Управление разрешениями для ролей и безопасностью в службе автоматизации Azure
Контроль доступа на основе ролей (RBAC) Azure обеспечивает управление доступом к ресурсам Azure. С помощью Azure RBAC вы сможете распределить обязанности внутри команды и предоставить доступ пользователям, группам и приложениям на том уровне, который им необходим для выполнения поставленных задач. Доступ на основе ролей можно предоставлять пользователям с помощью портала Azure, средств командной строки Azure и API управления Azure.
Роли в учетных записях службы автоматизации
В службе автоматизации Azure доступ предоставляется путем назначения соответствующей роли Azure пользователям, группам и приложениям в области учетной записи автоматизации. Ниже перечислены встроенные роли, поддерживаемые учетной записью автоматизации.
| Роль | Description |
|---|---|
| Владелец | Роль владельца обеспечивает доступ ко всем ресурсам и действиям в учетной записи службы автоматизации, включая предоставление доступа на управление учетной записью службы автоматизации другим пользователям, группам и приложениям. |
| Участник | Роль участника позволяет управлять всем, кроме изменения разрешений других пользователей на доступ к учетной записи службы автоматизации. |
| Читатель | Роль читателя позволяет просматривать все ресурсы в учетной записи службы автоматизации, но не дает возможность вносить какие-либо изменения. |
| Участник службы автоматизации | Роль участника службы автоматизации позволяет управлять всеми ресурсами в учетной записи службы автоматизации, за исключением изменения прав доступа других пользователей к учетной записи службы автоматизации. |
| Оператор автоматизации | Роль оператора службы автоматизации позволяет просматривать имя и свойства модуля runbook, а также создавать задания и управлять ими для всех модулей runbook в учетной записи службы автоматизации. Эта роль пригодится, если вам нужно защитить ресурсы учетной записи службы автоматизации, такие как учетные данные, активы и runbook, от просмотра и изменения, и в то же время разрешить членам организации выполнять эти runbook. |
| Оператор заданий службы автоматизации | Роль оператора заданий службы автоматизации позволяет создавать задания и управлять ими для всех модулей runbook в учетной записи службы автоматизации. |
| Оператор Runbook службы автоматизации | Роль оператора runbook службы автоматизации позволяет просматривать имя и свойства модуля runbook. |
| Участник Log Analytics | Участник Log Analytics может считывать все данные мониторинга и изменять его параметры. Изменение параметров мониторинга подразумевает добавление расширений в виртуальные машины, чтение ключей учетной записи хранения для настройки коллекции журналов в службе хранилища Azure, создание и настройку учетных записей службы автоматизации, добавление возможностей службы автоматизации Azure и настройку диагностики Azure во всех ресурсах Azure. |
| Читатель Log Analytics | Читатель Log Analytics может просматривать параметры мониторинга, выполнять поиск всех данных мониторинга и просматривать эти данные. Читатель также может просматривать конфигурации диагностики Azure на всех ресурсах Azure. |
| Monitoring Contributor (Участник мониторинга) | Участник мониторинга может считывать все данные мониторинга и изменять его параметры. |
| Monitoring Reader (Читатель данных мониторинга) | Читатель мониторинга может считывать все данные мониторинга. |
| Администратор доступа пользователей | Роль администратора доступа пользователей позволяет управлять доступом пользователей к учетным записям службы автоматизации Azure. |
Разрешения роли
В следующих таблицах описываются разрешения, предоставленные каждой роли. Это могут быть свойства Actions, которые предоставляют разрешения, и свойства NotActions, которые их ограничивают.
Ответственное лицо
Владелец может управлять всем, включая доступ. В следующей таблице показаны разрешения, предоставленные для этой роли.
| Действия | Описание |
|---|---|
| Microsoft.Automation/automationAccounts/* | Создание ресурсов всех типов и управление ими. |
Участник
Участник может управлять всем, кроме доступа. В следующей таблице показаны разрешения, которые предоставлены и запрещены для этой роли.
| Действия | Description |
|---|---|
| Microsoft.Automation/automationAccounts/* | Создание ресурсов всех типов и управление ими |
| Запрещенные действия | |
| Microsoft.Authorization/*/Delete | Удаление и назначение ролей. |
| Microsoft.Authorization/*/Write | Создание и назначение ролей. |
| Microsoft.Authorization/elevateAccess/Action | Запрет создания администратора доступа пользователей. |
Читатель
Примечание.
