Поделиться через

Миграция из учетной записи запуска от имени в управляемые удостоверения

  • Статья

Внимание

  • служба автоматизации Azure учетная запись запуска от имени была прекращена 30 сентября 2023 г. и заменена управляемыми удостоверениями. Мы рекомендуем начать перенос модулей Runbook для использования управляемых удостоверений. Дополнительные сведения см. в статье Переход от существующих учетных записей запуска от имени к управляемому удостоверению.
  • Задержка функции оказывает непосредственное влияние на наше бремя поддержки, так как это приведет к сбою обновления агента мобильности.

В этой статье показано, как перенести модули Runbook для использования управляемых удостоверений для Azure Site Recovery. служба автоматизации Azure учетные записи используются клиентами Azure Site Recovery для автоматического обновления агентов защищенных виртуальных машин. Site Recovery создает служба автоматизации Azure учетные записи запуска от имени при включении реплика tion с помощью колонки виртуальной машины IaaS и хранилища служб восстановления.

В Azure управляемые удостоверения устраняют необходимость в управлении учетными данными для разработчиков, предоставляя идентификатор для ресурса Azure в Microsoft Entra ID и используя его для получения маркеров Microsoft Entra.

Необходимые компоненты

Перед переходом из учетной записи запуска от имени в управляемое удостоверение убедитесь, что у вас есть соответствующие роли, чтобы создать удостоверение, назначаемое системой для учетной записи службы автоматизации, и назначить ей роль владельца в соответствующем хранилище служб восстановления.

Примечание.

Вы можете использовать одну и ту же учетную запись автоматизации в нескольких хранилищах служб восстановления, однако учетная запись службы автоматизации и хранилище служб восстановления должны находиться в одном регионе.

Преимущества управляемых удостоверений

Ниже приведены некоторые преимущества использования управляемых удостоверений.

  • Доступ к учетным данным — вам не нужно управлять учетными данными.
  • Упрощенная проверка подлинности. Для проверки подлинности в любом ресурсе, поддерживающем проверку подлинности Microsoft Entra, включая собственные приложения, можно использовать управляемые удостоверения.
  • Экономично. Управляемые удостоверения можно использовать без дополнительных затрат.
  • Двойное шифрование . Управляемое удостоверение также используется для шифрования и расшифровки данных и метаданных с помощью ключа, управляемого клиентом, хранящегося в Azure Key Vault, обеспечивая двойное шифрование.

Примечание.

Управляемые удостоверения для ресурсов Azure — это новое название Управляемого удостоверения службы (MSI).

Миграция с существующей учетной записи запуска от имени в управляемое удостоверение

Настройка управляемых удостоверений

Доступны следующие способы настройки управляемых удостоверений:

  • Портал Azure
  • Azure CLI
  • Шаблон Azure Resource Manager (ARM)

Примечание.

Дополнительные сведения о частоте миграции и поддержке временная шкала для создания учетной записи запуска от имени и продления сертификатов см. в часто задаваемых вопросы.

С портала Azure

Чтобы перенести тип проверки подлинности служба автоматизации Azure учетной записи из запуска от имени в проверку подлинности управляемого удостоверения, выполните следующие действия.

  1. В портал Azure выберите хранилище служб восстановления, для которого требуется перенести модули Runbook.

  2. На домашней странице хранилища служб восстановления сделайте следующее:

    1. На левой панели в разделе "Управление" выберите инфраструктуру Site Recovery. Снимок экрана: страница **Инфраструктура Site Recovery**.

    2. В разделе " Виртуальные машины Azure" выберите параметры обновления расширения. На этой странице описан тип проверки подлинности для учетной записи службы автоматизации, которая используется для управления расширениями Site Recovery.

    3. На этой странице выберите "Миграция ", чтобы перенести тип проверки подлинности для учетных записей службы автоматизации для использования управляемых удостоверений.

      Снимок экрана со страницей

Примечание.

Убедитесь, что управляемое удостоверение, назначаемое системой, отключено для учетной записи службы автоматизации, чтобы появилась кнопка "Миграция". Если учетная запись не перенесена и кнопка "Миграция" не отображается, отключите управляемое удостоверение для учетной записи службы автоматизации и повторите попытку.

  1. После успешной миграции учетной записи службы автоматизации тип проверки подлинности для сведений о связанной учетной записи на странице параметров обновления расширения обновляется.
  2. После завершения операции миграции переключите Site Recovery для управления кнопкой, чтобы снова включить ее.

При успешной миграции из учетной записи запуска от имени в учетную запись управляемых удостоверений следующие изменения отражаются в учетных записях запуска от имени службы автоматизации:

  • Управляемое удостоверение, назначаемое системой, включено для учетной записи (если она еще не включена).
  • Разрешение роли участника назначается подписке хранилища служб восстановления.
  • Скрипт, обновляющий агент мобильности для использования проверки подлинности на основе управляемого удостоверения, обновляется.

Связывание существующей учетной записи службы автоматизации управляемых удостоверений с хранилищем служб восстановления. Выполните следующие действия:

Включение управляемого удостоверения для хранилища

  1. Перейдите к выбранной учетной записи службы автоматизации. В разделе Параметры учетной записи выберите Удостоверение.

    На снимке экрана показана страница параметров удостоверения.

  2. В разделе "Назначаемая система" измените состояние на "Вкл." и нажмите кнопку "Сохранить".

    Будет создан идентификатор объекта. Хранилище теперь зарегистрировано в Azure Active Directory. Снимок экрана: страница параметров удостоверений системы.

  3. Вернитесь в хранилище служб восстановления. На левой панели выберите параметр управления доступом (IAM). Снимок экрана: страница параметров IAM.

  4. Нажмите кнопку Добавить участника назначения ролей, чтобы открыть страницу "Добавить>назначение> ролей".

    Примечание.

    После установки учетной записи службы автоматизации можно изменить роль учетной записи с участника на участника Site Recovery.

  5. На странице "Добавление назначения ролей" убедитесь, что выберите управляемое удостоверение.

  6. Выберите участников. В области "Выбор управляемых удостоверений" сделайте следующее:

    1. В поле Select введите имя учетной записи службы автоматизации управляемых удостоверений.
    2. В поле "Управляемое удостоверение" выберите все назначаемые системой управляемые удостоверения.
    3. Выберите параметр "Выбрать". Снимок экрана: страница выбора параметров управляемого удостоверения.

  7. Выберите Проверить + назначить.

  8. Перейдите к параметрам обновления расширения в хранилище служб восстановления, переключите Site Recovery, чтобы снова включить его.

Следующие шаги

См. также: