這很重要
2026 年 7 月 11 日,藍圖 (預覽版) 將被取代。 將現有的藍圖定義和指派移轉至 範本規格 和 部署堆疊。 藍圖成品會轉換成用來定義部署堆疊的 ARM JSON 範本或 Bicep 檔案。 若要瞭解如何將工件撰寫成 ARM 資源,請參閱:
藍圖定義和藍圖指派的管理可以指派給不同的團隊。 架構師或治理團隊通常負責藍圖定義的生命週期管理,而營運團隊則負責管理這些集中控制藍圖定義的指派。
Blueprint Operator內建角色是專為在這類案例中使用而設計。 此角色可讓作業類型小組管理組織藍圖定義的指派,但無法修改這些定義。 這樣做需要在 Azure 環境中進行一些設定,而本文說明必要的步驟。
授予藍圖操作員權限
第一個步驟是將 Blueprint 操作員 角色授與要指派藍圖的帳戶或安全性群組 (建議)。 此動作應該在管理群組階層的最高層級完成,其中包含作業小組應該具有藍圖指派存取權的所有管理群組和訂用帳戶。 建議在授予這些權限時遵循最低權限原則。
(推薦) 建立安全性群組並新增成員
將藍圖操作員的 Azure 角色指派給帳戶或安全性群組
使用者指派的受控識別
藍圖定義可以使用系統指派或使用者指派的受管識別。 不過,使用 藍圖操作員 角色時,必須將藍圖定義設定為使用使用者指派的受控識別。 此外,被授予 Blueprint Operator 角色的帳戶或安全性群組,還必須在使用者指派的受控識別上被授予 Managed Identity Operator 角色。 如果沒有此權限,藍圖指派會因為缺乏權限而失敗。
建立使用者指派的受控識別 ,以供指派的藍圖使用。
將預定範圍的藍圖定義所需的任何角色或權限,授與使用者指派的受控識別。
將受控識別操作員的 Azure 角色指派給帳戶或安全性群組。 將角色指派範圍設定為新的使用者指派受控識別。
以藍圖操作員身分指派藍圖,該藍圖使用新的使用者指派受控識別。