這很重要
2026 年 7 月 11 日,藍圖 (預覽版) 將被取代。 將現有的藍圖定義和指派移轉至 範本規格 和 部署堆疊。 藍圖成品會轉換成用來定義部署堆疊的 ARM JSON 範本或 Bicep 檔案。 若要瞭解如何將工件撰寫成 ARM 資源,請參閱:
部署藍圖時,Azure 藍圖服務會採取一系列動作來部署藍圖中定義的資源。 本文提供每個步驟所涉及內容的詳細資料。
藍圖部署是透過將藍圖指派給訂用帳戶或 更新現有的指派來觸發。 在部署期間,Azure 藍圖會採取下列高階步驟:
- Azure Blueprints 授與擁有者權限
- 藍圖指派物件已建立
- 選擇性 - Azure Blueprints 會建立 系統指派的 受控識別
- 受控識別會部署藍圖成品
- Azure Blueprints 服務和 系統指派的 受控識別許可權已撤銷
Azure Blueprints 授與擁有者權限
使用系統指派的受控識別時,系統會授與 Azure 藍圖服務主體所指派訂閱的擁有者權限。 已授予的角色可讓 Azure Blueprint 建立及之後撤銷系統指派的受控識別。 如果使用使用者指派的受控識別,Azure 藍圖服務主體不會取得該訂閱的擁有者權限,也不需要此權限。
如果透過入口網站完成指派,則會自動授與權限。 不過,如果指派是透過 REST API 完成,則必須使用個別的 API 呼叫來授與許可權。 Azure 藍圖 AppId 是 f71766dc-90d9-4b7d-bd9d-4499c4331c3f,但服務主體名稱會因租用戶而異。 使用 Azure Active Directory 圖形 API 和 REST 端點 servicePrincipals 來取得服務主體。 然後,透過入口網站、Azure CLI、Azure PowerShell、REST API 或 Azure Resource Manager 範本,授與 Azure Blueprints 擁有者角色。
Azure 藍圖服務不會直接部署資源。
藍圖指派物件已建立
使用者、群組或服務主體會將藍圖指派給某項訂閱。 指派物件存在於藍圖被指派的訂閱層級。 部署所建立的資源不是在部署單位的範疇中完成的。
建立藍圖指派時,會選取 受控識別 的類型。 預設值是 系統指派的 受控識別。 您可以選擇 使用者指派的 受控識別。 使用 使用者指派的 受控識別時,必須先定義並授與許可權,才能建立藍圖指派。
擁有者和Blueprint 操作員內建角色都具有必要的blueprintAssignment/write許可權,可建立一個使用用戶指派受控身份識別的任務。
可選 - Azure Blueprints 會建立系統指派的受控身分識別
在指派期間選取 系統指派的受控識別 時,Azure Blueprints 會建立身分識別,並將受控識別授與 擁有者 角色。 如果 現有的指派被升級,Azure 藍圖會使用先前建立的受控身分識別。
與藍圖指派相關的受控識別可用來部署或重新部署藍圖中定義的資源。 這種設計避免了分配無意中相互干擾。 此設計也支援 資源鎖定 功能,從藍圖控制每個已部署資源的安全性。
受控識別會部署藍圖成品
然後,受控識別會以定義的排序次序觸發藍圖內成品的 Resource Manager 部署。 可以調整順序,以確保相依於其他構件的構件以正確的順序部署。
部署的存取失敗通常歸咎於授與受控識別的存取層級。 Azure 藍圖服務會管理系統指派管理的身分識別的安全性生命週期。 不過,使用者負責管理 使用者指派的 受控識別的許可權和生命週期。
Blueprint 服務和系統指派的受控識別許可權已撤銷
部署完成後,Azure Blueprints 會從訂用帳戶撤銷系統指派的受控識別的許可權。 然後,Azure 藍圖服務會從訂用帳戶撤銷其許可權。 刪除權限可防止 Azure Blueprints 成為訂用帳戶的永久擁有者。