funkcji za pośrednictwem środowiska portalu maszyny wirtualnej.

Uprawnienia do włączania rozwiązania Update Management i Śledzenie zmian i spis z konta usługi Automation

Akcja Uprawnienie Minimalny zakres
Tworzenie nowego wdrożenia Microsoft.Resources/deployments/* Subskrypcja
Tworzenie nowej grupy zasobów Microsoft.Resources/subscriptions/resourceGroups/write Subskrypcja
Blok AutomationOnboarding — tworzenie nowego obszaru roboczego Microsoft.Operational Szczegółowe informacje/workspaces/write Grupa zasobów
Blok AutomationOnboarding — odczyt połączony obszar roboczy Microsoft.Automation/automationAccounts/read Konto usługi Automation
Blok AutomationOnboarding — rozwiązanie do odczytu Microsoft.Operational Szczegółowe informacje/workspaces/intelligencepacks/read Rozwiązanie
Blok AutomationOnboarding — odczyt obszaru roboczego Microsoft.Operational Szczegółowe informacje/workspaces/intelligencepacks/read Workspace
Tworzenie linku dla obszaru roboczego i konta Microsoft.Operational Szczegółowe informacje/workspaces/write Workspace
Pisanie konta dla shoebox Microsoft.Automation/automationAccounts/write Klient
Tworzenie/edytowanie zapisanego wyszukiwania Microsoft.Operational Szczegółowe informacje/workspaces/write Workspace
Tworzenie/edytowanie konfiguracji zakresu Microsoft.Operational Szczegółowe informacje/workspaces/write Workspace
Rejestrowanie dostawcy usługi Log Analytics Microsoft. Szczegółowe informacje/zarejestruj/akcję Subskrypcja
Krok 2. Włączanie wielu maszyn wirtualnych
Blok VMOnboarding — tworzenie rozszerzenia MMA Microsoft.Compute/virtualMachines/write Maszyna wirtualna
Tworzenie/edytowanie zapisanego wyszukiwania Microsoft.Operational Szczegółowe informacje/workspaces/write Workspace
Tworzenie/edytowanie konfiguracji zakresu Microsoft.Operational Szczegółowe informacje/workspaces/write Workspace

Zarządzanie uprawnieniami roli dla hybrydowych grup procesów roboczych i hybrydowych procesów roboczych

Role niestandardowe platformy Azure można utworzyć w usłudze Automation i przyznać następujące uprawnienia grupom hybrydowych procesów roboczych i hybrydowym procesom roboczym:

Uprawnienia rozwiązania Update Management

Rozwiązanie Update Management może służyć do oceniania i planowania wdrożeń aktualizacji na maszynach w wielu subskrypcjach w tej samej dzierżawie firmy Microsoft Entra lub w różnych dzierżawach przy użyciu usługi Azure Lighthouse. W poniższej tabeli wymieniono uprawnienia wymagane do zarządzania wdrożeniami aktualizacji.

Zasób Rola Scope
Konto usługi Automation Współautor maszyny wirtualnej Grupa zasobów dla konta
Obszar roboczy usługi Log Analytics Współautor usługi Log Analytics Obszar roboczy usługi Log Analytics
Obszar roboczy usługi Log Analytics Czytelnik usługi Log Analytics Subskrypcja
Rozwiązanie Współautor usługi Log Analytics Rozwiązanie
Maszyna wirtualna Współautor maszyny wirtualnej Maszyna wirtualna
Akcje na maszynie wirtualnej
Wyświetlanie historii wykonywania harmonogramu aktualizacji (przebiegi maszyny konfiguracji aktualizacji oprogramowania) Czytelnik Konto usługi Automation
Akcje na maszynie wirtualnej Uprawnienie
Tworzenie harmonogramu aktualizacji (konfiguracje aktualizacji oprogramowania) Microsoft.Compute/virtualMachines/write W przypadku statycznej listy maszyn wirtualnych i grup zasobów
Tworzenie harmonogramu aktualizacji (konfiguracje aktualizacji oprogramowania) Microsoft.OperationalInsights/workspaces/analytics/query/action W przypadku identyfikatora zasobu obszaru roboczego w przypadku korzystania z listy dynamicznej innej niż platforma Azure.