Недавно мы внесли изменения в разрешение на встроенную роль читателя для учетной записи службы автоматизации. Подробнее
Читатель может просматривать все ресурсы в учетной записи службы автоматизации, но не может вносить какие-либо изменения.
| Действия | Description |
|---|---|
| Microsoft.Automation/automationAccounts/read | Просмотр всех ресурсов в учетной записи службы автоматизации. |
Участник службы автоматизации
Участник службы автоматизации может управлять всеми ресурсами в учетной записи службы автоматизации, за исключением доступа к ней. В следующей таблице показаны разрешения, предоставленные для этой роли.
| Действия | Description |
|---|---|
| Microsoft.Automation/automationAccounts/* | Создание ресурсов всех типов и управление ими. |
| Microsoft.Authorization/*/read | Чтение ролей и их назначений. |
| Microsoft.Resources/deployments/* | Создание развертываний группы ресурсов и управление ими. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Чтение развертываний групп ресурсов. |
| Microsoft.Support/* | Создание запросов в службу поддержки и управление ими. |
| Microsoft.Insights/ActionGroups/* | Чтение, запись и удаление групп действий. |
| Microsoft.Insights/ActivityLogAlerts/* | Чтение, запись и удаление оповещений журнала действий. |
| Microsoft.Insights/diagnosticSettings/* | Чтение, запись и удаление параметров диагностики. |
| Microsoft.Insights/MetricAlerts/* | Чтение, запись и удаление оповещений на основе метрик практически в реальном времени. |
| Microsoft.Insights/ScheduledQueryRules/* | Чтение, запись и удаление оповещений журналов в Azure Monitor. |
| Microsoft.OperationalInsights/workspaces/sharedKeys/action | Получение списка ключей для рабочей области Log Analytics. |
Примечание.
Роль участника службы автоматизации можно использовать для доступа к любому ресурсу с помощью управляемого удостоверения, если заданы соответствующие разрешения для целевого ресурса, или с помощью учетной записи запуска от имени. Учетная запись запуска от имени службы автоматизации по умолчанию настроена с правами участника для подписки. Следуйте принципу наименьших прав и тщательно назначайте разрешения, необходимые только для выполнения вашего модуля Runbook. Например, если учетная запись службы автоматизации требуется только для запуска или остановки виртуальной машины Azure, тогда разрешения, назначенные учетной записи запуска от имени или управляемому удостоверению, должны быть только для запуска или остановки виртуальной машины. Точно так же, если модуль Runbook читает из хранилища BLOB-объектов, назначьте разрешения только для чтения.
При назначении разрешений рекомендуется использовать управление доступом на основе ролей Azure (RBAC) для управляемого удостоверения. Ознакомьтесь с нашими рекомендациями по использованию управляемого удостоверения, назначаемого системой или пользователем, в том числе для управления и контроля во время его существования.
Оператор автоматизации
Оператор службы автоматизации может создавать задания и управлять ими, а также просматривать имена и свойства всех модулей runbook в учетной записи службы автоматизации.
Примечание.
Если вы хотите контролировать доступ оператора к отдельным модулям runbook, вместо этой роли используйте сочетание ролей Оператор заданий службы автоматизации и Оператор Runbook службы автоматизации.
