Správa oprávnění rolí a zabezpečení ve službě Azure Automation
Řízení přístupu na základě role v Azure (Azure RBAC) umožňuje správu přístupu pro prostředky Azure. Pomocí Azure RBAC můžete oddělit povinnosti v rámci týmu a udělit jim přístup jenom uživatelům, skupinám a aplikacím, které potřebují k provádění svých úloh. Přístup na základě role můžete uživatelům udělit pomocí webu Azure Portal, nástrojů příkazového řádku Azure nebo rozhraní API pro správu Azure.
Role v účtech Automation
Ve službě Azure Automation se přístup uděluje přiřazením příslušné role Azure uživatelům, skupinám a aplikacím v rozsahu účtu Automation. Níže jsou uvedené vestavěné role, které účet Automation podporuje:
| Role | Popis |
|---|---|
| Vlastník | Role vlastníka umožňuje přístup ke všem prostředkům a akcím v rámci účtu Automation, včetně poskytnutí přístupu dalším uživatelům, skupinám a aplikacím za účelem správy účtu Automation. |
| Přispěvatel | Role přispěvatele umožňuje spravovat všechno kromě úpravy oprávnění jiných uživatelů k přístupu k účtu Automation. |
| Čtenář | Role čtenáře vám umožní zobrazit všechny prostředky na účtu Automation, ale neumožní vám provádět změny. |
| Přispěvatel automatizace | Role Přispěvatel ve službě Automation umožňuje spravovat všechny prostředky v účtu Automation, až na úpravy přístupových oprávnění jiných uživatelů k účtu Automation. |
| Operátor služby Automation | Role Operátor ve službě Automation umožňuje zobrazit název a vlastnosti runbooku a vytvářet a spravovat úlohy pro všechny runbooky v účtu Automation. Tato role je užitečná, pokud chcete chránit prostředky na účtu Automation, například přihlašovací údaje a runbooky, aby je nikdo nemohl zobrazit nebo upravit, ale aby členové vaší organizace mohli tyto runbooky stále spouštět. |
| Operátor úloh automatizace | Role Operátor úloh v Automation vám umožňuje vytvářet a spravovat úlohy pro všechny runbooky v účtu Automation. |
| Operátor runbooků v Automation | Role Operátor runbooků v Automation vám umožňuje zobrazit název a vlastnosti runbooku. |
| Přispěvatel Log Analytics | Role Přispěvatel Log Analytics vám umožňuje číst všechna data monitorování a upravovat nastavení monitorování. Úprava nastavení monitorování zahrnuje přidání rozšíření virtuálního počítače do virtuálních počítačů, čtení klíčů účtu úložiště, aby bylo možné konfigurovat shromažďování protokolů z úložiště Azure, vytváření a konfiguraci účtů Automation, přidávání funkcí Azure Automation a konfiguraci diagnostiky Azure na všech prostředcích Azure. |
| Čtenář Log Analytics | Role Čtenář Log Analytics vám umožňuje zobrazit a prohledat všechna data monitorování a také zobrazit nastavení monitorování. To zahrnuje zobrazení konfigurace diagnostiky Azure ve všech prostředcích Azure. |
| Přispěvatel monitorování | Role Přispěvatel monitorování vám umožňuje číst všechna data monitorování a aktualizovat nastavení monitorování. |
| Čtenář monitorování | Role Čtenář monitorování vám umožňuje číst všechna data monitorování. |
| Správce uživatelských přístupů | Role správce přístupu uživatelů umožňuje spravovat přístup uživatelů k účtům Azure Automation. |
Oprávnění role
Následující tabulky popisují konkrétní oprávnění udělená jednotlivým rolím. To může zahrnovat činnosti, které udělují oprávnění, a nečinnosti, které je omezují.
