你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
蓝图部署的阶段
重要
2026 年 7 月 11 日,蓝图(预览版)将弃用。 将现有蓝图定义和分配迁移到模板规格和部署堆栈。 蓝图项目将转换为 ARM JSON 模板或用于定义部署堆栈的 Bicep 文件。 若要了解如何将项目创作为 ARM 资源,请参阅:
在蓝图被部署时,Azure 蓝图服务会执行一系列操作来部署蓝图中定义的资源。 本文详细介绍了每个步骤所涉及的内容。
通过将蓝图分配给订阅或更新现有分配,可以触发蓝图部署。 在部署期间,Azure 蓝图执行以下简要步骤:
- Azure 蓝图被授予所有者权限
- 创建蓝图分配对象
- 可选 - Azure 蓝图创建系统分配的托管标识
- 托管标识部署蓝图项目
- 撤销 Azure 蓝图服务和系统分配的托管标识权限
Azure 蓝图被授予所有者权限
当使用系统分配的托管标识时,Azure 蓝图服务主体被授予对分配的订阅或订阅的所有者权限。 借助被授予的角色,Azure 蓝图可以创建并稍后撤销系统分配的托管标识。 如果使用用户分配的托管标识,那么 Azure 蓝图服务主体不会获得、也不需要对订阅的所有者权限。
如果通过门户完成分配,则会自动授予权限。 但是,如果通过 REST API 完成分配,则需要通过单独的 API 调用来授予权限。 Azure 蓝图 AppId 为 f71766dc-90d9-4b7d-bd9d-4499c4331c3f,但服务主体因租户而异。 使用 Azure Active Directory 图形 API 和 REST 终结点 servicePrincipals 可以获取服务主体。 然后,通过门户、Azure CLI、Azure PowerShell、REST API 或 Azure 资源管理器模板向 Azure 蓝图授予所有者角色。
Azure 蓝图服务并不直接部署资源。
创建蓝图分配对象
用户、组或服务主体将蓝图分配给订阅。 分配对象存在于分配蓝图的订阅级别。 由部署创建的资源不是在部署实体的上下文中完成的。
在创建蓝图分配时,选择的是托管标识类型。 默认为系统分配的托管标识。 可以选择用户分配的托管标识。 当使用用户分配的托管标识时,必须在创建蓝图分配之前定义并授予权限。 所有者和蓝图操作员内置角色都有必要的 blueprintAssignment/write 权限,可以创建使用用户分配的托管标识的分配。
可选 - Azure 蓝图创建系统分配的托管标识
如果在分配过程中选择了系统分配的托管标识,则 Azure 蓝图会创建标识,并向托管标识授予所有者角色。 如果现有分配已升级,则 Azure 蓝图使用之前创建的托管标识。
与蓝图分配相关的托管标识用于部署或重新部署蓝图中定义的资源。 这种设计避免了分配之间无意间的相互干扰。 这种设计还通过从蓝图控制每个已部署资源的安全性来支持资源锁定功能。
托管标识部署蓝图项目
然后,托管标识触发资源管理器按定义的序列顺序部署蓝图内的项目。 可以调整顺序,以确保依赖于其他项目的项目按正确的顺序部署。
部署的访问失败通常是由于向托管标识授予的访问级别所致。 Azure 蓝图服务管理系统分配的托管标识的安全生命周期。 但是,用户负责管理用户分配的托管标识的权限和生命周期。
撤销蓝图服务和系统分配的托管标识权限
在部署完成后,Azure 蓝图从订阅中撤销系统分配的托管标识的权限。 然后,Azure 蓝图服务从订阅中撤销其权限。 撤销权限可以防止 Azure 蓝图成为订阅的永久所有者。