В следующей таблице показаны разрешения, предоставленные для этой роли.
| Действия | Description |
|---|---|
| Microsoft.Authorization/*/read | Авторизация на чтение. |
| Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read | Считывает ресурсы гибридной рабочей роли Runbook. |
| Microsoft.Automation/automationAccounts/jobs/read | Вывод списка заданий Runbook. |
| Microsoft.Automation/automationAccounts/jobs/resume/action | Возобновление приостановленного задания. |
| Microsoft.Automation/automationAccounts/jobs/stop/action | Отмена выполняющегося задания. |
| Microsoft.Automation/automationAccounts/jobs/streams/read | Чтение потоков и выходных данных задания. |
| Microsoft.Automation/automationAccounts/jobs/output/read | Возвращает выходные данные задания. |
| Microsoft.Automation/automationAccounts/jobs/suspend/action | Остановка выполняющегося задания. |
| Microsoft.Automation/automationAccounts/jobs/write | Создание заданий. |
| Microsoft.Automation/automationAccounts/jobSchedules/read | Возвращает расписание заданий службы автоматизации Azure. |
| Microsoft.Automation/automationAccounts/jobSchedules/write | Создает расписание заданий службы автоматизации Azure. |
| Microsoft.Automation/automationAccounts/linkedWorkspace/read | Возвращает рабочую область, связанную с учетной записью службы автоматизации. |
| Microsoft.Automation/automationAccounts/read | Возвращает учетную запись службы автоматизации Azure. |
| Microsoft.Automation/automationAccounts/runbooks/read | Возвращает runbook службы автоматизации Azure. |
| Microsoft.Automation/automationAccounts/schedules/read | Возвращает ресурс расписания службы автоматизации Azure. |
| Microsoft.Automation/automationAccounts/schedules/write | Создает или обновляет ресурс расписания службы автоматизации Azure. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Чтение ролей и их назначений. |
| Microsoft.Resources/deployments/* | Создание развертываний группы ресурсов и управление ими. |
| Microsoft.Insights/alertRules/* | Создание правил оповещения и управление ими. |
| Microsoft.Support/* | Создание запросов в службу поддержки и управление ими. |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
Оператор заданий службы автоматизации
Роль оператора заданий службы автоматизации предоставляется на уровне учетной записи службы автоматизации. Она предоставляет разрешения на создание заданий и управление ими для всех модулей runbook в учетной записи. Если роли оператора заданий предоставлены разрешения на чтение для группы ресурсов, содержащей учетную запись службы автоматизации, члены роли смогут запускать модули runbook. Однако они у них не будет возможности создавать, изменять и удалять модули.
В следующей таблице показаны разрешения, предоставленные для этой роли.
| Действия | Description |
|---|---|
| Microsoft.Authorization/*/read | Авторизация на чтение. |
| Microsoft.Automation/automationAccounts/jobs/read | Вывод списка заданий Runbook. |
| Microsoft.Automation/automationAccounts/jobs/resume/action | Возобновление приостановленного задания. |
| Microsoft.Automation/automationAccounts/jobs/stop/action | Отмена выполняющегося задания. |
| Microsoft.Automation/automationAccounts/jobs/streams/read | Чтение потоков и выходных данных задания. |
| Microsoft.Automation/automationAccounts/jobs/suspend/action | Остановка выполняющегося задания. |
| Microsoft.Automation/automationAccounts/jobs/write | Создание заданий. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Чтение ролей и их назначений. |
| Microsoft.Resources/deployments/* | Создание развертываний группы ресурсов и управление ими. |
| Microsoft.Insights/alertRules/* | Создание правил оповещения и управление ими. |
| Microsoft.Support/* | Создание запросов в службу поддержки и управление ими. |
| Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read | Считывает группы гибридных рабочих ролей runbook. |
| Microsoft.Automation/automationAccounts/jobs/output/read | Возвращает выходные данные задания. |
Оператор Runbook службы автоматизации
Роль оператора Runbook службы автоматизации предоставляется в области Runbook. Оператор runbook службы автоматизации может просматривать имя и свойства модуля runbook. Эта роль в сочетании с ролью Оператор заданий службы автоматизации позволяет создавать задания для модуля runbook и управлять ими. В следующей таблице показаны разрешения, предоставленные для этой роли.
