Этапы развертывания схемы

Важно!

11 июля 2026 г. схемы (предварительная версия) будут объявлены нерекомендуемыми. Перенос существующих определений и назначений схем в спецификации шаблонов и стеки развертывания. Артефакты схемы необходимо преобразовать в шаблоны JSON ARM или файлы Bicep, используемые для определения стеков развертывания. Чтобы узнать, как создать артефакт в качестве ресурса ARM, см. следующие статьи:

При развертывании схемы служба Azure Blueprints предпринимает ряд действий для развертывания ресурсов, определенных в данной схеме. В этой статье приводятся сведения о содержимом каждого шага.

Развертывание схемы активируется путем назначения схемы подписке или обновления существующего назначения. Во время развертывания служба Azure Blueprints выполняет следующие действия верхнего уровня:

  • Предоставление права владельца службой Azure Blueprints
  • Создание объекта назначения схемы
  • Дополнительно: Azure Blueprints создает управляемое удостоверение, назначаемое системой
  • Управляемое удостоверение развертывает артефакты схемы
  • Отмена прав управляемого удостоверения, назначенных службой Azure Blueprints и системой

Предоставление права владельца службой Azure Blueprints

Субъекту-службе Azure Blueprints предоставляются права владельца для назначенной подписки или подписок, если используется назначаемое системой управляемое удостоверение. Предоставленная роль позволяет службе Azure Blueprints создавать и позднее отменять назначаемое системой управляемое удостоверение. При использовании назначаемого пользователем управляемого удостоверения субъект-служба Azure Blueprints не получает и не требует прав владельца для подписки.

Права предоставляются автоматически, если назначение выполняется на портале. Однако, если для назначения используется REST API, предоставление прав необходимо выполнять с помощью отдельного вызова API. У службы Azure Blueprints AppId=f71766dc-90d9-4b7d-bd9d-4499c4331c3f, но субъект-служба зависит от клиента. Для получения субъекта-службы используйте Azure Active Directory API Graph и servicePrincipals конечной точки REST. Затем предоставьте службе Azure Blueprints роль Владелец с помощью портала, Azure CLI, Azure PowerShell, REST API или шаблона Azure Resource Manager.

Служба Azure Blueprints напрямую не развертывает ресурсы.

Создание объекта назначения схемы

Пользователь, группа или субъект-служба назначает схему подписке. Объект назначения существует на уровне подписки, на котором была назначена схема. Ресурсы, созданные при развертывании, не создаются в контексте сущности развертывания.

При создании назначения схемы выбирается тип управляемого удостоверения. По умолчанию это назначаемое системой управляемое удостоверение. Можно выбрать назначаемое пользователем управляемое удостоверение. При использовании назначаемого пользователем управляемого удостоверения необходимо определить это удостоверение и предоставить разрешения, прежде чем создавать назначение схемы. У обоих встроенных ролей владелец и оператор схемы есть необходимые разрешения blueprintAssignment/write для создания назначения, использующего назначаемое пользователем управляемое удостоверение.

Дополнительно: Azure Blueprints создает управляемое удостоверение, назначаемое системой.

Если во время назначения выбрано назначаемое системой управляемое удостоверение, служба Azure Blueprints создает удостоверение и предоставляет управляемому удостоверению роль владельца. В случае обновления существующего назначения служба Azure Blueprints использует ранее созданное управляемое удостоверение.

Управляемое удостоверение, связанное с назначением схемы, используется для первичного или повторного развертывания ресурсов, определенных в схеме. Такая схема позволяет избежать непреднамеренного влияния назначений друг на друга. Эта схема также поддерживает функцию блокировки ресурсов, контролируя безопасность каждого развернутого ресурса из схемы.

Управляемое удостоверение развертывает артефакты схемы

Затем управляемое удостоверение активирует развертывания артефактов с помощью Azure Resource Manager в пределах схемы в определенном порядке последовательности. Заказ можно изменить, чтобы обеспечить правильный порядок развертывания артефактов, зависящих от других артефактов.

Сбой доступа при развертывании часто бывает результатом уровня доступа, предоставленного управляемому удостоверению. Служба Azure Blueprints управляет жизненным циклом безопасности управляемого удостоверения, назначаемого системой. Однако пользователь отвечает за управление правами и жизненным циклом управляемого удостоверения, назначаемого пользователем.

Отмена прав управляемого удостоверения, назначенных службой Azure Blueprints и системой

После завершения развертывания служба Azure Blueprints отзывает из подписки права управляемого удостоверения, назначаемого системой. Затем служба Azure Blueprints отзывает свои права из подписки. Удаление прав не позволяет службе Azure Blueprints стать постоянным владельцем подписки.

Дальнейшие действия