Översikt över autentisering av Automation-konton
Viktigt!
Azure Automation Kör som-konton, inklusive klassiska Kör som-konton, har dragits tillbaka den 30 september 2023 och ersatts med hanterade identiteter. Du skulle inte längre kunna skapa eller förnya Kör som-konton via Azure-portalen. Mer information finns i Migrera från ett befintligt Kör som-konto till hanterad identitet.
Med Azure Automation kan du automatisera åtgärder mot resurser i Azure, lokalt och med andra molnproviders, till exempel Amazon Web Services (AWS). Du kan använda runbooks för att automatisera dina uppgifter eller en Hybrid Runbook Worker om du har affärs- eller driftsprocesser att hantera utanför Azure. Att arbeta i någon av dessa miljöer kräver behörigheter för att på ett säkert sätt komma åt resurserna med de minimala rättigheter som krävs.
Den här artikeln beskriver autentiseringsscenarier som stöds av Azure Automation och beskriver hur du kommer igång baserat på den miljö eller de miljöer som du behöver hantera.
Automation-konto
När du startar Azure Automation för första gången måste du skapa minst ett Automation-konto. Med Automation-konton kan du isolera dina Automation-resurser, runbooks, tillgångar och konfigurationer från andra kontons resurser. Du kan använda Automation-konton för att separera resurser i separata logiska miljöer eller delegerade ansvarsområden. Du kan exempelvis använda ett konto för utveckling, ett annat för produktion och ett annat för din lokala miljö. Eller så kan du använda ett Automation-konto för att hantera operativsystemuppdateringar på alla dina datorer med Uppdateringshantering.
Ett Azure Automation-konto skiljer sig från ditt eller dina Microsoft-konton som skapats i Azure-prenumerationen. En introduktion till hur du skapar ett Automation-konto finns i Skapa ett Automation-konto.
Automation-resurser
Automation-resurserna för varje Automation-konto är associerade med en enda Azure-region, men kontot kan hantera alla resurser i din Azure-prenumeration. Den främsta anledningen till att skapa Automation-konton i olika regioner är om du har principer som kräver att data och resurser isoleras till en viss region.
Alla uppgifter som du skapar mot resurser med Hjälp av Azure Resource Manager och PowerShell-cmdletar i Azure Automation måste autentisera till Azure med hjälp av autentiseringsbaserad autentiseringsuppgiftsbaserad autentisering i Microsoft Entra-organisationen.
Hanterade identiteter
Med en hanterad identitet från Microsoft Entra ID kan din runbook enkelt komma åt andra Microsoft Entra-skyddade resurser. Identiteten hanteras av Azure-plattformen och du behöver inte etablera eller rotera några hemligheter. Mer information om hanterade identiteter i Microsoft Entra-ID finns i Hanterade identiteter för Azure-resurser.
Hanterade identiteter är det rekommenderade sättet att autentisera i dina runbooks och är standardautentiseringsmetoden för ditt Automation-konto.
Några av fördelarna med att använda hanterade identiteter:
Att använda en hanterad identitet i stället för Automation Kör som-kontot förenklar hanteringen.
Hanterade identiteter kan användas utan extra kostnad.
Du behöver inte ange kör som-anslutningsobjektet i runbook-koden. Du kan komma åt resurser med hjälp av automationskontots hanterade identitet från en runbook utan att skapa certifikat, anslutningar osv.
Ett Automation-konto kan autentisera med två typer av hanterade identiteter:
En systemtilldelad identitet är kopplad till ditt program och tas bort om appen tas bort. En app kan bara ha en systemtilldelad identitet.
En användartilldelad identitet är en fristående Azure-resurs som kan tilldelas till din app. En app kan ha flera användartilldelade identiteter.
Kommentar
Användartilldelade identiteter stöds endast för molnjobb. Mer information om de olika hanterade identiteterna finns i Hantera identitetstyper.
Mer information om hur du använder hanterade identiteter finns i Aktivera hanterad identitet för Azure Automation.
Prenumerationsbehörigheter
Du behöver behörigheten Microsoft.Authorization/*/Write
. Den här behörigheten erhålls genom medlemskap i någon av följande inbyggda Azure-roller:
Mer information om klassiska prenumerationsbehörigheter finns i Klassiska Azure-prenumerationsadministratörer.
Microsoft Entra-behörigheter
För att förnya tjänsthuvudnamnet måste du vara medlem i någon av följande inbyggda roller i Microsoft Entra:
Medlemskap kan tilldelas till ALLA användare i klientorganisationen på katalognivå, vilket är standardbeteendet. Du kan bevilja medlemskap till någon av rollerna på katalognivå. Mer information finns i Vem har behörighet att lägga till program i min Microsoft Entra-instans?.
Behörigheter för Automation-konto
För att uppdatera Automation-kontot måste du vara medlem i någon av följande Automation-kontoroller:
Mer information om Azure Resource Manager och klassiska distributionsmodeller finns i Resource Manager och klassisk distribution.
Kommentar
Azure Dobavljač rešenja u oblaku-prenumerationer (CSP) stöder endast Azure Resource Manager-modellen. Icke-Azure-Resource Manager tjänster är inte tillgängliga i programmet. När du använder en CSP-prenumeration skapas inte det klassiska Kör som-kontot i Azure, men Azure Kör som-kontot skapas. Mer information om CSP-prenumerationer finns i Tillgängliga tjänster i CSP-prenumerationer.
Rollbaserad åtkomstkontroll
Rollbaserad åtkomstkontroll är tillgänglig med Azure Resource Manager för att bevilja tillåtna åtgärder till ett Microsoft Entra-användarkonto och Kör som-konto och autentisera tjänstens huvudnamn. Mer information om hur du utvecklar din modell för att hantera Automation-behörigheter finns i artikeln Rollbaserad åtkomstkontroll i Azure Automation.
Om du har strikta säkerhetskontroller för behörighetstilldelning i resursgrupper måste du tilldela Kör som-kontomedlemskapet till rollen Deltagare i resursgruppen.
Kommentar
Vi rekommenderar att du inte använder rollen Log Analytics-deltagare för att köra Automation-jobb. Skapa i stället den anpassade rollen Azure Automation-deltagare och använd den för åtgärder relaterade till Automation-kontot.
Runbook-autentisering med Hybrid Runbook Worker
Runbooks som körs på en Hybrid Runbook Worker i ditt datacenter eller mot databehandlingstjänster i andra molnmiljöer som AWS, kan inte använda samma metod som vanligtvis används för runbooks som autentiserar till Azure-resurser. Detta beror på att resurserna körs utanför Azure och därför kräver sina egna säkerhetsreferenser i Automation för att autentisera mot resurser som de ska komma åt lokalt. Mer information om runbook-autentisering med runbook-arbetare finns i Köra runbooks på en Hybrid Runbook Worker.
För runbooks som använder Hybrid Runbook Workers på virtuella Azure-datorer kan du använda Runbook-autentisering med hanterade identiteter i stället för Kör som-konton för att autentisera till dina Azure-resurser.
Nästa steg
- Information om hur du skapar ett Automation-konto från Azure-portalen finns i Skapa ett fristående Azure Automation-konto.
- Om du föredrar att skapa ditt konto med hjälp av en mall kan du läsa Skapa ett Automation-konto med hjälp av en Azure Resource Manager-mall.
- Information om autentisering med Amazon Web Services finns i Autentisera runbooks med Amazon Web Services.
- En lista över Azure-tjänster som stöder funktionen Hanterade identiteter för Azure-resurser finns i Tjänster som stöder hanterade identiteter för Azure-resurser.