Uwaga

W przypadku korzystania z rozwiązania Update Management upewnij się, że zasady wykonywania skryptów są remoteSigned.

Konfigurowanie kontroli dostępu opartej na rolach platformy Azure dla konta usługi Automation

W poniższej sekcji przedstawiono sposób konfigurowania kontroli dostępu opartej na rolach platformy Azure na koncie usługi Automation za pośrednictwem witryny Azure Portal i programu PowerShell.

Konfigurowanie kontroli dostępu opartej na rolach platformy Azure przy użyciu witryny Azure Portal

  1. Zaloguj się do witryny Azure Portal i otwórz konto usługi Automation na stronie Konta usługi Automation.

  2. Wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) i wybierz rolę z listy dostępnych ról. Możesz wybrać dowolną dostępną wbudowaną rolę obsługiwaną przez konto usługi Automation lub dowolną zdefiniowaną rolę niestandardową. Przypisz rolę do użytkownika, do którego chcesz nadać uprawnienia.

    Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

    Uwaga

    Kontrolę dostępu opartą na rolach można ustawić tylko w zakresie konta usługi Automation, a nie w żadnym zasobie poniżej konta usługi Automation.

Usuwanie przypisań ról z użytkownika

Możesz usunąć uprawnienie dostępu dla użytkownika, który nie zarządza kontem usługi Automation lub który nie działa już w organizacji. W poniższych krokach pokazano, jak usunąć przypisania ról z użytkownika. Aby uzyskać szczegółowe instrukcje, zobacz Usuwanie przypisań ról platformy Azure:

  1. Otwórz obszar Kontrola dostępu (IAM) w zakresie, takim jak grupa zarządzania, subskrypcja, grupa zasobów lub zasób, w którym chcesz usunąć dostęp.

  2. Wybierz kartę Przypisania ról, aby wyświetlić wszystkie przypisania ról w tym zakresie.

  3. Na liście przypisań ról dodaj znacznik wyboru obok użytkownika z przypisaniem roli, które chcesz usunąć.

  4. Wybierz Usuń.

    Remove users

Konfigurowanie kontroli dostępu opartej na rolach platformy Azure przy użyciu programu PowerShell

Dostęp oparty na rolach można również skonfigurować na koncie usługi Automation przy użyciu następujących poleceń cmdlet programu Azure PowerShell:

Polecenie Get-AzRoleDefinition zawiera listę wszystkich ról platformy Azure dostępnych w identyfikatorze Entra firmy Microsoft. Tego polecenia cmdlet można użyć z parametrem , Name aby wyświetlić listę wszystkich akcji, które może wykonać określona rola.

Get-AzRoleDefinition -Name 'Automation Operator'

Poniżej przedstawiono przykładowe dane wyjściowe:

Name             : Automation Operator
Id               : d3881f73-407a-4167-8283-e981cbba0404
IsCustom         : False
Description      : Automation Operators are able to start, stop, suspend, and resume jobs
Actions          : {Microsoft.Authorization/*/read, Microsoft.Automation/automationAccounts/jobs/read, Microsoft.Automation/automationAccounts/jobs/resume/action,
                   Microsoft.Automation/automationAccounts/jobs/stop/action...}
NotActions       : {}
AssignableScopes : {/}

Polecenie Get-AzRoleAssignment wyświetla listę przypisań ról platformy Azure w określonym zakresie. Bez żadnych parametrów to polecenie cmdlet zwraca wszystkie przypisania ról wykonane w ramach subskrypcji. Użyj parametru , ExpandPrincipalGroups aby wyświetlić listę przypisań dostępu dla określonego użytkownika, a także grupy, do których należy użytkownik.

Przykład: użyj następującego polecenia cmdlet, aby wyświetlić listę wszystkich użytkowników i ich ról w ramach konta usługi Automation.