| Действия | Description |
|---|---|
| Microsoft.Automation/automationAccounts/runbooks/read | Вывод списка Runbook. |
| Microsoft.Authorization/*/read | Авторизация на чтение. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Чтение ролей и их назначений. |
| Microsoft.Resources/deployments/* | Создание развертываний группы ресурсов и управление ими. |
| Microsoft.Insights/alertRules/* | Создание правил оповещения и управление ими. |
| Microsoft.Support/* | Создание запросов в службу поддержки и управление ими. |
Участник Log Analytics
Участник Log Analytics может читать все данные мониторинга и изменять его параметры. Изменение параметров мониторинга подразумевает добавление расширений в виртуальные машины, чтение ключей учетной записи хранения для настройки коллекции журналов в службе хранилища Azure, создание и настройку учетных записей службы автоматизации, добавление возможностей и настройку диагностики Azure для всех ресурсов Azure. В следующей таблице показаны разрешения, предоставленные для этой роли.
| Действия | Description |
|---|---|
| */чтение | Чтение ресурсов всех типов, кроме секретов. |
| Microsoft.ClassicCompute/virtualMachines/extensions/* | Создание расширений виртуальных машин и управление ими. |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | Вывод списка ключей классической учетной записи хранения. |
| Microsoft.Compute/virtualMachines/extensions/* | Создание расширений классических виртуальных машин и управление ими. |
| Microsoft.Insights/alertRules/* | Чтение, запись и удаление правила генерации оповещений. |
| Microsoft.Insights/diagnosticSettings/* | Чтение, запись и удаление параметров диагностики. |
| Microsoft.OperationalInsights/* | Управление журналами Azure Monitor. |
| Microsoft.OperationsManagement/* | Управление возможностями службы автоматизации Azure в рабочих областях. |
| Microsoft.Resources/deployments/* | Создание развертываний группы ресурсов и управление ими. |
| Microsoft.Resources/subscriptions/resourcegroups/deployments/* | Создание развертываний группы ресурсов и управление ими. |
| Microsoft.Storage/storageAccounts/listKeys/action | Составление списка ключей учетной записи хранения. |
| Microsoft.Support/* | Создание запросов в службу поддержки и управление ими. |
| Microsoft.HybridCompute/machines/extensions/write | Устанавливает или обновляет расширения Azure Arc. |
Читатель Log Analytics
Читатель Log Analytics может просматривать и искать все данные мониторинга, а также просматривать его параметры, в том числе конфигурацию Диагностики Azure во всех ресурсах Azure. В следующей таблице показаны разрешения, предоставленные или запрещенные для этой роли.
| Действия | Description |
|---|---|
| */чтение | Чтение ресурсов всех типов, кроме секретов. |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Управление запросами в журналах Azure Monitor. |
| Microsoft.OperationalInsights/workspaces/search/action | Поиск по данным журналов Azure Monitor. |
| Microsoft.Support/* | Создание запросов в службу поддержки и управление ими. |
| Запрещенные действия | |
| Microsoft.OperationalInsights/workspaces/sharedKeys/read | Чтение ключей общего доступа запрещено. |
Monitoring Contributor (Участник мониторинга)
Участник мониторинга может читать все данные мониторинга и изменять его параметры. В следующей таблице показаны разрешения, предоставленные для этой роли.
| Действия | Description |
|---|---|
| */чтение | Чтение ресурсов всех типов, кроме секретов. |
| Microsoft.AlertsManagement/alerts/* | Управление предупреждениями. |
| Microsoft.AlertsManagement/alertsSummary/* | Управление панелью мониторинга оповещений. |
| Microsoft.Insights/AlertRules/* | Управление правилами генерации оповещений. |
| Microsoft.Insights/components/* | Управление компонентами Application Insights. |
| Microsoft.Insights/DiagnosticSettings/* | Управление параметрами диагностики. |
| Microsoft.Insights/eventtypes/* | Вывод списка событий журнала действий (событий управления) в подписке. Это разрешение применяется для доступа к журналу действий посредством кода или портала. |
| Microsoft.Insights/LogDefinitions/* | Это разрешение необходимо пользователям, которым требуется доступ к журналам действия на портале. Получение списка категорий журнала в журнале действий. |
| Microsoft.Insights/MetricDefinitions/* | Чтение определений метрик (вывод списка доступных типов метрик для ресурса). |
| Microsoft.Insights/Metrics/* | Чтение метрик для ресурса. |
| Microsoft.Insights/Register/Action | Регистрация поставщика Microsoft.Insights. |
| Microsoft.Insights/webtests/* | Управление веб-тестами Application Insights. |
| Microsoft.OperationalInsights/workspaces/intelligencepacks/* | Управление пакетами решений для журналов Azure Monitor. |
| Microsoft.OperationalInsights/workspaces/savedSearches/* | Управление сохраненными поисками для журналов Azure Monitor. |
| Microsoft.OperationalInsights/workspaces/search/action | Поиск в рабочих областях Log Analytics. |
| Microsoft.OperationalInsights/workspaces/sharedKeys/action | Получение списка ключей для рабочей области Log Analytics. |
| Microsoft.OperationalInsights/workspaces/storageinsightconfigs/* | Управление конфигурациями аналитических сведений о хранилищах для журналов Azure Monitor. |
| Microsoft.Support/* | Создание запросов в службу поддержки и управление ими. |
| Microsoft.WorkloadMonitor/workloads/* | Управление рабочими нагрузками. |
Monitoring Reader (Читатель данных мониторинга)
Читатель мониторинга может читать все данные мониторинга. В следующей таблице показаны разрешения, предоставленные для этой роли.