Vlastník
Vlastník může spravovat vše, včetně přístupu. V následující tabulce jsou uvedena oprávnění udělená pro roli:
| Akce | Popis |
|---|---|
| Microsoft.Automation/automationAccounts/* | Vytvoření a správa všech typů prostředků. |
Přispěvatel
Přispěvatel může spravovat všechno kromě přístupu. V následující tabulce jsou uvedena oprávnění udělená a odepřená roli:
| Akce | Popis |
|---|---|
| Microsoft.Automation/automationAccounts/* | Vytvoření a správa všech typů prostředků |
| Nečinnosti | |
| Microsoft.Authorization/*/Delete | Odstranění rolí a přiřazení rolí. |
| Microsoft.Authorization/*/Write | Vytvoření rolí a přiřazení rolí. |
| Microsoft.Authorization/elevateAccess/Action | Zamítne možnost vytvořit Správce uživatelských přístupů. |
Čtenář
Poznámka:
Nedávno jsme provedli změnu v předdefinované roli Čtenář pro účet Automation. Další informace
Čtenář si může zobrazit všechny prostředky na účtu Automation, ale nemůže provádět změny.
| Akce | Popis |
|---|---|
| Microsoft.Automation/automationAccounts/read | Zobrazí všechny prostředky v účtu Automation. |
Přispěvatel automatizace
Přispěvatel automatizace může spravovat všechny prostředky kromě přístupu v účtu Automation. V následující tabulce jsou uvedena oprávnění udělená pro roli:
| Akce | Popis |
|---|---|
| Microsoft.Automation/automationAccounts/* | Vytvoření a správa všech typů prostředků. |
| Microsoft.Authorization/*/read | Načtení rolí a přiřazení rolí. |
| Microsoft.Resources/deployments/* | Vytváření a správa nasazení skupin prostředků. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Načtení nasazení skupiny prostředků. |
| Microsoft.Support/* | Vytváření a správa lístků podpory. |
| Microsoft.Insights/ActionGroups/* | Čtení/zápis/odstranění skupin akcí. |
| Microsoft.Insights/ActivityLogAlerts/* | Čtení/zápis/odstranění upozornění protokolu aktivit. |
| Microsoft.Insights/diagnosticSettings/* | Čtení/zápis/odstranění nastavení diagnostiky. |
| Microsoft.Insights/MetricAlerts/* | Čtení/zápis/odstranění upozornění na metriky téměř v reálném čase. |
| Microsoft.Insights/ScheduledQueryRules/* | Čtení/zápis/odstranění upozornění protokolu v Azure Monitor. |
| Microsoft.OperationalInsights/workspaces/sharedKeys/action | Seznam klíčů pro pracovní prostor Log Analytics |
Poznámka:
Roli Přispěvatel služby Automation je možné použít pro přístup k libovolnému prostředku pomocí spravované identity, pokud jsou pro cílový prostředek nastavená příslušná oprávnění nebo pomocí účtu Spustit jako. Účet Automation Spustit jako je ve výchozím nastavení nakonfigurovaný s právy přispěvatele k předplatnému. Řiďte se zásadou nejnižších oprávnění a pečlivě přidělujte pouze oprávnění potřebná ke spuštění runbooku. Pokud se například účet Automation vyžaduje jenom ke spuštění nebo zastavení virtuálního počítače Azure, oprávnění přiřazená k účtu Spustit jako musí být jenom pro spuštění nebo zastavení tohoto virtuálního počítače. Podobně přiřaďte oprávnění jen pro čtení, pokud runbook čte ze služby Blob Storage.
Při přiřazování oprávnění doporučujeme použít řízení přístupu na základě role (RBAC) v Azure přiřazené spravované identitě. Projděte si naše doporučení pro nejlepší přístup k používání spravované identity přiřazené systémem nebo uživatelem, včetně správy a zásad správného řízení po celou dobu její životnosti.
Operátor služby Automation
Operátor v Automation může také vytvářet a spravovat úlohy a číst názvy a vlastnosti runbooků pro všechny runbooky v účtu Automation.
Poznámka:
Pokud chcete řídit přístup operátora k jednotlivým runbookům, nenastavujte tuto roli. Místo toho použijte v kombinaci role Operátor úlohy automatizace a Operátor runbooku Automation.