Get-AzRoleAssignment -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

Poniżej przedstawiono przykładowe dane wyjściowe:

RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
                     ers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName        : admin@contoso.com
SignInName         : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId   : d3881f73-407a-4167-8283-e981cbba0404
ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType         : User

Użyj polecenia New-AzRoleAssignment , aby przypisać dostęp do użytkowników, grup i aplikacji do określonego zakresu.

Przykład: użyj następującego polecenia, aby przypisać rolę "Operator automatyzacji" dla użytkownika w zakresie konta usługi Automation.

New-AzRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName 'Automation operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

Poniżej przedstawiono przykładowe dane wyjściowe:

RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
                     ers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName        : admin@contoso.com
SignInName         : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId   : d3881f73-407a-4167-8283-e981cbba0404
ObjectId           : bbbbbbbb-1111-2222-3333-cccccccccccc
ObjectType         : User

Użyj polecenia Remove-AzRoleAssignment , aby usunąć dostęp określonego użytkownika, grupy lub aplikacji z określonego zakresu.

Przykład: użyj następującego polecenia, aby usunąć użytkownika z roli Operator usługi Automation w zakresie konta usługi Automation.

Remove-AzRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName 'Automation Operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

W poprzednim przykładzie zastąp wartości sign-in ID of a user you wish to remove, SubscriptionID, Resource Group Namei Automation account name swoimi szczegółami konta. Wybierz pozycję Tak po wyświetleniu monitu o potwierdzenie przed kontynuowaniem usuwania przypisań ról użytkownika.

Środowisko użytkownika roli operator usługi Automation — konto usługi Automation

Gdy użytkownik przypisany do roli Operator usługi Automation w zakresie konta usługi Automation wyświetla konto usługi Automation, do którego jest przypisany, użytkownik może wyświetlać tylko listę elementów Runbook, zadań runbook i harmonogramów utworzonych na koncie usługi Automation. Ten użytkownik nie może wyświetlić definicji tych elementów. Użytkownik może uruchomić, zatrzymać, wstrzymać, wznowić lub zaplanować zadanie elementu Runbook. Jednak użytkownik nie ma dostępu do innych zasobów usługi Automation, takich jak konfiguracje, grupy hybrydowych procesów roboczych elementu Runbook lub węzły DSC.

No access to resources

Konfigurowanie kontroli dostępu opartej na rolach platformy Azure dla elementów Runbook

Usługa Azure Automation umożliwia przypisywanie ról platformy Azure do określonych elementów Runbook. W tym celu uruchom następujący skrypt, aby dodać użytkownika do określonego elementu Runbook. Konto usługi Automation Administracja istrator lub Administracja istrator dzierżawy może uruchomić ten skrypt.

$rgName = "<Resource Group Name>" # Resource Group name for the Automation account
$automationAccountName ="<Automation account name>" # Name of the Automation account
$rbName = "<Name of Runbook>" # Name of the runbook
$userId = "<User ObjectId>" # Azure Active Directory (AAD) user's ObjectId from the directory

# Gets the Automation account resource
$aa = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts" -ResourceName $automationAccountName

# Get the Runbook resource
$rb = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts/runbooks" -ResourceName "$rbName"

# The Automation Job Operator role only needs to be run once per user.
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Job Operator" -Scope $aa.ResourceId

# Adds the user to the Automation Runbook Operator role to the Runbook scope
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Runbook Operator" -Scope $rb.ResourceId

Po uruchomieniu skryptu użytkownik zaloguj się do witryny Azure Portal i wybierz pozycję Wszystkie zasoby. Na liście użytkownik może zobaczyć element Runbook, dla którego został dodany jako operator elementu Runbook usługi Automation.

Runbook Azure RBAC in the portal

Środowisko użytkownika roli operatora usługi Automation — Runbook

Gdy użytkownik przypisany do roli Operator automatyzacji w zakresie elementu Runbook wyświetla przypisany element Runbook, może uruchomić element Runbook tylko i wyświetlić zadania elementu Runbook.

Only has access to start

Następne kroki