Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Automation, Azure’deki, şirket içindeki kaynaklara karşı ve Amazon Web Hizmetleri (AWS) gibi diğer bulut sağlayıcılarıyla görevleri otomatikleştirmenizi sağlar. Görevlerinizi otomatikleştirmek için runbook'ları veya Azure dışında yönetebileceğiniz iş veya operasyonel süreçleriniz varsa Karma Runbook Çalışanı kullanabilirsiniz. Bu ortamlardan herhangi birinde çalışmak için gerekli en düşük haklara sahip kaynaklara güvenli bir şekilde erişmek için izinler gerekir.
Bu makale, Azure Otomasyonu tarafından desteklenen kimlik doğrulama senaryolarını kapsar ve yönetmeniz gereken ortamı veya ortamları temel alarak kullanmaya başlamayı açıklar.
Otomasyon hesabı
Azure Automation’u ilk kez başlattığınızda, en az bir Automation hesabı oluşturmanız gerekir. Otomasyon hesapları Otomasyon kaynaklarınızı, runbook'larınızı, varlıklarınızı ve yapılandırmalarınızı diğer hesapların kaynaklarından yalıtmanıza olanak tanır. Otomasyon hesaplarını kullanarak kaynakları ayrı mantıksal ortamlara veya temsilci sorumluluklarına ayırabilirsiniz. Örneğin, geliştirme için bir hesap, üretim için başka bir hesap ve şirket içi ortamınız için de başka bir hesap kullanabilirsiniz.
Azure Automation hesabı, Azure aboneliğinizde oluşturduğunuz Microsoft hesabı veya hesaplarından farklıdır. Otomasyon hesabı oluşturmaya giriş için bkz . Otomasyon hesabı oluşturma.
Otomasyon kaynakları
Her Otomasyon hesabının Otomasyon kaynakları tek bir Azure bölgesiyle ilişkilendirilir, ancak hesap Azure aboneliğinizdeki tüm kaynakları yönetebilir. Farklı bölgelerde Otomasyon hesapları oluşturmanın temel nedeni, verilerin ve kaynakların belirli bir bölgeye yalıtılması gereken ilkeleriniz olmasıdır.
Azure Otomasyonu'nda Azure Resource Manager ve PowerShell cmdlet'lerini kullanarak kaynaklara karşı oluşturduğunuz tüm görevlerin, Microsoft Entra kurumsal kimlik bilgileri kullanarak Azure'da oturum açması gerekir.
Yönetilen kimlikler
Microsoft Entra ID'den yönetilen kimlik, runbook'unuzun diğer Microsoft Entra korumalı kaynaklara kolayca erişmesini sağlar. Kimlik, Azure platformu tarafından yönetilir ve sizin herhangi bir gizli bilgi sağlamanızı veya bunları düzenli olarak değiştirmenizi gerektirmez. Microsoft Entra Id'deki yönetilen kimlikler hakkında daha fazla bilgi için bkz . Azure kaynakları için yönetilen kimlikler.
Yönetilen kimlikler, runbook'larınızda kimlik doğrulaması için önerilen yoldur ve Otomasyon hesabınız için varsayılan kimlik doğrulama yöntemidir.
Yönetilen kimlikleri kullanmanın bazı avantajları şunlardır:
Yönetilen kimlik kullanmak, Automation Run As hesabı yerine yönetimi basitleştirir.
Yönetilen kimlikler ek maliyet olmadan kullanılabilir.
Otomasyon hesabınızın yönetilen kimliğini kullanarak kaynaklara sertifika, bağlantı vb. oluşturmadan bir runbook'tan erişebilirsiniz.
Otomasyon hesaplar iki tür yönetilen kimlik kullanarak kimlik doğrulaması yapabilir:
Sistem tarafından atanan bir kimlik uygulamanıza bağlıdır ve uygulamanız silinirse silinir. Bir uygulama sistem tarafından atanan yalnızca bir kimliğe sahip olabilir.
Kullanıcı tarafından atanan kimlik ise uygulamanıza atanabilen tek başına bir Azure kaynağıdır. Bir uygulama için kullanıcı tarafından atanan birden çok kimlik olabilir.
Not
Kullanıcı tarafından atanan kimlikler yalnızca bulut işleri için desteklenir. Farklı yönetilen kimlikler hakkında daha fazla bilgi edinmek için bkz . Kimlik türlerini yönetme.
Yönetilen kimlikleri kullanma hakkında ayrıntılı bilgi için bkz. Azure Otomasyonu için yönetilen kimliği etkinleştirme.