V následující tabulce jsou uvedena oprávnění udělená pro roli:
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Autorizace ke čtení. |
| Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read | Čtení prostředků procesu Hybrid Runbook Worker |
| Microsoft.Automation/automationAccounts/jobs/read | Seznam úloh runbooku. |
| Microsoft.Automation/automationAccounts/jobs/resume/action | Obnovení pozastavené úlohy. |
| Microsoft.Automation/automationAccounts/jobs/stop/action | Zrušení probíhající úlohy. |
| Microsoft.Automation/automationAccounts/jobs/streams/read | Čtení datových proudů úlohy a výstupu. |
| Microsoft.Automation/automationAccounts/jobs/output/read | Získání výstupu úlohy. |
| Microsoft.Automation/automationAccounts/jobs/suspend/action | Pozastavení probíhající úlohy. |
| Microsoft.Automation/automationAccounts/jobs/write | Vytváření úloh. |
| Microsoft.Automation/automationAccounts/jobSchedules/read | Získání plánu úloh Azure Automation. |
| Microsoft.Automation/automationAccounts/jobSchedules/write | Vytvoření plánu úloh Azure Automation. |
| Microsoft.Automation/automationAccounts/linkedWorkspace/read | Propojení pracovního prostoru s účtem Automation. |
| Microsoft.Automation/automationAccounts/read | Získání účtu Azure Automation. |
| Microsoft.Automation/automationAccounts/runbooks/read | Získání runbooku Azure Automation. |
| Microsoft.Automation/automationAccounts/schedules/read | Získání plánu prostředku Azure Automation. |
| Microsoft.Automation/automationAccounts/schedules/write | Vytvoření nebo aktualizace plánovaného prostředku Azure Automation. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Načtení rolí a přiřazení rolí. |
| Microsoft.Resources/deployments/* | Vytváření a správa nasazení skupin prostředků. |
| Microsoft.Insights/alertRules/* | Vytváření a správa pravidel pro upozornění. |
| Microsoft.Support/* | Vytváření a správa lístků podpory. |
| Microsoft.ResourceHealth/availabilityStatuses/read | Získá stavy dostupnosti všech prostředků ve vymezeném rozsahu. |
Operátor úloh automatizace
Role Operátor úloh Automation se uděluje v rozsahu účtu Automation. To umožňuje oprávnění operátora vytvářet a spravovat úlohy pro všechny runbooky v účtu. Pokud je roli Operátor úlohy uděleno oprávnění ke čtení pro skupinu prostředků obsahující účet Automation, mohou členové role spouštět runbooky. Ale nemohou je vytvářet, upravovat ani odstraňovat.
V následující tabulce jsou uvedena oprávnění udělená pro roli:
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Autorizace ke čtení. |
| Microsoft.Automation/automationAccounts/jobs/read | Seznam úloh runbooku. |
| Microsoft.Automation/automationAccounts/jobs/resume/action | Obnovení pozastavené úlohy. |
| Microsoft.Automation/automationAccounts/jobs/stop/action | Zrušení probíhající úlohy. |
| Microsoft.Automation/automationAccounts/jobs/streams/read | Čtení datových proudů úlohy a výstupu. |
| Microsoft.Automation/automationAccounts/jobs/suspend/action | Pozastavení probíhající úlohy. |
| Microsoft.Automation/automationAccounts/jobs/write | Vytváření úloh. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Načtení rolí a přiřazení rolí. |
| Microsoft.Resources/deployments/* | Vytváření a správa nasazení skupin prostředků. |
| Microsoft.Insights/alertRules/* | Vytváření a správa pravidel pro upozornění. |
| Microsoft.Support/* | Vytváření a správa lístků podpory. |
| Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read | Čtení skupiny hybridního pracovního procesu runbooku. |
| Microsoft.Automation/automationAccounts/jobs/output/read | Získá výstup úlohy. |
Operátor runbooků v Automation
Role Operátor runbooku v Automation je udělena v rozsahu runbooku. Operátor runbooku v Automation si může zobrazit název a vlastnosti runbooku. Tato role v kombinaci s rolí Operátor úlohy automatizace umožňuje operátorovi také vytvářet a spravovat úlohy runbooku. V následující tabulce jsou uvedena oprávnění udělená pro roli:
