Управление разрешениями для ролей и безопасностью в службе автоматизации Azure

Контроль доступа на основе ролей (RBAC) Azure обеспечивает управление доступом к ресурсам Azure. С помощью Azure RBAC вы сможете распределить обязанности внутри команды и предоставить доступ пользователям, группам и приложениям на том уровне, который им необходим для выполнения поставленных задач. Доступ на основе ролей можно предоставлять пользователям с помощью портала Azure, средств командной строки Azure и API управления Azure.

Роли в аккаунтах автоматизации

В службе автоматизации Azure доступ предоставляется путем назначения соответствующей роли Azure пользователям, группам и приложениям в области учетной записи автоматизации. Ниже перечислены встроенные роли, поддерживаемые учетной записью автоматизации.

Разрешения роли

В следующих таблицах описываются разрешения, предоставленные каждой роли. Это могут быть свойства Actions, которые предоставляют разрешения, и свойства NotActions, которые их ограничивают.

Владелец

Владелец может управлять всем, включая доступ. В следующей таблице показаны разрешения, предоставленные для этой роли.

Участник

Участник может управлять всем, кроме доступа. В следующей таблице показаны разрешения, которые предоставлены и запрещены для этой роли.

Читатель

Читатель может просматривать все ресурсы в учетной записи службы автоматизации, но не может вносить какие-либо изменения.

Участник службы автоматизации

Участник службы автоматизации может управлять всеми ресурсами в учетной записи службы автоматизации, за исключением доступа к ней. В следующей таблице показаны разрешения, предоставленные для этой роли.

Оператор автоматизации

Оператор автоматизации может создавать задания и управлять ими, а также просматривать имена и свойства всех runbooks в учетной записи службы автоматизации.

В следующей таблице показаны разрешения, предоставленные для этой роли.

Оператор автоматизированных заданий

Роль оператора заданий службы автоматизации предоставляется на уровне учетной записи службы автоматизации. Это позволяет оператору создавать задания и управлять ими для всех runbooks в учетной записи. Если роли оператора заданий предоставлены разрешения на чтение для группы ресурсов, содержащей учетную запись службы автоматизации, члены роли смогут запускать модули runbook. Однако у них нет возможности создавать, изменять или удалять.

В следующей таблице показаны разрешения, предоставленные для этой роли.

Оператор автоматизации Runbook

Роль оператора автоматизации Runbook предоставляется на уровне Runbook. Оператор runbook службы автоматизации может просматривать имя и свойства модуля runbook. Эта роль в сочетании с ролью Оператор заданий службы автоматизации позволяет создавать задания для модуля runbook и управлять ими. В следующей таблице показаны разрешения, предоставленные для этой роли.

Участник Log Analytics

Участник Log Analytics может читать все данные мониторинга и изменять его параметры. Изменение параметров мониторинга подразумевает добавление расширений в виртуальные машины, чтение ключей учетной записи хранения для настройки коллекции журналов в службе хранилища Azure, создание и настройку учетных записей службы автоматизации, добавление возможностей и настройку диагностики Azure для всех ресурсов Azure. В следующей таблице показаны разрешения, предоставленные для этой роли.

Читатель Log Analytics

Читатель Log Analytics может просматривать и искать все данные мониторинга, а также просматривать его параметры, в том числе конфигурацию Диагностики Azure во всех ресурсах Azure. В следующей таблице показаны разрешения, предоставленные или запрещенные для этой роли.

Участник мониторинга

Участник мониторинга может читать все данные мониторинга и изменять его параметры. В следующей таблице показаны разрешения, предоставленные для этой роли.

Monitoring Reader (Читатель данных мониторинга)

Читатель мониторинга может читать все данные мониторинга. В следующей таблице показаны разрешения, предоставленные для этой роли.

Администратор доступа пользователей

Администратор доступа пользователей может управлять доступом пользователей к ресурсам Azure. В следующей таблице показаны разрешения, предоставленные для этой роли.

Разрешения на доступ роли читателя

Встроенная роль Чтение для учетной записи автоматизации не может использовать API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION для получения ключей учетной записи автоматизации. Эта высокопривилегированная операция предоставляет конфиденциальную информацию, которая может представлять угрозу безопасности. С ее помощью злоумышленник с низким уровнем привилегий может получить доступ к ключам учетной записи Службы автоматизации, чтобы выполнять действия с повышенным уровнем привилегий.

