Mevcut Farklı Çalıştır hesabından Yönetilen kimliklere geçiş

Önemli

Azure Otomasyonu Klasik Farklı Çalıştır hesapları da dahil olmak üzere Farklı çalıştır hesapları 30 Eylül 2023'te kullanımdan kaldırıldı ve yerine Yönetilen Kimlikler kullanıldı. Artık Azure portalı üzerinden Farklı çalıştır hesapları oluşturamaz veya yenileyemezsiniz.

Geçiş temposu ve Farklı Çalıştır hesabı oluşturma ve sertifika yenileme için destek zaman çizelgesi hakkında daha fazla bilgi için sık sorulan sorulara bakın.

Azure Otomasyonu'nda Farklı Çalıştır hesapları, Azure Resource Manager veya klasik dağıtım modeli aracılığıyla dağıtılan kaynakları yönetmek için kimlik doğrulaması sağlar. Bir Farklı Çalıştır hesabı oluşturulduğunda, bir Microsoft Entra uygulaması kaydedilir ve otomatik olarak imzalanan bir sertifika oluşturulur. Sertifika bir ay geçerlidir. Sertifikanın süresi dolmadan önce her ay yenilenmesi Otomasyon hesabının çalışmasını sağlar ancak ek yük ekler.

Artık Otomasyon hesaplarını, bir Otomasyon hesabı oluşturduğunuzda varsayılan seçenek olan yönetilen kimliği kullanmak üzere yapılandırabilirsiniz. Bu özellik sayesinde Otomasyon hesabı, kimlik bilgilerini değiştirmek zorunda kalmadan Azure kaynaklarında kimlik doğrulaması yapabilir. Yönetilen kimlik, sertifikayı yenileme veya hizmet sorumlusunu yönetme yükünü ortadan kaldırır.

Yönetilen kimlik sistem veya kullanıcı atanabilir. Yeni bir Otomasyon hesabı oluşturulduğunda, sistem tarafından atanan yönetilen kimlik etkinleştirilir.

Ön koşullar

Farklı Çalıştır hesabından veya Klasik Farklı Çalıştır hesabından yönetilen kimliğe geçirmeden önce:

  1. Sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliği oluşturun ya da her iki türü de oluşturun. Aralarındaki farklar hakkında daha fazla bilgi edinmek için bkz. Yönetilen kimlik türleri.

    Dekont

    • Kullanıcı tarafından atanan kimlikler yalnızca bulut işleri için desteklenir. Otomasyon hesabının kullanıcı tarafından yönetilen kimliğini karma runbook çalışanı üzerinde kullanmak mümkün değildir. Karma işleri kullanmak için sistem tarafından atanan kimlikler oluşturmanız gerekir.
    • Karma runbook çalışan betiklerinde yönetilen kimlikleri kullanmanın iki yolu vardır: Otomasyon hesabı için sistem tarafından atanan yönetilen kimlik veya karma runbook çalışanı olarak çalışan bir Azure VM için sanal makine (VM) yönetilen kimliği.
    • VM'nin kullanıcı tarafından atanan yönetilen kimliği ve VM'nin sistem tarafından atanan yönetilen kimliği, Otomasyon hesabının yönetilen kimliğiyle yapılandırılmış bir Otomasyon hesabında çalışmaz. Otomasyon hesabının yönetilen kimliğini etkinleştirdiğinizde, VM yönetilen kimliğini değil, yalnızca Otomasyon hesabının sistem tarafından atanan yönetilen kimliğini kullanabilirsiniz. Daha fazla bilgi için bkz . Yönetilen kimliklerle runbook kimlik doğrulamasını kullanma.
  2. Farklı Çalıştır hesabıyla eşleşen Azure kaynaklarına erişmek için yönetilen kimliğe aynı rolü atayın. Otomasyon hesabında Sistem tarafından atanan kimliği etkinleştirmek ve Otomasyon hesabının Sistem Tarafından Atanan kimliğine Azure Otomasyonu Farklı çalıştır hesabında bulunan izin kümesini atamak için bu betiği kullanın.

    Örneğin, Otomasyon hesabının yalnızca bir Azure VM'yi başlatmak veya durdurmak için gerekli olması durumunda, Farklı Çalıştır hesabına atanan izinlerin yalnızca VM'yi başlatmak veya durdurmak için olması gerekir. Benzer şekilde, runbook Azure Blob Depolama'dan okuyorsa salt okunur izinler atayın. Daha fazla bilgi için, bkz. Azure Otomasyonu güvenlik yönergeleri.

