Mevcut Farklı Çalıştır hesabından Yönetilen Kimliklere geçiş
Önemli
Azure Otomasyonu Klasik Farklı Çalıştır hesapları da dahil olmak üzere Farklı çalıştır hesapları 30 Eylül 2023'te kullanımdan kaldırıldı ve yerine Yönetilen Kimlikler kullanıldı. Artık Azure portalı üzerinden Farklı çalıştır hesapları oluşturamaz veya yenileyemezsiniz.
Geçiş temposu ve Farklı Çalıştır hesabı oluşturma ve sertifika yenileme için destek zaman çizelgesi hakkında daha fazla bilgi için sık sorulan sorulara bakın.
Azure Otomasyonu'nda Farklı Çalıştır hesapları, Azure Resource Manager veya klasik dağıtım modeli aracılığıyla dağıtılan kaynakları yönetmek için kimlik doğrulaması sağlar. Bir Farklı Çalıştır hesabı oluşturulduğunda, bir Microsoft Entra uygulaması kaydedilir ve otomatik olarak imzalanan bir sertifika oluşturulur. Bu sertifika bir ay süreyle geçerlidir. Sertifikanın süresi dolmadan önce her ay yenilenmesi Otomasyon hesabının çalışmasını sağlar ancak ek yük ekler.
Artık Otomasyon hesaplarını, bir Otomasyon hesabı oluşturduğunuzda varsayılan seçenek olan yönetilen kimliği kullanmak üzere yapılandırabilirsiniz. Bu özellik sayesinde Otomasyon hesabı, kimlik bilgilerini değiştirmek zorunda kalmadan Azure kaynaklarında kimlik doğrulaması yapabilir. Yönetilen kimlik, sertifikayı yenileme veya hizmet sorumlusunu yönetme yükünü ortadan kaldırır.
Yönetilen kimlik sistem veya kullanıcı atanabilir. Yeni bir Otomasyon hesabı oluşturulduğunda, sistem tarafından atanan yönetilen kimlik etkinleştirilir.
Önkoşullar
Farklı Çalıştır hesabından veya Klasik Farklı Çalıştır hesabından yönetilen kimliğe geçirmeden önce:
Sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliği oluşturun ya da her iki türü de oluşturun. Aralarındaki farklar hakkında daha fazla bilgi edinmek için bkz. Yönetilen kimlik türleri.
Not
- Kullanıcı tarafından atanan kimlikler yalnızca bulut işleri için desteklenir. Otomasyon hesabının kullanıcı tarafından yönetilen kimliği, karma runbook çalışanı üzerinde kullanılamaz. Karma işleri kullanmak için, sistem tarafından atanan kimlikler oluşturmanız gerekir.
- Karma runbook çalışan betiklerinde yönetilen kimlikleri kullanmanın iki yolu vardır: Otomasyon hesabı için sistem tarafından atanan yönetilen kimlik veya karma runbook çalışanı olarak çalışan bir Azure VM için sanal makine (VM) yönetilen kimliği.
- VM'nin kullanıcı tarafından atanan yönetilen kimliği ve VM'nin sistem tarafından atanan yönetilen kimliği, Otomasyon hesabının yönetilen kimliğiyle yapılandırılmış bir Otomasyon hesabında çalışmaz. Otomasyon hesabının yönetilen kimliğini etkinleştirdiğinizde VM yönetilen kimliğini değil, yalnızca Otomasyon hesabının sistem tarafından atanan yönetilen kimliğini kullanabilirsiniz. Daha fazla bilgi için bkz . Yönetilen kimliklerle runbook kimlik doğrulamasını kullanma.
Farklı Çalıştır hesabıyla eşleşen Azure kaynaklarına erişmek için yönetilen kimliğe aynı rolü atayın. Otomasyon hesabında Sistem tarafından atanan kimliği etkinleştirmek ve Otomasyon hesabının Sistem Tarafından Atanan kimliğine Azure Otomasyonu Farklı çalıştır hesabında bulunan izin kümesini atamak için bu betiği kullanın.
Örneğin, Otomasyon hesabının yalnızca bir Azure VM'yi başlatmak veya durdurmak için gerekli olması durumunda, Farklı Çalıştır hesabına atanan izinlerin yalnızca VM'yi başlatmak veya durdurmak için olması gerekir. Benzer şekilde, runbook Azure Blob Depolama'dan okuyorsa salt okunur izinler atayın. Daha fazla bilgi için, bkz. Azure Otomasyonu güvenlik yönergeleri.
Klasik Farklı Çalıştır hesaplarını kullanıyorsanız, klasik dağıtım modeli aracılığıyla dağıtılan kaynakları Azure Resource Manager'a geçirdiğinizden emin olun.