| Действия | Description |
|---|---|
| */чтение | Чтение ресурсов всех типов, кроме секретов. |
| Microsoft.OperationalInsights/workspaces/search/action | Поиск в рабочих областях Log Analytics. |
| Microsoft.Support/* | Создание запросов в службу поддержки и управление ими |
Администратор доступа пользователей
Администратор доступа пользователей может управлять доступом пользователей к ресурсам Azure. В следующей таблице показаны разрешения, предоставленные для этой роли.
| Действия | Description |
|---|---|
| */чтение | Чтение всех ресурсов |
| Microsoft.Authorization/* | Управление авторизацией |
| Microsoft.Support/* | Создание запросов в службу поддержки и управление ими |
Разрешения на доступ роли читателя
Важно!
Чтобы укрепить общую служба автоматизации Azure состояние безопасности, встроенное средство чтения RBAC не будет иметь доступа к ключам учетной записи службы автоматизации через вызов API . GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION
Встроенная роль чтения для учетной записи службы автоматизации не может использовать API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION ключи учетной записи службы автоматизации. Эта высокопривилегированная операция предоставляет конфиденциальную информацию, которая может представлять угрозу безопасности. С ее помощью злоумышленник с низким уровнем привилегий может получить доступ к ключам учетной записи Службы автоматизации, чтобы выполнять действия с повышенным уровнем привилегий.
Для доступа API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATIONк ней рекомендуется переключиться на встроенные роли, такие как владелец, участник или участник службы автоматизации, чтобы получить доступ к ключам учетной записи службы автоматизации. По умолчанию эти роли будут иметь разрешение listKeys . Чтобы получать доступ к ключам учетной записи Службы автоматизации, рекомендуется создать настраиваемую роль с ограниченными разрешениями. Для настраиваемой роли необходимо добавить Microsoft.Automation/automationAccounts/listKeys/action разрешение на определение роли.
Узнайте больше о том, как создать пользовательскую роль из портал Azure.
Разрешения на настройку возможностей
В следующих разделах показаны минимальные требуемые разрешения для включения возможностей "Управление обновлениями" и "Отслеживание изменений и инвентаризация".
