Поделиться через


Создание автономной учетной записи службы автоматизации Azure

В этой статье объясняется, как создать учетную запись службы автоматизации с помощью портала Azure. Вы можете использовать учетную запись службы автоматизации, чтобы оценить и изучить службу автоматизации Azure, не прибегая к дополнительным функциям управления или интеграции с журналами Azure Monitor. Вы можете добавить функции управления или настроить интеграцию с журналами Azure Monitor для расширенного мониторинга заданий runbook позднее в любой момент.

С использованием учетной записи службы автоматизации можно проверять подлинность ресурсов управления модулями Runbook в модели Azure Resource Manager или в классической модели развертывания. Одна учетная запись автоматизации может управлять ресурсами во всех регионах и подписках для конкретного клиента.

С помощью этой учетной записи вы можете быстро начать создание и развертывание модулей runbook для решения конкретных задач автоматизации.

Разрешения, необходимые для создания учетной записи службы автоматизации

Чтобы создать или обновить учетную запись службы автоматизации и выполнить задачи, приведенные в этой статье, вам потребуются указанные ниже привилегии и разрешения.

Чтобы создать учетную запись службы автоматизации, учетная запись пользователя Microsoft Entra должна быть добавлена в роль с разрешениями, эквивалентными роли владельца ресурсов Microsoft.Automation . Дополнительные сведения см. в статье Управление доступом на основе ролей в службе автоматизации Azure.

Создание учетной записи службы автоматизации на портале Azure

Чтобы создать учетную запись службы автоматизации Azure на портале Azure, выполните следующие действия:

  1. Войдите на портал Azure с помощью учетной записи, добавленной в качестве участника роли "Администраторы" подписки и соадминистратора подписки.

  2. Выберите действие + Создать ресурс.

  3. Введите в строку поиска Служба автоматизации. В результатах поиска выберите Автоматизация.

    Снимок экрана: учетные записи службы автоматизации на портале.

Параметры новой учетной записи службы автоматизации упорядочены на вкладках на странице Создать учетную запись службы автоматизации. В следующих разделах описаны все вкладки и доступные на них параметры.

Основные сведения

На вкладке Основные сведения укажите основные сведения об учетной записи службы автоматизации. После завершения работы с вкладкой Основное можно продолжить настройку новой учетной записи службы автоматизации, задав параметры на других вкладках, или нажать кнопку Просмотр и создание, чтобы принять остальные параметры по умолчанию и перейти к проверке и созданию учетной записи.

Примечание.

По умолчанию управляемое удостоверение, назначаемое системой, включено для учетной записи службы автоматизации.

В следующей таблице описаны поля вкладки Основные сведения.

Поле Обязательный
or
необязательный параметр
Description
Подписка Обязательный В раскрывающемся списке выберите подписку Azure, которая используется для учетной записи.
Группа ресурсов Обязательный В раскрывающемся списке выберите существующую группу ресурсов, а затем Создать новую.
Имя учетной записи автоматизации Обязательный Введите уникальное имя для расположения и группы ресурсов. Имена учетных записей службы автоматизации, которые были удалены, могут быть недоступны некоторое время. Имя учетной записи нельзя изменить после того, как оно было введено в пользовательском интерфейсе.
Регион Обязательный В раскрывающемся списке выберите регион для учетной записи. Обновленный список расположений, в которых можно развернуть учетную запись службы автоматизации, см. на странице Доступность продуктов по регионам.

На следующем рисунке показана стандартная конфигурация новой учетной записи службы автоматизации.

Снимок экрана: обязательные поля для создания учетной записи службы автоматизации на вкладке

Расширенные

На вкладке Дополнительно можно настроить параметр управляемого удостоверения для новой учетной записи службы автоматизации. После создания учетной записи службы автоматизации можно также настроить управляемое удостоверение, назначаемое пользователем.

Сведения о том, как создать управляемое удостоверение, назначаемое пользователем, см. в разделе Создание управляемого удостоверения, назначаемого пользователем.

В следующей таблице описаны поля вкладки Дополнительно.

Поле Обязательный
or
необязательный параметр
Description
Назначаемое системой Необязательно Удостоверение Microsoft Entra, которое привязано к жизненному циклу учетной записи службы автоматизации.
Назначаемое пользователем Необязательно Управляемое удостоверение, представленное в виде автономного ресурса Azure, управляемого отдельно от ресурсов, которые его используют.

Вы можете включить управляемые удостоверения позже, при этом учетная запись службы автоматизации будет создана без управляемого удостоверения. Сведения о включении управляемого удостоверения после создания учетной записи см. в соответствующем разделе. Если вы выбрали оба варианта, примените для назначаемого пользователем удостоверения параметр Добавить удостоверения, назначаемые пользователем. На странице Выберите управляемое удостоверение, назначаемое пользователем выберите подписку и добавьте одно или несколько назначаемых пользователем удостоверений, созданных в этой подписке, чтобы назначить учетную запись службы автоматизации.

