Поделиться через

Общие сведения о проверке подлинности учетной записи службы автоматизации Azure

  • Статья

Внимание

служба Автоматизация Azure учетные записи «Выполнить от имени», включая классические учетные записи, были выведены из эксплуатации 30 сентября 2023 года, и заменены Управляемыми Удостоверениями. Вы больше не сможете создавать или обновлять учетные записи с правами выполнения от имени через портал Azure. Для получения дополнительной информации см. статью Переход от учетных записей Run As к управляемому удостоверению.

С помощью службы автоматизации Azure можно автоматизировать задачи, выполняемые с ресурсами Azure (локально), а также с ресурсами других поставщиков облачных служб, например Amazon Web Services (AWS). Вы можете использовать runbook, чтобы автоматизировать ваши задачи, или гибридную рабочую роль Runbook, если вы управляете предприятием или операционными процессами вне Azure. Для работы в любой из этих сред требуются разрешения на безопасный доступ к ресурсам с минимальными необходимыми правами.

В этой статье рассматриваются разные сценарии проверки подлинности, поддерживаемые службой автоматизации Azure, и описывается процесс начала работы с учетом среды или сред, для которых вы настраиваете управление.

Учетная запись службы автоматизации

При первом запуске службы автоматизации Azure необходимо создать по крайней мере одну учетную запись службы автоматизации. Учетные записи службы автоматизации позволяют изолировать ресурсы службы автоматизации (runbook, ресурсы и конфигурации) от ресурсов других учетных записей. Учетные записи службы автоматизации можно использовать, чтобы разделить ресурсы на отдельные логические среды или делегировать ответственность. Например, для разработки можно использовать одну учетную запись, для рабочей среды — другую, а для локальной среды — третью. Также можно выделить учетную запись службы автоматизации для управления обновлениями операционной системы на всех компьютерах при помощи Управления обновлениями.

Учетная запись службы автоматизации Azure отличается от учетной записи Майкрософт или учетных записей, созданных в рамках подписки Azure. Общие сведения см. в статье Создание учетной записи службы автоматизации.

Ресурсы службы автоматизации

Ресурсы каждой учетной записи службы автоматизации связаны с одним регионом Azure, но учетные записи могут управлять всеми ресурсами в вашей подписке Azure. Главной причиной создания учетных записей службы автоматизации в разных регионах будет наличие политик, требующих изолировать данные и ресурсы в определенном регионе.

Все задачи, создаваемые для ресурсов с помощью Azure Resource Manager и командлетов PowerShell в службе автоматизации Azure, должны проходить проверку подлинности в Azure с помощью аутентификации учетными данными организации Microsoft Entra.

Управляемые удостоверения

Управляемое удостоверение Microsoft Entra ID позволяет вашему runbook без труда получать доступ к другим ресурсам, защищенным Microsoft Entra. Учетная запись управляется платформой Azure и не требует настройки или ротации секретов. Дополнительные сведения об управляемых идентификаторах в Microsoft Entra ID см. в разделе Управляемые идентификаторы для ресурсов Azure.

Управляемые удостоверения — это рекомендуемый способ проверки подлинности runbook и метод проверки подлинности по умолчанию для учетной записи службы автоматизации.

Ниже приведены некоторые преимущества использования управляемых идентификаций.

  • Использование управляемого удостоверения вместо учетной записи службы Automation Run As упрощает управление.

  • Управляемые идентичности могут использоваться без каких-либо дополнительных затрат.

  • В коде runbook не нужно указывать объект подключения запуска от имени. Доступ к ресурсам можно получить с помощью управляемого удостоверения учетной записи службы автоматизации из модуля Runbook без создания сертификатов, подключений и т. д.

Учетная запись службы автоматизации может пройти проверку подлинности с помощью двух типов управляемых удостоверений:

  • Удостоверение, выдаваемое системой, привязывается к вашему приложению и удаляется, если ваше приложение удалено. Приложение может иметь только одно назначаемое системой удостоверение.

  • Удостоверение, назначенное пользователем, — это самостоятельный ресурс Azure, который можно назначить вашему приложению. Приложение может иметь несколько пользовательских идентичностей.

Примечание.

Идентификаторы, назначенные пользователем, поддерживаются только для облачных заданий. Чтобы узнать больше о различных видах управляемых удостоверений, см. раздел Управление типами удостоверений.

Для получения подробной информации об использовании управляемых удостоверений см. статью Включение управляемого удостоверения для службы автоматизации Azure.

Права доступа к подпискам

Вам требуется разрешение Microsoft.Authorization/*/Write. Это разрешение можно получить посредством членства в одной из следующих встроенных ролей Azure:

Чтобы узнать больше о разрешениях классической подписки, ознакомьтесь с разделом Классические администраторы подписок Azure.

Разрешения Microsoft Entra

Чтобы продлить основную сущность службы, вы должны быть участником одной из следующих встроенных ролей Microsoft Entra:

Членство может назначаться ВСЕМ пользователям клиента на уровне каталога (поведение по умолчанию). Вы можете предоставить членство одной из двух ролей на уровне каталога. Дополнительные сведения см. в разделе Кто имеет право добавлять приложения в мой экземпляр Microsoft Entra?.

Разрешения учетной записи службы автоматизации

Чтобы обновить учетную запись службы автоматизации, вы должны быть членом одной из следующих ролей учетной записи службы автоматизации:

Дополнительные сведения о классической модели развертывания и модели развертывания Azure Resource Manager см. в разделе Развертывание с помощью Azure Resource Manager и классическая модель развертывания.

Примечание.

Подписки Поставщика облачных решений Azure (CSP) поддерживают только модель Azure Resource Manager. Службы, не являющиеся частью Azure Resource Manager, недоступны в программе. При использовании подписки CSP классическая учетная запись запуска от имени Azure не создается, но создается учетная запись запуска от имени Azure. Дополнительные сведения о подписках CSP см. в разделе Доступные службы в подписках CSP.

Управление доступом на основе ролей

Управление доступом на основе ролей доступно в Azure Resource Manager для предоставления разрешенных действий учетной записи пользователя Microsoft Entra и учетной записи 'Run As', а также для проверки подлинности служебного принципала. Дополнительные сведения о разработке модели управления разрешениями в службе автоматизации см. в статье Управление доступом на основе ролей в службе автоматизации Azure.

Если у вас есть строгий контроль безопасности для назначения разрешений в группах ресурсов, необходимо назначить учетной записи 'Выполнить как' членство с ролью участника в группе ресурсов.

Примечание.

Мы рекомендуем не использовать роль Участник Log Analytics для выполнения заданий автоматизации. Вместо этого создайте настраиваемую роль участника службы автоматизации Azure и используйте ее для действий, связанных с учетной записью службы автоматизации.

Аутентификация Runbook с использованием Hybrid Runbook Worker

Последовательности runbook, работающие на гибридных рабочих компьютерах в вашем центре обработки данных или в других облачных средах, таких как AWS, не могут использовать стандартный для runbook метод аутентификации к ресурсам Azure. Это происходит потому, что такие ресурсы работают за пределами Azure и для них требуются отдельные учетные данные безопасности, определяемые службой автоматизации для проверки подлинности ресурсов, доступ к которым они получают локально. Дополнительные сведения об аутентификации runbook с рабочими процессами см. в статье Запуск runbook на гибридном рабочем процессе.

Для рабочих книг, которые используют гибридные агенты Runbook на виртуальных машинах Azure, вместо учетных записей Run As можно применить проверку подлинности на основе управляемых удостоверений, чтобы получать доступ к ресурсам Azure.

Следующие шаги