  3. Klasik Farklı Çalıştır hesaplarını kullanıyorsanız, klasik dağıtım modeli aracılığıyla dağıtılan kaynakları Azure Resource Manager'a geçirdiğinizden emin olun.

  4. Hangi Otomasyon hesaplarının Farklı Çalıştır hesabı kullandığını öğrenmek için bu betiği kullanın. Azure Otomasyonu hesaplarınız farklı çalıştır hesabı içeriyorsa, varsayılan olarak buna yerleşik katkıda bulunan rolü atanır. Betiği kullanarak Azure Otomasyonu Farklı Çalıştır hesaplarını denetleyebilir ve bunların rol atamasının varsayılan hesap olup olmadığını veya farklı bir rol tanımına değiştirilip değiştirilmediğini belirleyebilirsiniz.

  5. Otomasyon hesabınızdaki tüm runbook'ların Farklı Çalıştır hesabını kullanıp kullanmadiğini öğrenmek için bu betiği kullanın.

Otomasyon Farklı Çalıştır hesabından yönetilen kimliğe geçiş

Otomasyon Farklı Çalıştır hesabından veya Klasik Farklı Çalıştır hesabından runbook kimlik doğrulamanızın yönetilen kimliğine geçmek için şu adımları izleyin:

  1. Yönetilen kimlik kullanmak için runbook kodunu değiştirin.

    Üretim runbook'unuzun bir kopyasını oluşturarak runbook'un beklendiği gibi çalışıp çalışmadığını doğrulamak için yönetilen kimliği test etmenizi öneririz. Yönetilen kimliği kullanarak kimlik doğrulaması yapmak için test runbook kodunuzu güncelleştirin. Bu yöntem, üretim runbook'unuzda geçersiz kılmamanızı AzureRunAsConnection ve mevcut Otomasyon örneğini kesmenizi sağlar. Runbook kodunun yönetilen kimlik aracılığıyla beklendiği gibi çalıştığından emin olduktan sonra, üretim runbook'unuzu yönetilen kimliği kullanacak şekilde güncelleştirin.

    Yönetilen kimlik desteği için Connect-AzAccount cmdlet'ini kullanın. Bu cmdlet hakkında daha fazla bilgi edinmek için PowerShell başvurusundaki Connect-AzAccount bölümüne bakın.

    • Modülleri kullanıyorsanız Az Azure PowerShell modüllerini güncelleştirme makalesindeki adımları izleyerek en son sürüme güncelleştirin.
    • AzureRM modüllerini kullanıyorsanız AzureRM.Profile öğesini en son sürüme güncelleştirin ve Add-AzureRMAccount cmdlet'ini Connect-AzureRMAccount –Identity kullanarak değiştirin.

    Yönetilen kimlikleri kullanabilmeniz için runbook kodunda yapılması gereken değişiklikleri anlamak üzere örnek betikleri kullanın.

  2. Yönetilen kimlikleri kullanarak runbook'un başarıyla çalıştığından emin olduğunuzda, bu hesabı kullanan başka bir runbook yoksa Farklı Çalıştır hesabını güvenle silebilirsiniz.

Örnek betikler

Aşağıdaki runbook betikleri örnekleri, Farklı Çalıştır hesabını (hizmet sorumlusu) ve yönetilen kimliği kullanarak Resource Manager kaynaklarını getirir. Runbook kodunun kaynağında kimlik doğrulaması yaptığı runbook'un başındaki farkı fark edebilirsiniz.

Dekont

Bu Otomasyon hesabının sistem kimliği için uygun RBAC izinlerini etkinleştirin. Aksi takdirde runbook başarısız olabilir.

try
{
    "Logging in to Azure..."
    Connect-AzAccount -Identity
}
catch {
    Write-Error -Message $_.Exception
    throw $_.Exception
}

#Get all Resource Manager resources from all resource groups
$ResourceGroups = Get-AzResourceGroup

foreach ($ResourceGroup in $ResourceGroups)
{    
    Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName)
    $Resources = Get-AzResource -ResourceGroupName $ResourceGroup.ResourceGroupName
    foreach ($Resource in $Resources)
    {
        Write-Output ($Resource.Name + " of type " +  $Resource.ResourceType)
    }
    Write-Output ("")
}

Kullanıcı tarafından atanan kimliğin istemci kimliğini görüntüleme

  1. Otomasyon hesabınızda, Hesap Ayarlar altında Kimlik'i seçin.

  2. Kullanıcı tarafından atanan sekmesinde kullanıcı tarafından atanan kimlik'i seçin.

    Screenshot that shows the navigation path to view client ID.

