Omówienie uwierzytelniania konta usługi Automation
Ważne
Konta Uruchom jako usługi Azure Automation, w tym klasyczne konta Uruchom jako, zostały wycofane 30 września 2023 r. i zastąpione tożsamościami zarządzanymi. Nie będzie już można tworzyć ani odnawiać kont Uruchom jako za pośrednictwem witryny Azure Portal. Aby uzyskać więcej informacji, zobacz przeprowadzanie migracji z istniejących kont Uruchom jako do tożsamości zarządzanej.
Usługa Azure Automation pozwala na zautomatyzowanie zadań w odniesieniu do zasobów platformy Azure, a także zasobów lokalnych oraz pochodzących od innych dostawców chmury, takich jak usługa Amazon Web Services (AWS). Możesz użyć elementów Runbook do automatyzacji zadań lub hybrydowego procesu roboczego elementu Runbook, jeśli masz procesy biznesowe lub operacyjne do zarządzania poza platformą Azure. Praca w dowolnym z tych środowisk wymaga uprawnień do bezpiecznego uzyskiwania dostępu do zasobów z minimalnymi wymaganymi prawami.
W tym artykule opisano scenariusze uwierzytelniania obsługiwane przez usługę Azure Automation i wyjaśniono, jak rozpocząć pracę na podstawie środowiska lub środowisk, którymi należy zarządzać.
Konto usługi Automation
Kiedy uruchamiasz usługę Azure Automation po raz pierwszy, musisz utworzyć co najmniej jedno konto usługi Automation. Konta usługi Automation umożliwiają izolowanie zasobów usługi Automation, elementów Runbook, zasobów i konfiguracji z zasobów innych kont. Konta usługi Automation umożliwiają oddzielenie zasobów od oddzielnych środowisk logicznych lub delegowanych obowiązków. Na przykład jednego konta można użyć dla środowiska rozwojowego, innego dla produkcyjnego, a jeszcze innego dla lokalnego. Możesz też przeznaczyć konto usługi Automation na zarządzanie aktualizacjami systemu operacyjnego na wszystkich maszynach za pomocą rozwiązania Update Management.
Konto usługi Azure Automation różni się od konta Microsoft lub kont utworzonych w ramach subskrypcji platformy Azure. Aby zapoznać się z wprowadzeniem do tworzenia konta usługi Automation, zobacz Tworzenie konta usługi Automation.
Zasoby automatyzacji
Zasoby usługi Automation dla każdego konta usługi Automation są skojarzone z jednym regionem świadczenia usługi Azure, ale konto może zarządzać wszystkimi zasobami w ramach subskrypcji platformy Azure. Głównym powodem tworzenia kont usługi Automation w różnych regionach jest to, że masz zasady, które wymagają odizolowania danych i zasobów do określonego regionu.
Wszystkie zadania tworzone względem zasobów przy użyciu usługi Azure Resource Manager i poleceń cmdlet programu PowerShell w usłudze Azure Automation muszą uwierzytelniać się na platformie Azure przy użyciu uwierzytelniania opartego na poświadczeniach tożsamości organizacyjnej firmy Microsoft Entra.
Tożsamości zarządzane
Tożsamość zarządzana Microsoft Entra umożliwia aplikacji łatwy dostęp usługi Runbook do innych zasobów chronionych przez tożsamość Microsoft Entra. Tożsamość jest zarządzana przez platformę Azure i nie wymaga inicjowana obsługi ani rotacji żadnych wpisów tajnych. Aby uzyskać więcej informacji na temat tożsamości zarządzanych w usłudze Microsoft Entra ID, zobacz Tożsamości zarządzane dla zasobów platformy Azure.
Tożsamości zarządzane są zalecanym sposobem uwierzytelniania w elementach runbook i domyślną metodą uwierzytelniania dla konta usługi Automation.
Oto niektóre korzyści płynące z używania tożsamości zarządzanych:
Używanie tożsamości zarządzanej zamiast konta Uruchom jako usługi Automation upraszcza zarządzanie.
Tożsamości zarządzane mogą być używane bez dodatkowych kosztów.
Nie musisz określać obiektu połączenia Uruchom jako w kodzie elementu Runbook. Dostęp do zasobów można uzyskać przy użyciu tożsamości zarządzanej konta usługi Automation z poziomu elementu Runbook bez tworzenia certyfikatów, połączeń itp.
Konto usługi Automation może uwierzytelniać się przy użyciu dwóch typów tożsamości zarządzanych:
Tożsamość przypisana przez system jest powiązana z aplikacją i jest usuwana, gdy aplikacja zostanie usunięta. Aplikacja może mieć tylko jedną tożsamość przypisaną przez system.
Tożsamość przypisana przez użytkownika to autonomiczny zasób platformy Azure, który można przypisać do aplikacji. Aplikacja może mieć wiele tożsamości przypisanych przez użytkownika.
Uwaga
Tożsamości przypisane przez użytkownika są obsługiwane tylko w przypadku zadań w chmurze. Aby dowiedzieć się więcej o różnych tożsamościach zarządzanych, zobacz Zarządzanie typami tożsamości.