Hangi Otomasyon hesaplarının Farklı Çalıştır hesabı kullandığını öğrenmek için bu betiği kullanın. Azure Otomasyonu hesaplarınız farklı çalıştır hesabı içeriyorsa, varsayılan olarak buna yerleşik katkıda bulunan rolü atanır. Betiği kullanarak Azure Otomasyonu Farklı Çalıştır hesaplarını denetleyebilir ve bunların rol atamasının varsayılan hesap olup olmadığını veya farklı bir rol tanımıyla değiştirilip değiştirilmediğini belirleyebilirsiniz.
Otomasyon hesabınızdaki tüm runbook'ların Farklı Çalıştır hesabını kullanıp kullanmadiğini öğrenmek için bu betiği kullanın.
Otomasyon Farklı Çalıştır hesabından yönetilen kimliğe geçiş
Otomasyon Farklı Çalıştır hesabından veya Klasik Farklı Çalıştır hesabından runbook kimlik doğrulamanızın yönetilen kimliğine geçmek için şu adımları izleyin:
Yönetilen kimlik kullanmak için runbook kodunu değiştirin.
Üretim runbook'unuzun bir kopyasını oluşturarak runbook'un beklendiği gibi çalışıp çalışmadığını doğrulamak için yönetilen kimliği test etmenizi öneririz. Yönetilen kimliği kullanarak kimlik doğrulaması yapmak için test runbook kodunuzu güncelleştirin. Bu yöntem, üretim runbook'unuzda geçersiz kılmamanızı
AzureRunAsConnection
ve mevcut Otomasyon örneğini kesmenizi sağlar. Runbook kodunun yönetilen kimlik aracılığıyla beklendiği gibi çalıştığından emin olduktan sonra, üretim runbook'unuzu yönetilen kimliği kullanacak şekilde güncelleştirin.Yönetilen kimlik desteği için
Connect-AzAccount
cmdlet'ini kullanın. Bu cmdlet hakkında daha fazla bilgi edinmek için PowerShell başvurusundaki Connect-AzAccount bölümüne bakın.- Modülleri kullanıyorsanız
Az
Azure PowerShell modüllerini güncelleştirme makalesindeki adımları izleyerek en son sürüme güncelleştirin. - AzureRM modüllerini kullanıyorsanız
AzureRM.Profile
öğesini en son sürüme güncelleştirin veAdd-AzureRMAccount
cmdlet'iniConnect-AzureRMAccount –Identity
kullanarak değiştirin.
Yönetilen kimlikleri kullanabilmeniz için runbook kodunda yapılması gereken değişiklikleri anlamak üzere örnek betikleri kullanın.
- Modülleri kullanıyorsanız
Yönetilen kimlikleri kullanarak runbook'un başarıyla çalıştığından emin olduğunuzda, bu hesabı kullanan başka bir runbook yoksa Farklı Çalıştır hesabını güvenle silebilirsiniz.
Örnek betikler
Aşağıdaki runbook betikleri örnekleri, Farklı Çalıştır hesabını (hizmet sorumlusu) ve yönetilen kimliği kullanarak Resource Manager kaynaklarını getirir. Runbook kodunun kaynağında kimlik doğrulaması yaptığı runbook'un başındaki farkı fark edebilirsiniz.
- Sistem tarafından atanan yönetilen kimlik
- Kullanıcı tarafından atanan yönetilen kimlik
- Farklı Çalıştır hesabı
Not
Bu Otomasyon hesabının sistem kimliği için uygun RBAC izinlerini etkinleştirin. Aksi takdirde runbook başarısız olabilir.
try
{
"Logging in to Azure..."
Connect-AzAccount -Identity
}
catch {
Write-Error -Message $_.Exception
throw $_.Exception
}
#Get all Resource Manager resources from all resource groups
$ResourceGroups = Get-AzResourceGroup
foreach ($ResourceGroup in $ResourceGroups)
{
Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName)
$Resources = Get-AzResource -ResourceGroupName $ResourceGroup.ResourceGroupName
foreach ($Resource in $Resources)
{
Write-Output ($Resource.Name + " of type " + $Resource.ResourceType)
}
Write-Output ("")
}
Kullanıcı tarafından atanan kimliğin istemci kimliğini görüntüleme
Otomasyon hesabınızda, Hesap Ayarları'nın altında Kimlik'i seçin.
Kullanıcı tarafından atanan sekmesinde kullanıcı tarafından atanan kimlik'i seçin.
İstemci Kimliğini görüntülemek için Genel Bakış>Temel Bilgileri'ne gidin.
