Настройка среды для роли "Оператор схем"

Важно!

11 июля 2026 г. схемы (предварительная версия) будут объявлены нерекомендуемыми. Перенос существующих определений и назначений схем в спецификации шаблонов и стеки развертывания. Артефакты схемы необходимо преобразовать в шаблоны JSON ARM или файлы Bicep, используемые для определения стеков развертывания. Чтобы узнать, как создать артефакт в качестве ресурса ARM, см. следующие статьи:

• Политика
• RBAC
• Развертывания

Управление определениями и назначениями схем может быть поручено различным командам. Обычно архитектор или группа управления ответственны за управление жизненным циклом определений схем, в то время как рабочая группа отвечает за управление назначениями этих централизованно контролируемых определений схем.

Встроенная роль Оператор схемы разработана специально для использования в сценариях такого типа. Эта роль позволяет группам типов операций управлять назначением определений схем организаций, но не дает возможности изменять их. Для этого требуется определенная конфигурация в среде Azure. В этой статье описываются необходимые действия.

Предоставление разрешения оператору схемы

Первым делом необходимо предоставить роль Оператор схемы учетной записи или группе безопасности (рекомендуется), которая будет назначать схемы. Это действие должно быть выполнено на самом высоком уровне иерархии групп управления, которая охватывает все группы управления и подписки, к которым группа операций должна иметь доступ для назначения схем. При предоставлении этих разрешений рекомендуется следовать принципу минимальных привилегий.

1. (Рекомендовано) Создание группы безопасности и добавление участников

2. Назначение роли AzureОператор схемы учетной записи или группе безопасности

Назначение пользователем управляемого удостоверения

Определение схемы может использовать либо назначенные системой, либо назначенные пользователем удостоверения. Однако при использовании роли Оператор схемы необходимо настроить определение схемы для использования управляемого удостоверения, назначенного пользователем. Кроме того, учетной записи или группе безопасности, которой предоставляется роль Оператор схемы, необходимо предоставить роль Оператор управляемого удостоверения в управляемом удостоверении, назначенном пользователем. Без этого разрешения, назначения схем завершатся сбоем из-за отсутствия разрешений.

1. Создание управляемого удостоверения, назначаемого пользователем, для использования назначенной схемой.

2. Предоставьте управляемому удостоверению, назначаемому пользователем все роли или разрешения, необходимые для определения схемы предполагаемой области.

3. Назначение роли AzureОператор управляемого удостоверения учетной записи или группе безопасности. Назначение роли новому управляемому удостоверению, назначенному пользователем.

4. В качестве оператора схемыназначьте схему, которая использует новое управляемое удостоверение, назначенное пользователем.

Дальнейшие действия

• Ознакомьтесь со сведениями о жизненном цикле схем.
• Узнайте, как использовать статические и динамические параметры.
• Научитесь настраивать последовательность схемы.
• Узнайте, как применять блокировку ресурсов схемы.
• Устраняйте проблемы, возникающие во время назначения схемы, с помощью общих инструкций по устранению неполадок.