Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
С помощью службы автоматизации Azure можно автоматизировать задачи, выполняемые с ресурсами Azure (локально), а также с ресурсами других поставщиков облачных служб, например Amazon Web Services (AWS). Вы можете использовать runbook, чтобы автоматизировать ваши задачи, или гибридную рабочую роль Runbook, если вы управляете предприятием или операционными процессами вне Azure. Для работы в любой из этих сред требуются разрешения на безопасный доступ к ресурсам с минимальными необходимыми правами.
В этой статье рассматриваются разные сценарии проверки подлинности, поддерживаемые службой автоматизации Azure, и описывается процесс начала работы с учетом среды или сред, для которых вы настраиваете управление.
Учетная запись службы автоматизации
При первом запуске службы автоматизации Azure необходимо создать по крайней мере одну учетную запись службы автоматизации. Учетные записи службы автоматизации позволяют изолировать ресурсы службы автоматизации (runbook, ресурсы и конфигурации) от ресурсов других учетных записей. Учетные записи службы автоматизации можно использовать, чтобы разделить ресурсы на отдельные логические среды или делегировать ответственность. Например, для разработки можно использовать одну учетную запись, для рабочей среды — другую, а для локальной среды — третью.
Учетная запись службы автоматизации Azure отличается от учетной записи Майкрософт или учетных записей, созданных в рамках подписки Azure. Общие сведения см. в статье Создание учетной записи службы автоматизации.
Ресурсы службы автоматизации
Ресурсы каждой учетной записи службы автоматизации связаны с одним регионом Azure, но учетные записи могут управлять всеми ресурсами в вашей подписке Azure. Главной причиной создания учетных записей службы автоматизации в разных регионах будет наличие политик, требующих изолировать данные и ресурсы в определенном регионе.
Все задачи, создаваемые для ресурсов с помощью Azure Resource Manager и командлетов PowerShell в службе автоматизации Azure, должны проходить проверку подлинности в Azure с помощью аутентификации учетными данными организации Microsoft Entra.
Управляемые удостоверения
Управляемое удостоверение Microsoft Entra ID позволяет вашему runbook без труда получать доступ к другим ресурсам, защищенным Microsoft Entra. Учетная запись управляется платформой Azure и не требует настройки или ротации секретов. Дополнительные сведения об управляемых идентификаторах в Microsoft Entra ID см. в разделе Управляемые идентификаторы для ресурсов Azure.
Управляемые удостоверения — это рекомендуемый способ проверки подлинности runbook и метод проверки подлинности по умолчанию для учетной записи службы автоматизации.
Ниже приведены некоторые преимущества использования управляемых идентификаций.
Управляемые идентичности могут использоваться без каких-либо дополнительных затрат.
Доступ к ресурсам можно получить с помощью управляемого удостоверения учетной записи службы автоматизации из модуля Runbook без создания сертификатов, подключений и т. д.
Учетная запись службы автоматизации может пройти проверку подлинности с помощью двух типов управляемых удостоверений:
Удостоверение, выдаваемое системой, привязывается к вашему приложению и удаляется, если ваше приложение удалено. Приложение может иметь только одно назначаемое системой удостоверение.
Удостоверение, назначенное пользователем, — это самостоятельный ресурс Azure, который можно назначить вашему приложению. Приложение может иметь несколько пользовательских идентичностей.
Примечание.
Идентификаторы, назначенные пользователем, поддерживаются только для облачных заданий. Чтобы узнать больше о различных видах управляемых удостоверений, см. раздел Управление типами удостоверений.
Для получения подробной информации об использовании управляемых удостоверений см. статью Включение управляемого удостоверения для службы автоматизации Azure.
Права доступа к подпискам
Вам требуется разрешение Microsoft.Authorization/*/Write. Это разрешение можно получить посредством членства в одной из следующих встроенных ролей Azure:
Чтобы узнать больше о разрешениях классической подписки, ознакомьтесь с разделом Классические администраторы подписок Azure.
Разрешения Microsoft Entra
Чтобы продлить основную сущность службы, вы должны быть участником одной из следующих встроенных ролей Microsoft Entra:
Членство может назначаться ВСЕМ пользователям клиента на уровне каталога (поведение по умолчанию). Вы можете предоставить членство одной из двух ролей на уровне каталога. Дополнительные сведения см. в разделе "Кто имеет разрешение на добавление приложений в экземпляр Microsoft Entra?
Разрешения учетной записи службы автоматизации
Чтобы обновить учетную запись службы автоматизации, вы должны быть членом одной из следующих ролей учетной записи службы автоматизации:
Дополнительные сведения о классической модели развертывания и модели развертывания Azure Resource Manager см. в разделе Развертывание с помощью Azure Resource Manager и классическая модель развертывания.
Примечание.
Подписки Поставщика облачных решений Azure (CSP) поддерживают только модель Azure Resource Manager. Службы, не являющиеся частью Azure Resource Manager, недоступны в программе. Дополнительные сведения о подписках CSP см. в разделе Доступные службы в подписках CSP.
Аутентификация Runbook с использованием Hybrid Runbook Worker
Последовательности runbook, работающие на гибридных рабочих компьютерах в вашем центре обработки данных или в других облачных средах, таких как AWS, не могут использовать стандартный для runbook метод аутентификации к ресурсам Azure. Это происходит потому, что такие ресурсы работают за пределами Azure и для них требуются отдельные учетные данные безопасности, определяемые службой автоматизации для проверки подлинности ресурсов, доступ к которым они получают локально. Дополнительные сведения об аутентификации runbook с рабочими процессами см. в статье Запуск runbook на гибридном рабочем процессе.
Для модулей Runbook, использующих гибридных работников Runbook на виртуальных машинах Azure, можно использовать аутентификацию runbook с управляемыми удостоверениями, чтобы проверить подлинность ваших ресурсов Azure.
Следующие шаги
- Сведения о создании учетной записи службы автоматизации на портале Azure см. в статье Создание автономной учетной записи службы автоматизации Azure.
- Если вы предпочитаете работать с шаблонами, см. статью Создание учетной записи службы автоматизации с помощью шаблона Azure Resource Manager.
- Для использования Amazon Web Services прочитайте статью Аутентификация модулей runbook службы автоматизации Azure с помощью Amazon Web Services.
- Для списка служб Azure, которые поддерживают функцию управляемых удостоверений для ресурсов Azure, см. Службы, которые поддерживают управляемые удостоверения для ресурсов Azure.