Для доступа к API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION рекомендуется переключиться на встроенные роли, такие как Владелец, Участник или Автоматизированный Участник, чтобы получить доступ к ключам учетной записи службы автоматизации. По умолчанию эти роли будут иметь разрешение listKeys . Как наилучшую практику, мы рекомендуем создать настраиваемую роль с ограниченными разрешениями для доступа к ключам учетной записи Службы автоматизации. Для настраиваемой роли необходимо добавить разрешение Microsoft.Automation/automationAccounts/listKeys/action в определение роли. Узнайте больше о том, как создать пользовательскую роль в портале Azure.

Разрешения на настройку возможностей

В следующих разделах показаны минимальные требуемые разрешения для включения возможностей "Управление обновлениями" и "Отслеживание изменений и инвентаризация".

Разрешения на включение возможностей "Управление обновлениями" и "Отслеживание изменений и инвентаризация" для виртуальной машины Azure

¹ Это разрешение требуется для включения возможностей через интерфейс портала виртуальных машин.

Разрешения на включение возможностей "Управление обновлениями" и "Отслеживание изменений и инвентаризация" для учетной записи службы автоматизации

Управление разрешениями роли для гибридных рабочих групп и гибридных работников

Вы можете создать пользовательские роли Azure в службе автоматизации и предоставить следующие разрешения гибридным рабочим группам и рабочим:

• Гибридный рабочий элемент Runbook на основе расширений

Настройки Azure RBAC для учетной записи службы автоматизации

В следующем разделе показано, как настроить Azure RBAC в учетной записи службы автоматизации с помощью портала Azure и PowerShell.

Настройка Azure RBAC с помощью портала Azure

1. Войдите в портал Azure и откройте учетную запись службы автоматизации на странице "Учетные записи службы автоматизации".

2. Выберите элемент управления доступом (IAM) и выберите роль из списка доступных ролей. Вы можете выбрать любую из доступных встроенных ролей, поддерживаемых учетной записью службы автоматизации или любой пользовательской ролью, которую вы могли определить. Назначьте роль пользователю, которому требуется предоставить разрешения.

   Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.

   Примечание.

   Управление доступом на основе ролей можно настроить только на уровне учетной записи службы автоматизации, но не в ресурсах более низкого уровня.

Удаление назначений ролей от пользователя

Разрешение на доступ для пользователя, который не управляет учетной записью службы автоматизации или прекращает работу в организации, можно удалить. Ниже показано, как удалить назначения ролей от пользователя. Подробные инструкции см. в разделе "Удаление назначений ролей Azure":

1. Откройте Управление доступом (IAM) для области, например группы управления, подписки, группы ресурсов или отдельного ресурса, чтобы заблокировать доступ.

2. Откройте вкладку Назначения ролей, чтобы просмотреть все назначения ролей в этой области.

3. В списке назначений ролей добавьте флажок рядом с пользователем с назначением роли, которую вы хотите удалить.

4. Выберите Удалить.

   

Настройка Azure RBAC с помощью PowerShell

Доступ к учетной записи службы автоматизации на основе ролей можно также настроить с помощью указанных ниже командлетов Azure PowerShell.

Get-AzRoleDefinition содержит все роли Azure, доступные в идентификаторе Microsoft Entra. Вы можете использовать этот командлет с параметром Name, чтобы получить список всех действий, которые могут быть выполнены определенной ролью.

Get-AzRoleDefinition -Name 'Automation Operator'

Ниже приведен пример выходных данных.

Name             : Automation Operator
Id               : d3881f73-407a-4167-8283-e981cbba0404
IsCustom         : False
Description      : Automation Operators are able to start, stop, suspend, and resume jobs
Actions          : {Microsoft.Authorization/*/read, Microsoft.Automation/automationAccounts/jobs/read, Microsoft.Automation/automationAccounts/jobs/resume/action,
                   Microsoft.Automation/automationAccounts/jobs/stop/action...}
NotActions       : {}
AssignableScopes : {/}

Командлет Get-AzRoleAssignment выводит список назначений ролей Azure в указанной области. Без параметров этот командлет возвращает все назначения ролей, выполненные в рамках подписки. Указав параметр ExpandPrincipalGroups, вы получите список назначений доступа для указанного пользователя и всех групп, в состав которых он входит.

