藍圖部署的階段
重要
在 2026 年 7 月 11 日,藍圖 (預覽) 將會淘汰。 將現有的藍圖定義和指派移轉至範本規格和部署堆疊。 藍圖成品會轉換成用來定義部署堆疊的 ARM JSON 範本或 Bicep 檔案。 若要了解如何將成品撰寫為 ARM 資源,請參閱:
部署藍圖時,Azure 藍圖服務會採取一系列動作來部署藍圖中定義的資源。 本文提供每個步驟所牽涉到的詳細資料。
將藍圖指派給訂閱或更新現有的指派,會觸發藍圖的部署作業。 在部署期間,Azure 藍圖會採取下列高階步驟:
- Azure 藍圖授與擁有者權限
- 建立藍圖指派物件
- 選擇性:Azure 藍圖會建立系統指派的受控識別
- 受控識別會部署藍圖成品
- 已撤銷 Azure 藍圖服務和系統指派的受控識別權限
Azure 藍圖授與擁有者權限
使用系統指派的受控識別時,系統會授與 Azure 藍圖服務主體所指派訂閱的擁有者權限。 授與的角色可讓 Azure 藍圖建立系統指派的受控識別,並於稍後撤銷。 如果使用使用者指派的受控識別,Azure 藍圖服務主體不會取得該訂閱的擁有者權限,也不需要此權限。
如果是透過入口網站處理指派,系統會自動授與權限。 不過如果是透過 REST API 處理指派,則必須使用個別的 API 呼叫來授與權限。 Azure 藍圖 AppId 是 f71766dc-90d9-4b7d-bd9d-4499c4331c3f,但服務主體則依租用戶而不同。 請使用 Azure Active Directory 圖形 API 和 REST 端點 servicePrincipals 來取得服務主體。 然後透過入口網站、Azure CLI、Azure PowerShell、REST API 或 Azure Resource Manager 範本授與 Azure 藍圖擁有者角色。
Azure 藍圖服務不會直接部署資源。
建立藍圖指派物件
使用者、群組或服務主體會將藍圖指派給某項訂閱。 指派物件存在於指派藍圖的訂閱層級。 部署所建立的資源不會在部署實體的內容中完成。
建立藍圖指派時,會選取受控識別的類型。 預設值為系統指派的受控識別。 您可以選擇使用者指派的受控識別。 使用使用者指派的受控識別時,必須先定義並授與權限,才能建立藍圖指派。 [擁有者] 和 [藍圖操作員] 內建角色都有建立使用使用者指派的受控識別所需的 blueprintAssignment/write 權限。
選擇性:Azure 藍圖會建立系統指派的受控識別
在指派期間選取系統指派的受控識別時,Azure 藍圖會建立身分識別,並授與受控識別擁有者角色。 如果升級現有的指派,Azure 藍圖會使用先前建立的受控識別。
與藍圖指派相關的受控識別可用來部署或重新部署藍圖中定義的資源。 此設計可避免指派不小心互相干擾。 此設計也支援資源鎖定功能,方法是控制藍圖中每個已部署資源的安全性。
受控識別會部署藍圖成品
然後,受控識別會以定義的排序次序觸發藍圖內成品的 Resource Manager 部署。 您可以調整順序,確保與其他成品相依的成品會依正確順序部署。
部署的存取失敗通常歸咎於授與受控識別的存取層級。 Azure 藍圖服務會管理系統指派受控識別的安全性生命週期。 不過,使用者負責管理使用者指派受控識別的權限和生命週期。
已撤銷藍圖服務和系統指派的受控識別權限
部署完成後,Azure 藍圖會撤銷訂閱的系統指派受控識別權限。 然後 Azure 藍圖服務會撤銷訂閱的權限。 移除權限可防止 Azure 藍圖成為訂閱的永久擁有者。