從執行身分帳戶移轉到受控識別
重要
- Azure 自動化執行身分帳戶將於 2023 年 9 月 30 日淘汰,並取代為受控識別。 在該日期之前,您將必須開始移轉 Runbook,以使用受控識別。 如需詳細資訊,請參閱 從現有的執行身分帳戶移轉至受控識別。
- 延遲功能會對我們的支援負擔造成直接影響,因為這會導致行動代理程式的升級失敗。
本文說明如何移轉 Runbook,以使用適用於 Azure Site Recovery 的受控識別。 Azure Site Recovery 客戶會使用 Azure 自動化帳戶來自動更新受保護虛擬機器的代理程式。 當您透過 IaaS VM 刀鋒視窗和復原服務保存庫啟用複寫時,Site Recovery 會建立 Azure 自動化執行身分帳戶。
在 Azure 上,受控識別可讓開發人員不需要管理認證,方法是在 Microsoft Entra ID 中提供 Azure 資源的身分識別,並將其用來取得 Microsoft Entra ID 權杖。
必要條件
從執行身分帳戶移轉至受控識別之前,請確定您有適當的角色,可為自動化帳戶建立系統指派的身分識別,並在對應的復原服務保存庫中指派 [擁有者] 角色。
受控識別的優點
以下為使用受控識別的一些優點:
- 認證存取 - 您不需要管理認證。
- 簡化驗證 - 您可以使用受控識別,對支援 Microsoft Entra 驗證的任何資源 (包括您自己的應用程式) 進行驗證。
- 符合成本效益 - 使用受控識別不需額外費用。
- 雙重加密 - 受控識別也可用來透過儲存在 Azure Key Vault 中的客戶自控金鑰來加密/解密資料和中繼資料,以提供雙重加密。
注意
先前稱為「受控服務識別」(MSI) 的服務,其新名稱為「Azure 資源適用受控識別」。
從現有的執行身分帳戶移轉至受控識別
設定受控識別
您可以透過下列方式來設定您的受控識別:
- Azure 入口網站
- Azure CLI
- Azure Resource Manager (ARM) 範本
注意
如需有關移轉步調和支援時間表 (用於建立執行身分帳戶和更新憑證) 的詳細資訊,請參閱常見問題集。
從 Azure 入口網站
若要將 Azure 自動化帳戶驗證類型從執行身分移轉至受控識別驗證,請遵循下列步驟:
在您的復原服務保存庫首頁上,執行下列動作:
在左窗格的 [管理] 下,選取 [Site Recovery 基礎結構]。
![[Site Recovery 基礎結構] 頁面的螢幕快照。](media/how-to-migrate-from-run-as-to-managed-identities/manage-section.png)
在 [針對 Azure 虛擬機器] 下,選取 [延伸模組更新設定]。 此頁會詳細說明用來管理 Site Recovery 延伸模組之自動化帳戶的驗證類型。
在此頁面上,選取 [移轉],移轉自動化帳戶的驗證類型以使用受控識別。
![[建立復原服務保存庫] 頁面的螢幕快照。](media/how-to-migrate-from-run-as-to-managed-identities/extension-update-settings.png)
注意
確定自動化帳戶的 [系統指派受控識別] 已關閉,以便顯示 [移轉] 按鈕。 如果帳戶未移轉,且 [移轉] 按鈕未出現,請關閉自動化帳戶的受控識別,然後再試一次。
- 成功移轉自動化帳戶之後,[延伸模組更新設定] 頁面上連結帳戶詳細資料的驗證類型也會更新。
- [移轉] 作業完成後,請切換 [要管理的 Site Recovery] 按鈕,使其再次 [開啟]。
當您成功從執行身分移轉至受控識別帳戶時,自動化執行身分帳戶會反映下列變更:
- 系統會啟用帳戶的系統指派受控識別 (如果尚未啟用)。
- 系統會將 [參與者] 角色權限指派給復原服務保存庫的訂用帳戶。
- 更新行動代理程式以使用受控識別型驗證的指令碼會更新。
將現有的受控識別帳戶連結至保存庫
將現有的受控識別自動化帳戶連結至您的復原服務保存庫。 執行下列步驟:
為保存庫啟用受控識別
移至您已選取的自動化帳戶。 在 [帳戶設定] 底下,選取 [身分識別]。
![顯示 [身分識別設定] 頁面的螢幕快照。](media/how-to-migrate-from-run-as-to-managed-identities/mi-automation-account.png)
在 [系統指派] 區段下,將 [狀態] 變更為 [開啟],然後選取 [儲存]。
系統會產生物件識別碼。 保存庫現在已向 Azure Active Directory 註冊。
回到您的復原服務保存庫。 請在左窗格中,選取 [存取控制 (IAM)] 選項。
選取 [新增]>[新增角色指派]>[參與者],開啟 [新增角色指派] 頁面。
注意
設定自動化帳戶之後,您可以將帳戶的角色從參與者變更為 Site Recovery 參與者。
在 [新增角色指派] 頁面上,確定選取 [受控識別]。
選取 [選取成員]。 在 [選取受控識別] 窗格中,執行下列動作:
- 在 [選取] 欄位中,輸入受控識別自動化帳戶的名稱。
- 在 [受控識別] 欄位中,選取 [所有系統指派的受控識別]。
- 選取 [選取] 選項。
![顯示 [選取受控識別設定] 頁面的螢幕快照。](media/how-to-migrate-from-run-as-to-managed-identities/select-mi.png)
選取檢閱+指派。
瀏覽至復原服務保存庫下的 [延伸模組更新設定]、切換 [要管理的 Site Recovery] 按鈕,使其再次為 [開啟]。
下一步
深入了解: