Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
11 июля 2026 г. схемы (предварительная версия) будут устарели. Перенесите существующие определения схем и назначений в Спецификации Шаблонов и Стеки Развертывания. Артефакты схемы необходимо преобразовать в шаблоны JSON ARM или файлы Bicep, используемые для определения стеков развертывания. Узнайте, как создать артефакт в качестве ресурса ARM, см. в статье:
При развертывании схемы ряд действий выполняется службой Azure Blueprints для развертывания ресурсов, определенных в схеме. В этой статье содержатся сведения о том, что включает в себя каждый шаг.
Развертывание схемы активируется путем назначения схемы подписке или обновления существующего назначения. Во время развертывания Azure Blueprints выполняет следующие высокоуровневые действия.
- Azure Blueprints предоставил права владельца
- Создается объект назначения чертежа
- Необязательно. Azure Blueprints создает управляемое удостоверение, назначаемое системой
- Управляемое удостоверение развертывает артефакты схемы
- Служба Azure Blueprints и права управляемого удостоверения, назначаемые системой , отзываются
Azure Blueprints предоставил права владельца
Служебный принципал Azure Blueprints получает права владельца для назначенной подписки или подписок, когда используется управляемое удостоверение, системой назначаемое. Назначенная роль позволяет Azure Blueprints создавать, а затем отменять управляемое удостоверение, назначаемое системой. При использовании управляемого удостоверения, назначаемого пользователем, принципал службы Azure Blueprints не получает права владельца на подписку и не требует их.
Права предоставляются автоматически, если назначение выполняется через портал. Однако если назначение выполняется через REST API, предоставление прав необходимо сделать с помощью отдельного вызова API. Azure Blueprints AppId — f71766dc-90d9-4b7d-bd9d-4499c4331c3f, но учетная запись службы зависит от клиента. Используйте API Azure Active Directory Graph и конечную точку REST servicePrincipals, чтобы получить основной объект службы. Затем предоставьте Owner роль для Azure Blueprints через Portal, Azure CLI, Azure PowerShell, REST API или Azure Resource Manager template.
Служба Azure Blueprints не развертывает ресурсы напрямую.
Создается объект назначения схемы
Пользователь, группа или субъект-служба назначает схему подписке. Объект назначения находится на уровне подписки, где применён набор инструкций. Ресурсы, созданные развертыванием, не связаны с контекстом разворачивающей сущности.
При создании назначения схемы выбран тип управляемого удостоверения. По умолчанию используется управляемое удостоверение, назначаемое системой . Можно выбрать назначаемое пользователем управляемое удостоверение. При использовании управляемого удостоверения, назначенного пользователем, необходимо определить и предоставить разрешения перед созданием назначения чертежа. Встроенные роли "Владелец" и "Оператор схемы" имеют необходимое blueprintAssignment/write разрешение на создание присваивания, использующего управляемую идентичность, назначенную пользователем.
Необязательно. Azure Blueprints создает управляемое удостоверение, назначаемое системой
При выборе системой назначенного управляемого удостоверения во время назначения, Azure Blueprints создает удостоверение и назначает управляемому удостоверению роль владельца. При обновлении существующего назначения Azure Blueprints использует ранее созданное управляемое удостоверение.
Управляемое удостоверение, связанное с назначением схемы, используется для развертывания или повторного развертывания ресурсов, определенных в схеме. Эта конструкция избегает непреднамеренно вмешивающихся друг в друга назначений. Эта конструкция также поддерживает функцию блокировки ресурсов , управляя безопасностью каждого развернутого ресурса из схемы.
Управляемое удостоверение развертывает артефакты схемы
Затем управляемое удостоверение активирует развертывания артефактов в Resource Manager согласно заданному порядку в чертеже. Порядок можно изменить, чтобы гарантировать, что артефакты, зависящие от других артефактов, развертываются в правильном порядке.
Сбой доступа при развертывании часто является результатом уровня доступа, предоставленного управляемому удостоверению. Служба Azure Blueprints управляет жизненным циклом безопасности управляемого удостоверения, назначаемого системой . Однако пользователь отвечает за управление правами и жизненным циклом пользовательского управляемого удостоверения.
Отмена прав управляемого удостоверения, назначаемых системой и службой схемы
После завершения развертываний Azure Blueprints отменяет права управляемого удостоверения, назначаемого системой , из подписки. Затем служба Azure Blueprints отменяет свои права из подписки. Удаление прав не позволяет Azure Blueprints стать постоянным владельцем подписки.
Дальнейшие шаги
- Узнайте, как использовать статические и динамические параметры.
- Узнайте, как настроить порядок последовательности схемы.
- Узнайте, как использовать блокировку ресурсов чертежа.
- Узнайте, как обновить существующие назначения.
- Устраните проблемы при назначении плана с общими методами устранения проблем.