Grafik temelli runbook’lar
Grafik runbook'larda Farklı Çalıştır hesabının kullanılıp kullanılmadiğini denetleme
Runbook içindeki etkinliklerin her birini denetlediğinizde, gibi
Add-AzRmAccount/Connect-AzRmAccount/Add-AzAccount/Connect-AzAccount
herhangi bir oturum açma cmdlet'i veya diğer ad çağırdığında Farklı Çalıştır hesabını kullanıp kullanmadiğini denetleyin.Cmdlet'in kullandığı parametreleri inceleyin.
Cmdlet, Farklı Çalıştır hesabıyla kullanmak için olarak ayarlanan parametresini
ServicePrinicipalCertificate
ApplicationId
kullanır.CertificateThumbprint
' denRunAsAccountConnection
olacaktır.
Yönetilen kimlik kullanmak için grafik runbook'u düzenleme
Grafik runbook'un beklendiği gibi çalıştığını doğrulamak için yönetilen kimliği test etmeniz gerekir. Yönetilen kimliği kullanmak için üretim runbook'unuzun bir kopyasını oluşturun ve ardından yönetilen kimliği kullanarak kimlik doğrulaması yapmak için test grafik runbook kodunuzu güncelleştirin. Cmdlet'ini ekleyerek bu işlevi grafik runbook'a Connect-AzAccount
ekleyebilirsiniz.
Aşağıdaki adımlar, Farklı Çalıştır hesabı kullanan bir grafik runbook'un yönetilen kimlikleri nasıl kullanabileceğini gösteren bir örnek içerir:
Azure Portal’ında oturum açın.
Otomasyon hesabını açın ve İşlem Otomasyonu Runbook'ları'nı> seçin.
Bir runbook seçin. Örneğin, listeden Azure V2 VM'lerini başlat runbook'unu seçin ve ardından Düzenle'yi seçin veya Galeriye Gözat'a gidip Azure V2 VM'lerini başlat'ı seçin.
kullanan
AzureRunAsConnection
Farklı Çalıştır bağlantısını ve dahili olarak PowerShellGet-AutomationConnection
cmdlet'ini kullanan bağlantı varlığını cmdlet'iyleConnect-AzAccount
değiştirin.ve
Connect to Azure
etkinliklerini silmek için Sil'iGet Run As Connection
seçin.Sol paneldeki RUNBOOK CONTROL altında Kod'u ve ardından Tuvale ekle'yi seçin.
Kod etkinliğini düzenleyin, uygun etiket adlarını atayın ve Etkinlik mantığı yaz'ı seçin.
Kod Düzenleyicisi sayfasında aşağıdaki PowerShell kodunu girin ve Tamam'ı seçin.
try { Write-Output ("Logging in to Azure...") Connect-AzAccount -Identity } catch { Write-Error -Message $_.Exception throw $_.Exception }
Yeni etkinliği daha önce Azure'a Bağlan tarafından bağlanan etkinliklere bağlayın ve runbook'u kaydedin.
Örneğin, runbook galerisindeki Runbook Start Azure V2 VM'lerinde ve Connect to Azure
etkinliklerini yukarıda açıklandığı gibi cmdlet kullanan Connect-AzAccount
kod etkinliğiyle değiştirmeniz Get Run As Connection
gerekir.
Daha fazla bilgi için Otomasyon hesabıyla oluşturulan azureAutomationTutorialWithIdentityGraphical örnek runbook adına bakın.
Not
AzureRM PowerShell modülleri 29 Şubat 2024'te kullanımdan kaldırılıyor. Grafik runbook'larda AzureRM PowerShell modülleri kullanıyorsanız, bunları Az PowerShell modüllerini kullanacak şekilde yükseltmeniz gerekir. Daha fazla bilgi edinin.
Sonraki adımlar
Yönetilen kimliklere geçiş için sık sorulan soruları gözden geçirin
Runbook'larınız başarıyla tamamlanmamışsa yönetilen kimlik sorunlarını giderme Azure Otomasyonu gözden geçirin.
Sistem tarafından atanan yönetilen kimlikler hakkında daha fazla bilgi edinmek için bkz. Azure Otomasyonu hesabı için sistem tarafından atanan yönetilen kimlik kullanma.
Kullanıcı tarafından atanan yönetilen kimlikler hakkında daha fazla bilgi edinmek için bkz. Azure Otomasyonu hesabı için kullanıcı tarafından atanan yönetilen kimlik kullanma.
Azure Otomasyonu hesap güvenliği hakkında bilgi için bkz. Azure Otomasyonu hesap kimlik doğrulamasına genel bakış.