Разрешения на включение возможностей "Управление обновлениями" и "Отслеживание изменений и инвентаризация" для виртуальной машины Azure
| Действие | Разрешение | Минимальная область |
|---|---|---|
| Запись нового развертывания | Microsoft.Resources/deployments/* | Подписка |
| Запись новой группы ресурсов | Microsoft.Resources/subscriptions/resourceGroups/write | Подписка |
| Создание рабочего пространства по умолчанию | Microsoft.OperationalInsights/workspaces/write | Группа ресурсов |
| Создание учетной записи | Microsoft.Automation/automationAccounts/write | Группа ресурсов |
| Связывание рабочей области и учетной записи | Microsoft.Operational Аналитика/workspaces/write Microsoft.Automation/automationAccounts/read |
Учетная запись автоматизации рабочей области |
| Создание расширения MMA | Microsoft.Compute/virtualMachines/write | Виртуальная машина |
| Создание сохраненного поискового запроса | Microsoft.OperationalInsights/workspaces/write | Рабочая область |
| Создание конфигурации области | Microsoft.OperationalInsights/workspaces/write | Рабочая область |
| Проверка состояния подключения — чтение рабочей области | Microsoft.OperationalInsights/workspaces/read | Рабочая область |
| Проверка состояния подключения — чтение свойств связанной рабочей области учетной записи | Microsoft.Automation/automationAccounts/read | Учетная запись службы автоматизации |
| Проверка состояния подключения — чтение решения | Microsoft.OperationalInsights/workspaces/intelligencepacks/read | Решение |
| Проверка состояния подключения — чтение виртуальной машины | Microsoft.Compute/virtualMachines/read | Виртуальная машина |
| Проверка состояния подключения — чтение учетной записи | Microsoft.Automation/automationAccounts/read | Учетная запись службы автоматизации |
| Проверка подключения рабочей области для виртуальной машины1 | Microsoft.OperationalInsights/workspaces/read | Подписка |
| Регистрация поставщика Log Analytics | Microsoft.Insights/register/action | Подписка |
1 Это разрешение требуется для включения возможностей через интерфейс портала виртуальных машин.
Разрешения на включение возможностей "Управление обновлениями" и "Отслеживание изменений и инвентаризация" для учетной записи службы автоматизации
| Действие | Разрешение | Минимальная область |
|---|---|---|
| Создание развертывания | Microsoft.Resources/deployments/* | Подписка |
| Создание новой группы ресурсов | Microsoft.Resources/subscriptions/resourceGroups/write | Подписка |
| Колонка AutomationOnboarding — создание рабочей области | Microsoft.OperationalInsights/workspaces/write | Группа ресурсов |
| Колонка AutomationOnboarding — чтение связанной рабочей области | Microsoft.Automation/automationAccounts/read | Учетная запись службы автоматизации |
| Колонка AutomationOnboarding — чтение решения | Microsoft.OperationalInsights/workspaces/intelligencepacks/read | Решение |
| Колонка AutomationOnboarding — чтение рабочей области | Microsoft.OperationalInsights/workspaces/intelligencepacks/read | Рабочая область |
| Создание связи для рабочей области и учетной записи | Microsoft.OperationalInsights/workspaces/write | Рабочая область |
| Запись учетной записи для Shoebox | Microsoft.Automation/automationAccounts/write | Организация |
| Создание или изменение сохраненного поискового запроса | Microsoft.OperationalInsights/workspaces/write | Рабочая область |
| Создание или изменение конфигурации области | Microsoft.OperationalInsights/workspaces/write | Рабочая область |
| Регистрация поставщика Log Analytics | Microsoft.Insights/register/action | Подписка |
| Шаг 2. Включение нескольких виртуальных машин | ||
| Колонка VMOnboarding — создание расширения MMA | Microsoft.Compute/virtualMachines/write | Виртуальная машина |
| Создание или изменение сохраненного поискового запроса | Microsoft.OperationalInsights/workspaces/write | Рабочая область |
| Создание или изменение конфигурации области | Microsoft.OperationalInsights/workspaces/write | Рабочая область |
Управление разрешениями роли для гибридных рабочих групп и гибридных рабочих ролей
Пользовательские роли Azure можно создать в службе автоматизации и предоставить следующие разрешения гибридным рабочим группам и гибридным рабочим группам:
- Гибридная рабочая роль Runbook на основе расширений
- Гибридная рабочая роль Runbook на основе агента Windows
- Гибридная рабочая роль Runbook на основе агента Linux
Разрешения на Управление обновлениями
Управление обновлениями можно использовать для оценки и планирования развертываний обновлений на компьютерах в нескольких подписках в одном клиенте Microsoft Entra или между клиентами с помощью Azure Lighthouse. В следующей таблице перечислены разрешения, необходимые для управления развертываниями обновлений.