Пример. Используйте следующий командлет для перечисления всех пользователей и их ролей в учетной записи службы автоматизации.

Get-AzRoleAssignment -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

Ниже приведен пример выходных данных.

RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
                     ers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName        : [email protected]
SignInName         : [email protected]
RoleDefinitionName : Automation Operator
RoleDefinitionId   : d3881f73-407a-4167-8283-e981cbba0404
ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType         : User

Используйте командлет New-AzRoleAssignment, чтобы присвоить права доступа к определенной области пользователям, группам и приложениям.

Пример. Следующая команда назначает роль оператора службы автоматизации пользователю в области учетной записи службы автоматизации.

New-AzRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName 'Automation operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

Ниже приведен пример выходных данных.

RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
                     ers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName        : [email protected]
SignInName         : [email protected]
RoleDefinitionName : Automation Operator
RoleDefinitionId   : d3881f73-407a-4167-8283-e981cbba0404
ObjectId           : bbbbbbbb-1111-2222-3333-cccccccccccc
ObjectType         : User

Командлет Remove-AzRoleAssignment удаляет права доступа к определенной области для указанного пользователя, группы или приложения.

Пример. Используйте следующую команду, чтобы удалить пользователя из роли оператора автоматизации в области учетной записи службы автоматизации.

Remove-AzRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName 'Automation Operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

В предыдущем примере замените sign-in ID of a user you wish to remove, SubscriptionID, Resource Group Name и Automation account name реальными данными для учетной записи. Прежде чем продолжить удаление назначений ролей пользователей, выберите Да в ответ на запрос подтверждения.

Взаимодействие с пользователем, который имеет роль оператора службы автоматизации, в учетной записи службы автоматизации

Когда пользователь с назначенной ролью оператора автоматизации в контексте учетной записи автоматизации просматривает эту учетную запись, он может видеть только список runbook, заданий runbook и расписаний, созданных в ней. Такой пользователь не может просматривать определения этих элементов. Пользователь может запускать, останавливать, приостанавливать, возобновлять или планировать работу runbook. Но у него нет доступа к другим ресурсам службы автоматизации, включая конфигурации, группы гибридных рабочих ролей Runbook и узлы DSC.

Настройка Azure RBAC для runbooks

Служба автоматизации Azure позволяет назначать роли Azure определенным модулям runbook. Для этого выполните следующий скрипт, чтобы добавить пользователя в определенный runbook. Этот скрипт может выполнять администратор учетной записи службы автоматизации или администратор клиента.

$rgName = "<Resource Group Name>" # Resource Group name for the Automation account
$automationAccountName ="<Automation account name>" # Name of the Automation account
$rbName = "<Name of Runbook>" # Name of the runbook
$userId = "<User ObjectId>" # Azure Active Directory (AAD) user's ObjectId from the directory

# Gets the Automation account resource
$aa = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts" -ResourceName $automationAccountName

# Get the Runbook resource
$rb = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts/runbooks" -ResourceName "$rbName"

# The Automation Job Operator role only needs to be run once per user.
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Job Operator" -Scope $aa.ResourceId

# Adds the user to the Automation Runbook Operator role to the Runbook scope
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Runbook Operator" -Scope $rb.ResourceId

После запуска скрипта войдите в портал Azure и выберите "Все ресурсы". В этом списке пользователь может увидеть технологическую инструкцию, для которой он был добавлен в качестве оператора технологической инструкции службы автоматизации.

Пользовательский опыт для роли оператора автоматизации — Runbook.

Когда пользователь, назначенный оператором службы автоматизации в области планировщика заданий, просматривает назначенный ему планировщик, он может только запускать его и просматривать задания этого планировщика.

Следующие шаги

• Чтобы узнать о рекомендациях по безопасности, см. Лучшие практики безопасности в Azure Automation.
• Дополнительные сведения об управлении доступом с помощью Azure RBAC и PowerShell см. в статье Добавление и удаление назначений ролей Azure с помощью Azure PowerShell.
• Дополнительные сведения о типах runbook см. в статье Типы runbook в службе автоматизации Azure.
• Чтобы запустить runbook, см. Запуск runbook в службе автоматизации Azure.