Aby uzyskać szczegółowe informacje na temat korzystania z tożsamości zarządzanych, zobacz Włączanie tożsamości zarządzanej dla usługi Azure Automation.
Uprawnienia subskrypcji
Potrzebne jest uprawnienie Microsoft.Authorization/*/Write
. To uprawnienie jest uzyskiwane za pośrednictwem członkostwa w jednej z następujących wbudowanych ról platformy Azure:
Aby dowiedzieć się więcej o uprawnieniach subskrypcji klasycznych, zobacz sekcję Administratorzy klasycznej subskrypcji platformy Azure.
Uprawnienia Microsoft Entra
Aby odnowić jednostkę usługi, musisz być członkiem jednej z następujących wbudowanych ról usługi Microsoft Entra:
Członkostwo można przypisać do wszystkich użytkowników w dzierżawie na poziomie katalogu, co jest zachowaniem domyślnym. Członkostwo można przyznać jednej z ról na poziomie katalogu. Aby uzyskać więcej informacji, zobacz Kto ma uprawnienia do dodawania aplikacji do mojego wystąpienia Microsoft Entra?
Uprawnienia konta usługi Automation
Aby zaktualizować konto usługi Azure Automation, musisz być członkiem jednej z następujących ról konta usługi Azure Automation:
Aby dowiedzieć się więcej o usłudze Azure Resource Manager i klasycznych modelach wdrażania, zobacz usługę Azure Resource Manager i klasyczne wdrażanie.
Uwaga
Subskrypcje usługi Azure Dostawca rozwiązań w chmurze (CSP) obsługują tylko model usługi Azure Resource Manager. Usługi inne niż Azure Resource Manager nie są dostępne w programie. W przypadku korzystania z subskrypcji CSP konto Uruchom jako w usłudze Azure Classic nie jest tworzone, ale tworzone jest konto Uruchom jako w usłudze Azure. Aby dowiedzieć się więcej na temat subskrypcji CSP, zobacz Temat Dostępne usługi w subskrypcjach CSP.
Kontrola dostępu oparta na rolach
Kontrola dostępu oparta na rolach jest dostępna w usłudze Azure Resource Manager w celu udzielenia dozwolonych akcji do konta użytkownika Microsoft Entra i konta Uruchom jako oraz uwierzytelniania jednostki usługi. Dalsze informacje pomagające w tworzeniu modelu zarządzania uprawnieniami w usłudze Automation można znaleźć w artykule Kontrola dostępu oparta na rolach w usłudze Azure Automation.
Jeśli masz ścisłe mechanizmy kontroli zabezpieczeń dotyczące przypisywania uprawnień w grupach zasobów, musisz przypisać członkostwo konta Uruchom jako do roli Współautor w grupie zasobów.
Uwaga
Zalecamy, aby nie używać roli Współautor usługi Log Analytics do wykonywania zadań automatyzacji. Zamiast tego utwórz rolę niestandardową Współautor usługi Azure Automation i użyj jej do akcji związanych z kontem usługi Automation.
Uwierzytelnianie elementu Runbook za pomocą hybrydowego procesu roboczego elementu Runbook
Elementy Runbook działające w hybrydowym procesie roboczym elementu Runbook w centrum danych lub względem usług obliczeniowych w innych środowiskach w chmurze, takich jak AWS, nie mogą używać tej samej metody, która jest zwykle używana do uwierzytelniania elementów Runbook w zasobach platformy Azure. Jest to spowodowane faktem, że te zasoby działają poza platformą Azure i dlatego wymagają własnych poświadczeń zabezpieczeń zdefiniowanych w usłudze Automation do uwierzytelniania w zasobach, z których korzystają lokalnie. Aby uzyskać więcej informacji na temat uwierzytelniania elementu Runbook przy użyciu procesów roboczych elementów Runbook, zobacz Runbook on a Hybrid Runbook Worker (Uruchamianie elementów Runbook w hybrydowym procesie roboczym elementu Runbook).
W przypadku elementów Runbook korzystających z hybrydowych procesów roboczych elementów Runbook na maszynach wirtualnych platformy Azure można użyć uwierzytelniania elementu Runbook z tożsamościami zarządzanymi zamiast kont Uruchom jako do uwierzytelniania w zasobach platformy Azure.
Następne kroki
- Aby utworzyć konto usługi Automation w witrynie Azure Portal, zobacz Tworzenie autonomicznego konta usługi Azure Automation.
- Jeśli wolisz utworzyć konto przy użyciu szablonu, zobacz Tworzenie konta usługi Automation przy użyciu szablonu usługi Azure Resource Manager.
- Aby uzyskać informacje na temat uwierzytelniania przy użyciu usług Amazon Web Services, zobacz Uwierzytelnianie elementów runbook za pomocą usług Amazon Web Services.
- Listę usług platformy Azure, które obsługują funkcję tożsamości zarządzanych dla zasobów platformy Azure, można znaleźć w temacie Services that support managed identities for Azure resources (Usługi, które obsługują tożsamości zarządzane dla platformy Azure).