| Ресурс | Роль | Область применения |
|---|---|---|
| Учетная запись службы автоматизации | Участник виртуальной машины | Группа ресурсов для учетной записи |
| Рабочая область Log Analytics | Участник Log Analytics | Рабочая область Log Analytics |
| Рабочая область Log Analytics | Читатель Log Analytics | Подписка |
| Решение | Участник Log Analytics | Решение |
| Виртуальная машина | Участник виртуальной машины | Виртуальная машина |
| Действия с виртуальной машиной | ||
| Просмотр журнала выполнения расписания обновления (запуски компьютера конфигурации обновления программного обеспечения) | Читатель | Учетная запись службы автоматизации |
| Действия с виртуальной машиной | Разрешение | |
| Создание расписания обновления (конфигурации обновления программного обеспечения) | Microsoft.Compute/virtualMachines/write | Для списка статических виртуальных машин и групп ресурсов. |
| Создание расписания обновления (конфигурации обновления программного обеспечения) | Microsoft.OperationalInsights/workspaces/analytics/query/action | Для идентификатора ресурса рабочей области при использовании динамического списка стороннего поставщика. |
Примечание.
При использовании управления обновлениями убедитесь, что политика выполнения для скриптов имеет значение RemoteSigned.
Настройки Azure RBAC для учетной записи службы автоматизации
В следующем разделе показано, как настроить Azure RBAC в учетной записи службы автоматизации с помощью портала Azure и PowerShell.
Настройка Azure RBAC с помощью портала Azure
Войдите в портал Azure и откройте учетную запись службы автоматизации на странице "Учетные записи службы автоматизации".
Выберите элемент управления доступом (IAM) и выберите роль из списка доступных ролей. Вы можете выбрать любую из доступных встроенных ролей, поддерживаемых учетной записью службы автоматизации или любой пользовательской ролью, которую вы могли определить. Назначьте роль пользователю, которому требуется предоставить разрешения.
Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.
Примечание.
Управление доступом на основе ролей можно настроить только на уровне учетной записи службы автоматизации, но не в ресурсах более низкого уровня.
Удаление назначений ролей от пользователя
Разрешение на доступ для пользователя, который не управляет учетной записью службы автоматизации или прекращает работу в организации, можно удалить. Ниже показано, как удалить назначения ролей от пользователя. Подробные инструкции см. в разделе "Удаление назначений ролей Azure":
Откройте Управление доступом (IAM) для области, например группы управления, подписки, группы ресурсов или отдельного ресурса, чтобы заблокировать доступ.
Перейдите на вкладку "Назначения ролей", чтобы просмотреть все назначения ролей на этом область.
В списке назначений ролей добавьте проверка марк рядом с пользователем с назначением роли, которую вы хотите удалить.
Выберите Удалить.
Настройка Azure RBAC с помощью PowerShell
Доступ к учетной записи службы автоматизации на основе ролей можно также настроить с помощью указанных ниже командлетов Azure PowerShell.
Get-AzRoleDefinition содержит все роли Azure, доступные в идентификаторе Microsoft Entra. При использовании с параметром Name этот командлет возвращает список всех действий, которые может выполнить определенная роль.
Get-AzRoleDefinition -Name 'Automation Operator'
Ниже приведен пример выходных данных.
Name : Automation Operator
Id : d3881f73-407a-4167-8283-e981cbba0404
IsCustom : False
Description : Automation Operators are able to start, stop, suspend, and resume jobs
Actions : {Microsoft.Authorization/*/read, Microsoft.Automation/automationAccounts/jobs/read, Microsoft.Automation/automationAccounts/jobs/resume/action,
Microsoft.Automation/automationAccounts/jobs/stop/action...}
NotActions : {}
AssignableScopes : {/}
Командлет Get-AzRoleAssignment выводит список назначений ролей Azure в указанной области. Без параметров этот командлет возвращает все назначения ролей, выполненные в подписке. Указав параметр ExpandPrincipalGroups, вы получите список назначений доступа для указанного пользователя и всех групп, в состав которых он входит.
Пример. Используйте следующий командлет для перечисления всех пользователей и их ролей в учетной записи службы автоматизации.
Get-AzRoleAssignment -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'
Ниже приведен пример выходных данных.