Abonelik izinleri
Microsoft.Authorization/*/Write izinlerine ihtiyacınız var. Bu izin, aşağıdaki Azure yerleşik rollerinden birinin üyeliğiyle alınır:
Klasik abonelik izinleri hakkında daha fazla bilgi edinmek için bkz. Azure klasik abonelik yöneticileri.
Microsoft Entra izinleri
Hizmet sorumlusunu yenileyebilmek için aşağıdaki Microsoft Entra yerleşik rollerinden birinin üyesi olmanız gerekir:
Üyelik, varsayılan davranış olan dizin düzeyinde kiracıdaki TÜM kullanıcılara atanabilir. Her iki role de dizin düzeyinde üyelik izni verebilirsiniz. Daha fazla bilgi için bkz. Kimlerin Microsoft Entra örneğime uygulama ekleme izni vardır?.
Otomasyon hesabı izinleri
Otomasyon hesabını güncelleştirebilmek için aşağıdaki Otomasyon hesabı rollerinden birinin üyesi olmanız gerekir:
Azure Resource Manager ve Klasik dağıtım modelleri hakkında daha fazla bilgi edinmek için bkz. Resource Manager ve klasik dağıtım.
Not
Azure Bulut Çözümü Sağlayıcısı (CSP) abonelikleri yalnızca Azure Resource Manager modelini destekler. Azure dışı Resource Manager hizmetleri bu programda kullanılamaz. CSP aboneliği kullanırken Azure Klasik Farklı Çalıştır hesabı oluşturulmaz, Azure Farklı Çalıştır hesabı oluşturulur. CSP abonelikleri hakkında daha fazla bilgi edinmek için bkz . CSP aboneliklerinde kullanılabilir hizmetler.
Rol tabanlı erişim denetimi
Rol tabanlı erişim denetimi, izin verilen eylemleri bir Microsoft Entra kullanıcı hesabına ve Run As hesabına vermek ve hizmet başlatıcısının kimliğini doğrulamak için Azure Resource Manager ile birlikte kullanılabilir. Otomasyon izinlerinin yönetilmesi için modelinizin geliştirilmesine yardımcı olma hakkında daha fazla bilgi için Azure Otomasyonu’nda rol tabanlı erişim denetimi makalesini okuyun.
Kaynak gruplarında izin ataması için sıkı güvenlik denetimleriniz varsa, Çalıştırma Hesabı üyeliğini kaynak grubundaki Katkıda Bulunan rolüne atamanız gerekir.
Not
Otomasyon işlerini yürütmek için Log Analytics Katkıda Bulunanı rolünü kullanmamanızı öneririz. Bunun yerine, Azure Automation Contributor özel rolünü oluşturun ve onu Otomasyon hesabıyla ilgili eylemler için kullanın.
Hibrit Runbook Çalışanı ile Runbook kimlik doğrulaması
Veri merkezinizdeki bir Karma Runbook Çalışanı üzerinde veya AWS gibi diğer bulut ortamlarındaki bilgi işlem hizmetlerine karşı çalışan runbook'lar, Azure kaynaklarında kimlik doğrulaması yapan runbook'lar için kullanılan yöntemin aynısını kullanamaz. Bunun nedeni, bu kaynakların Azure dışında çalışmasıdır; sonuç olarak da, yerel olarak erişecekleri kaynakların kimliğini doğrulamak için Otomasyon'da tanımlanan kendi güvenlik kimlik bilgileri gerekecektir. Runbook çalışanlarıyla runbook kimlik doğrulaması hakkında daha fazla bilgi için Karma Runbook Çalışanı Üzerinde Runbook'ları Çalıştırma sayfasına bakın.
Azure VM'lerinde Karma Runbook Çalışanları kullanan runbook'lar için, Çalıştırma hesapları yerine yönetilen kimliklerle runbook kimlik doğrulamasını kullanarak Azure kaynaklarınıza kimlik doğrulaması yapabilirsiniz.
Sonraki adımlar
- Azure portalından bir Otomasyon hesabı oluşturmak için bkz Tek başına Azure Otomasyon hesabı oluşturma.
- Hesabınızı şablon kullanarak oluşturmayı tercih ediyorsanız bkz . Azure Resource Manager şablonu kullanarak Otomasyon hesabı oluşturma.
- Amazon Web Services kullanarak kimlik doğrulama hakkında bilgi için bkz. Amazon Web Services ile runbook'ların kimliğini doğrulama.
- Azure kaynakları için yönetilen kimlikler özelliğini destekleyen Azure hizmetlerinin listesi için bkz. Azure kaynakları için yönetilen kimlikleri destekleyen hizmetler.