  3. İstemci Kimliğini görüntülemek için Genel Bakış>Temel Bilgileri'ne gidin.

    Screenshot that shows how to view a client ID.

Grafik temelli runbook’lar

Grafik runbook'larda Farklı Çalıştır hesabının kullanılıp kullanılmadiğini denetleme

  1. Runbook içindeki etkinliklerin her birini denetlediğinizde, gibi Add-AzRmAccount/Connect-AzRmAccount/Add-AzAccount/Connect-AzAccountherhangi bir oturum açma cmdlet'i veya diğer ad çağırdığında Farklı Çalıştır hesabını kullanıp kullanmadiğini denetleyin.

    Screenshot that illustrates checking if a graphical runbook uses a Run As account.

  2. Cmdlet'in kullandığı parametreleri inceleyin.

    Screenshot that shows examining the parameters used by a cmdlet.

    Cmdlet, Farklı Çalıştır hesabıyla kullanmak için olarak ayarlanan parametresini ServicePrinicipalCertificateApplicationIdkullanır. CertificateThumbprint ' den RunAsAccountConnectionolacaktır.

    Screenshot that shows parameter sets.

Yönetilen kimlik kullanmak için grafik runbook'u düzenleme

Grafik runbook'un beklendiği gibi çalıştığını doğrulamak için yönetilen kimliği test etmeniz gerekir. Yönetilen kimliği kullanmak için üretim runbook'unuzun bir kopyasını oluşturun ve ardından yönetilen kimliği kullanarak kimlik doğrulaması yapmak için test grafik runbook kodunuzu güncelleştirin. Cmdlet'ini ekleyerek bu işlevi grafik runbook'a Connect-AzAccount ekleyebilirsiniz.

Aşağıdaki adımlar, Farklı Çalıştır hesabı kullanan bir grafik runbook'un yönetilen kimlikleri nasıl kullanabileceğini gösteren bir örnek içerir:

  1. Azure Portal oturum açın.

  2. Otomasyon hesabını açın ve İşlem Otomasyonu Runbook'ları'nı> seçin.

  3. Bir runbook seçin. Örneğin, listeden Azure V2 VM'lerini başlat runbook'unu seçin ve ardından Düzenle'yi seçin veya Galeriye Gözat'a gidip Azure V2 VM'lerini başlat'ı seçin.

    Screenshot of editing a graphical runbook.

  4. kullanan AzureRunAsConnection Farklı Çalıştır bağlantısını ve dahili olarak PowerShell Get-AutomationConnection cmdlet'ini kullanan bağlantı varlığını cmdlet'iyle Connect-AzAccount değiştirin.

  5. ve Connect to Azure etkinliklerini silmek için Sil'i Get Run As Connection seçin.

    Screenshot to connect to the Azure activities.

  6. Sol paneldeki RUNBOOK CONTROL altında Kod'u ve ardından Tuvale ekle'yi seçin.

    Screenshot to select code and add it to the canvas.

  7. Kod etkinliğini düzenleyin, uygun etiket adlarını atayın ve Etkinlik mantığı yaz'ı seçin.

    Screenshot to edit code activity.

  8. Kod Düzenleyicisi sayfasında aşağıdaki PowerShell kodunu girin ve Tamam'ı seçin.

    try 
    { 
       Write-Output ("Logging in to Azure...") 
       Connect-AzAccount -Identity 
    } 
    catch { 
       Write-Error -Message $_.Exception 
       throw $_.Exception 
    } 
    
  9. Yeni etkinliği daha önce Bağlan tarafından Azure'a bağlanan etkinliklere Bağlan ve runbook'u kaydedin.

    Screenshot to connect new activity to activities.

Örneğin, runbook galerisindeki Runbook Start Azure V2 VM'lerinde ve Connect to Azure etkinliklerini yukarıda açıklandığı gibi cmdlet kullanan Connect-AzAccount kod etkinliğiyle değiştirmeniz Get Run As Connection gerekir. Daha fazla bilgi için Otomasyon hesabıyla oluşturulan azureAutomationTutorialWithIdentityGraphical örnek runbook adına bakın.

Dekont

AzureRM PowerShell modülleri 29 Şubat 2024'te kullanımdan kaldırılıyor. Grafik runbook'larda AzureRM PowerShell modülleri kullanıyorsanız, bunları Az PowerShell modüllerini kullanacak şekilde yükseltmeniz gerekir. Daha fazla bilgi edinin.

Sonraki adımlar