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
ers/Microsoft.Authorization/roleAssignments/cc594d39-ac10-46c4-9505-f182a355c41f
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName : admin@contoso.com
SignInName : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId : d3881f73-407a-4167-8283-e981cbba0404
ObjectId : 15f26a47-812d-489a-8197-3d4853558347
ObjectType : User
Используйте командлет New-AzRoleAssignment, чтобы присвоить права доступа к определенной области пользователям, группам и приложениям.
Пример. Следующая команда назначает роль оператора службы автоматизации пользователю в области учетной записи службы автоматизации.
New-AzRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName 'Automation operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'
Ниже приведен пример выходных данных.
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
ers/Microsoft.Authorization/roleAssignments/25377770-561e-4496-8b4f-7cba1d6fa346
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName : admin@contoso.com
SignInName : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId : d3881f73-407a-4167-8283-e981cbba0404
ObjectId : f5ecbe87-1181-43d2-88d5-a8f5e9d8014e
ObjectType : User
Командлет Remove-AzRoleAssignment удаляет права доступа к определенной области для указанного пользователя, группы или приложения.
Пример. Используйте следующую команду, чтобы удалить пользователя из роли оператора автоматизации в область учетной записи службы автоматизации.
Remove-AzRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName 'Automation Operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'
В предыдущем примере замените sign-in ID of a user you wish to remove, SubscriptionID, Resource Group Name и Automation account name реальными данными для учетной записи. Прежде чем продолжить удаление назначений ролей пользователей, выберите Да в ответ на запрос подтверждения.
Взаимодействие с пользователем, который имеет роль оператора службы автоматизации, в учетной записи службы автоматизации
Когда пользователь с ролью оператора службы автоматизации в области учетной записи службы автоматизации просматривает эту учетную запись службы автоматизации, он увидит только список runbook, заданий runbook и расписаний, которые созданы в этой учетной записи службы автоматизации. Такой пользователь не может просматривать определения этих элементов. Такой пользователь может запускать, останавливать, приостанавливать, возобновлять и планировать задания runbook. Но у него нет доступа к другим ресурсам службы автоматизации, включая конфигурации, группы гибридных рабочих ролей Runbook и узлы DSC.
Настройка Azure RBAC для модулей runbook
Служба автоматизации Azure позволяет назначать роли Azure определенным модулям runbook. Для этого выполните следующий скрипт, который добавляет пользователя к определенному runbook. Этот скрипт может выполнять администратор учетной записи службы автоматизации или администратор клиента.
$rgName = "<Resource Group Name>" # Resource Group name for the Automation account
$automationAccountName ="<Automation account name>" # Name of the Automation account
$rbName = "<Name of Runbook>" # Name of the runbook
$userId = "<User ObjectId>" # Azure Active Directory (AAD) user's ObjectId from the directory
# Gets the Automation account resource
$aa = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts" -ResourceName $automationAccountName
# Get the Runbook resource
$rb = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts/runbooks" -ResourceName "$rbName"
# The Automation Job Operator role only needs to be run once per user.
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Job Operator" -Scope $aa.ResourceId
# Adds the user to the Automation Runbook Operator role to the Runbook scope
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Runbook Operator" -Scope $rb.ResourceId
После запуска скрипта войдите в портал Azure и выберите "Все ресурсы". В этом списке он увидит runbook, для которых у него есть роль оператора runbook службы автоматизации.
Возможности для пользователя с ролью оператора службы автоматизации. Модуль runbook
Когда пользователь, которому назначена роль оператора службы автоматизации в области runbook, просматривает назначенный ему runbook, он может только запускать его и просматривать его задания.
Следующие шаги
- Дополнительные сведения о рекомендациях по обеспечению безопасности см. в служба автоматизации Azure.
- Дополнительные сведения об управлении доступом с помощью Azure RBAC и PowerShell см. в статье Добавление и удаление назначений ролей Azure с помощью Azure PowerShell.
- Дополнительные сведения о типах runbook см. в статье Типы runbook в службе автоматизации Azure.
- Изучите также, как запустить runbook в службе автоматизации Azure.