На следующем рисунке показана стандартная конфигурация новой учетной записи службы автоматизации.

Снимок экрана: обязательные поля для создания учетной записи службы автоматизации на вкладке

Сеть

На вкладке "Сеть" можно настроить подключение к учетной записи службы автоматизации с помощью общедоступных IP-адресов или частного использования служба автоматизации Azure Приватный канал. Приватный канал службы автоматизации Azure подключает одну или несколько частных конечных точек (и, соответственно, виртуальных сетей, в которых они содержатся) к ресурсу учетной записи службы автоматизации.

На следующем рисунке показана стандартная конфигурация новой учетной записи службы автоматизации.

Снимок экрана: обязательные поля для создания учетной записи службы автоматизации на вкладке

Теги

На вкладке Теги можно указать теги Resource Manager, которые помогут упорядочить ресурсы Azure. Дополнительные сведения см. в разделе Использование тегов ресурсов, групп ресурсов и подписок для логической организации.

Проверить и создать

При переходе на вкладку Просмотр и создание Azure выполняет проверку выбранных параметров учетной записи службы автоматизации. Если проверка пройдет успешно, можно будет перейти к созданию учетной записи службы автоматизации.

Если проверка завершится неудачно, на портале будут указаны параметры, которые необходимо изменить.

Проверьте новую учетную запись службы автоматизации.

Страница

После создания учетной записи службы автоматизации автоматически создаются несколько ресурсов. После создания эти модули Runbook можно безопасно удалить, если вы не хотите их хранить. Управляемые удостоверения можно использовать для проверки подлинности в вашей учетной записи в runbook, и их следует оставить, если вы не создадите другую или не требуете их. Ключи доступа службы автоматизации также создаются во время создания учетной записи службы автоматизации. В следующей таблице перечислены ресурсы для учетной записи.

Ресурс Description
AzureAutomationTutorialWithIdentityGraphical Пример графического модуля Runbook, демонстрирующего проверку подлинности с помощью управляемого удостоверения. Он получает доступ ко всем ресурсам Resource Manager.
AzureAutomationTutorialWithIdentity Пример runbook PowerShell, демонстрирующий проверку подлинности с помощью управляемого удостоверения. Он получает доступ ко всем ресурсам Resource Manager.

Примечание.

Модули Runbook учебника не были обновлены для проверки подлинности с помощью управляемого удостоверения. Просмотрите удостоверение, назначаемое системой или используя назначаемое пользователем удостоверение, чтобы узнать, как предоставить управляемому удостоверению доступ к ресурсам и настроить модули Runbook для проверки подлинности с помощью любого типа управляемого удостоверения.

Управление ключами учетной записи службы автоматизации

При создании учетной записи службы автоматизации Azure создает два 512-разрядных ключа доступа к учетной записи службы автоматизации для этой учетной записи. Эти ключи являются общими ключами доступа, которые используются в качестве ключей регистрации узлов DSC, а также гибридных рабочих ролей Runbook Windows и Linux. Эти ключи используются только при регистрации узлов DSC и гибридных рабочих ролей. Существующие компьютеры, настроенные как узлы DSC или гибридные рабочие роли, не будут затронуты после смены этих ключей.

Просмотр ключей учетной записи службы автоматизации

Чтобы просмотреть и скопировать ключи доступа к учетной записи службы автоматизации, выполните следующие действия.

  1. В портал Azure перейдите к учетной записи службы автоматизации.

  2. В разделе "Параметры учетной записи" выберите "Ключи", чтобы просмотреть основные и вторичные ключи доступа учетной записи службы автоматизации. Вы можете использовать любой из двух ключей для доступа к учетной записи службы автоматизации. Однако рекомендуется использовать первый ключ и зарезервировать использование второго ключа.

    Страница

Выполнение ротации ключей доступа вручную

Рекомендуется периодически менять ключи доступа, чтобы обеспечить безопасность учетной записи службы автоматизации. При наличии двух ключей доступа их можно повернуть с помощью портал Azure или командлета Azure PowerShell.

Выбор клиента

Выполните следующие действия:

  1. Перейдите к учетной записи службы автоматизации в портал Azure.
  2. В разделе "Параметры учетной записи" выберите "Ключи".
  3. Выберите "Повторно создать первичный", чтобы повторно создать первичный ключ доступа для учетной записи службы автоматизации.
  4. Выберите повторное создание вторичного ключа доступа для повторного создания вторичного ключа доступа. Создание ключей

Просмотр URL-адреса регистрации

Узел DSC регистрируется в службе конфигурации состояния с помощью URL-адреса регистрации и проверяет подлинность с помощью ключа доступа к регистрации вместе с ключами доступа к учетной записи службы автоматизации.

Снимок экрана: ключи службы автоматизации и URL-адрес

Следующие шаги