Общие сведения о проверке подлинности учетной записи службы автоматизации Azure

  • Статья

Важно!

служба автоматизации Azure учетные записи запуска от имени, включая классические учетные записи запуска от имени, отставили 30 сентября 2023 года и заменили управляемыми удостоверениями. Вы больше не сможете создавать или обновлять учетные записи запуска от имени через портал Azure. Дополнительные сведения см. в статье Переход от существующих учетных записей запуска от имени к управляемому удостоверению.

С помощью службы автоматизации Azure можно автоматизировать задачи, выполняемые с ресурсами Azure (локально), а также с ресурсами других поставщиков облачных служб, например Amazon Web Services (AWS). Вы можете использовать runbook, чтобы автоматизировать ваши задачи, или гибридную рабочую роль Runbook, если вы управляете предприятием или операционными процессами вне Azure. Для работы в любой из этих сред требуются разрешения на безопасный доступ к ресурсам с минимальными необходимыми правами.

В этой статье рассматриваются разные сценарии проверки подлинности, поддерживаемые службой автоматизации Azure, и описывается процесс начала работы с учетом среды или сред, для которых вы настраиваете управление.

Учетная запись службы автоматизации

При первом запуске службы автоматизации Azure необходимо создать по крайней мере одну учетную запись службы автоматизации. Учетные записи службы автоматизации позволяют изолировать ресурсы службы автоматизации (runbook, ресурсы и конфигурации) от ресурсов других учетных записей. Учетные записи службы автоматизации можно использовать, чтобы разделить ресурсы на отдельные логические среды или делегировать ответственность. Например, для разработки можно использовать одну учетную запись, для рабочей среды — другую, а для локальной среды — третью. Также можно выделить учетную запись службы автоматизации для управления обновлениями операционной системы на всех компьютерах при помощи Управления обновлениями.

Учетная запись службы автоматизации Azure отличается от учетной записи Майкрософт или учетных записей, созданных в рамках подписки Azure. Общие сведения см. в статье Создание учетной записи службы автоматизации.

Ресурсы службы автоматизации

Ресурсы каждой учетной записи службы автоматизации связаны с одним регионом Azure, но учетные записи могут управлять всеми ресурсами в вашей подписке Azure. Главной причиной создания учетных записей службы автоматизации в разных регионах будет наличие политик, требующих изолировать данные и ресурсы в определенном регионе.

Все задачи, создаваемые для ресурсов с помощью Azure Resource Manager и командлетов PowerShell в служба автоматизации Azure должны проходить проверку подлинности в Azure с помощью проверки подлинности учетных данных на основе учетных данных организации Microsoft Entra.

Управляемые удостоверения

Управляемое удостоверение из идентификатора Microsoft Entra позволяет runbook легко получить доступ к другим защищенным ресурсам Microsoft Entra. Удостоверения управляются платформой Azure, и для них не нужно подготавливать или изменять секреты. Дополнительные сведения об управляемых удостоверениях в идентификаторе Microsoft Entra см. в разделе "Управляемые удостоверения" для ресурсов Azure.

Управляемые удостоверения — это рекомендуемый способ проверки подлинности в модулях Runbook и является методом проверки подлинности по умолчанию для учетной записи службы автоматизации.

Ниже приведены некоторые преимущества использования управляемых удостоверений.

  • Использование управляемого удостоверения вместо учетной записи запуска от имени службы автоматизации упрощает управление.

  • Управляемые удостоверения можно использовать без дополнительных затрат.

  • В коде runbook не нужно указывать объект подключения запуска от имени. Доступ к ресурсам можно получить с помощью управляемого удостоверения учетной записи службы автоматизации из модуля Runbook без создания сертификатов, подключений и т. д.

Учетная запись службы автоматизации может пройти проверку подлинности с помощью двух типов управляемых удостоверений:

  • Назначаемое системой удостоверение привязывается к приложению и удаляется при удалении приложения. Приложение может иметь только одно назначаемое системой удостоверение.

  • Назначаемое пользователем удостоверение — это изолированный ресурс Azure, который можно назначить приложению. Приложение может иметь несколько назначаемых пользователем удостоверений.

Примечание.

Удостоверения, назначенные пользователем, поддерживаются только для облачных заданий. Дополнительные сведения о различных управляемых удостоверениях см. в разделе Управление типами удостоверений.

Дополнительные сведения об использовании управляемых удостоверений см. в статье "Включение управляемого удостоверения" для служба автоматизации Azure.

Права доступа к подпискам

Вам требуется разрешение Microsoft.Authorization/*/Write. Это разрешение можно получить посредством членства в одной из следующих встроенных ролей Azure:

Чтобы узнать больше о разрешениях классической подписки, ознакомьтесь с разделом Классические администраторы подписок Azure.

Разрешения Microsoft Entra

Чтобы продлить субъект-службу, необходимо быть членом одной из следующих встроенных ролей Microsoft Entra:

Членство может назначаться ВСЕМ пользователям клиента на уровне каталога (поведение по умолчанию). Вы можете предоставить членство любой роли на уровне каталога. Дополнительные сведения см. в разделе Кто имеет право добавлять приложения в мой экземпляр Microsoft Entra?.

Разрешения учетной записи службы автоматизации

Чтобы обновить учетную запись службы автоматизации, вы должны быть членом одной из следующих ролей учетной записи службы автоматизации:

Дополнительные сведения о классической модели развертывания и модели развертывания Azure Resource Manager см. в разделе Развертывание с помощью Azure Resource Manager и классическая модель развертывания.

Примечание.

Подписки Поставщика облачных речений Azure (CSP) поддерживают только модель Azure Resource Manager. Службы, не являющиеся частью Azure Resource Manager, недоступны в программе. При использовании подписки CSP создается не классическая учетная запись запуска от имени Azure, а учетная запись запуска от имени Azure. Дополнительные сведения о подписках CSP см. в разделе Доступные службы в подписках CSP.

Управление доступом на основе ролей

Управление доступом на основе ролей доступно в Azure Resource Manager для предоставления разрешенных действий учетной записи пользователя Microsoft Entra и учетной записи запуска от имени и проверки подлинности субъекта-службы. Дополнительные сведения о разработке модели управления разрешениями в службе автоматизации см. в статье Управление доступом на основе ролей в службе автоматизации Azure.

Если для назначения разрешений в группах ресурсов имеются ограниченные элементы управления безопасностью, необходимо назначить членство в учетной записи запуска от имени роли участника в группе ресурсов.

Примечание.

Мы не рекомендуем использовать роль Участник Log Analytics для выполнения заданий службы автоматизации. Вместо этого создайте настраиваемую роль участника службы автоматизации Azure и используйте ее для действий, связанных с учетной записью службы автоматизации.

Проверка подлинности runbook для гибридной рабочей роли Runbook

Последовательности runbook, запущенные в гибридной рабочей роли Runbook в вашем центре обработки данных или в других облаках, например в вычислительных службах AWS, не могут использовать стандартный для обычных runbook метод проверки подлинности в ресурсах Azure. Это происходит потому, что такие ресурсы работают за пределами Azure и для них требуются отдельные учетные данные безопасности, определяемые службой автоматизации для проверки подлинности ресурсов, доступ к которым они получают локально. Дополнительные сведения о проверке подлинности runbook в рабочей роли runbook см. в статье Запуск модулей Runbook в гибридной рабочей роли Runbook.

Для runbook, которые используют гибридные рабочие роли Runbook на виртуальных машинах Azure, вместо учетной записи запуска от имени можно применить проверку подлинности на основе управляемых удостоверений, чтобы получать доступ к ресурсам Azure.

Следующие шаги