| Akce | Popis |
|---|---|
| Microsoft.Automation/automationAccounts/runbooks/read | Zobrazí seznam runbooků. |
| Microsoft.Authorization/*/read | Autorizace ke čtení. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Načtení rolí a přiřazení rolí. |
| Microsoft.Resources/deployments/* | Vytváření a správa nasazení skupin prostředků. |
| Microsoft.Insights/alertRules/* | Vytváření a správa pravidel pro upozornění. |
| Microsoft.Support/* | Vytváření a správa lístků podpory. |
Přispěvatel Log Analytics
Přispěvatel Log Analytics může číst všechna data monitorování a upravovat nastavení monitorování. Úprava nastavení monitorování zahrnuje možnost přidat rozšíření virtuálního počítače do virtuálních počítačů, čtení klíčů účtu úložiště, aby bylo možné konfigurovat shromažďování protokolů z úložiště Azure, vytváření a konfiguraci účtů Automation, přidávání funkcí a konfiguraci diagnostiky Azure na všech prostředcích Azure. V následující tabulce jsou uvedena oprávnění udělená pro roli:
| Akce | Popis |
|---|---|
| */read | Čtení všech typů prostředků kromě tajných kódů. |
| Microsoft.ClassicCompute/virtualMachines/extensions/* | Vytváření a správa rozšíření virtuálních počítačů. |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | Zobrazení seznamu klasických klíčů účtu úložiště. |
| Microsoft.Compute/virtualMachines/extensions/* | Vytváření a správa klasických rozšíření virtuálních počítačů. |
| Microsoft.Insights/alertRules/* | Čtení/zápis/odstranění pravidel pro upozornění. |
| Microsoft.Insights/diagnosticSettings/* | Čtení/zápis/odstranění nastavení diagnostiky. |
| Microsoft.OperationalInsights/* | Správa protokolů Azure Monitoru. |
| Microsoft.OperationsManagement/* | Správa funkcí Azure Automation v pracovních prostorech. |
| Microsoft.Resources/deployments/* | Vytváření a správa nasazení skupin prostředků. |
| Microsoft.Resources/subscriptions/resourcegroups/deployments/* | Vytváření a správa nasazení skupin prostředků. |
| Microsoft.Storage/storageAccounts/listKeys/action | Zobrazení seznamu klíčů účtu úložiště. |
| Microsoft.Support/* | Vytváření a správa lístků podpory. |
| Microsoft.HybridCompute/machines/extensions/write | Instalace nebo aktualizace rozšíření Azure Arc. |
Čtenář Log Analytics
Čtenář Log Analytics může zobrazit a také prohledávat všechna data monitorování a zobrazit nastavení monitorování, včetně zobrazení konfigurace diagnostiky Azure ve všech prostředcích Azure. V následující tabulce jsou uvedena oprávnění udělená nebo odepřená roli:
| Akce | Popis |
|---|---|
| */read | Čtení všech typů prostředků kromě tajných kódů. |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Správa dotazů v protokolech Azure Monitor. |
| Microsoft.OperationalInsights/workspaces/search/action | Prohledávání dat protokolu Azure Monitor. |
| Microsoft.Support/* | Vytváření a správa lístků podpory. |
| Nečinnosti | |
| Microsoft.OperationalInsights/workspaces/sharedKeys/read | Nelze číst sdílené přístupové klíče. |
Přispěvatel monitorování
Přispěvatel monitorování může číst všechna data monitorování a aktualizovat nastavení monitorování. V následující tabulce jsou uvedena oprávnění udělená pro roli:
| Akce | Popis |
|---|---|
| */read | Čtení všech typů prostředků kromě tajných kódů. |
| Microsoft.AlertsManagement/alerts/* | Správa upozornění. |
| Microsoft.AlertsManagement/alertsSummary/* | Správa řídicího panelu upozornění. |
| Microsoft.Insights/AlertRules/* | Správa pravidel pro upozornění. |
| Microsoft.Insights/components/* | Správa komponentů Application Insights. |
| Microsoft.Insights/DiagnosticSettings/* | Správa nastavení diagnostiky. |
| Microsoft.Insights/eventtypes/* | Seznam událostí protokolu aktivit (správní události) v odběru. Toto oprávnění se použije pro programový i pro portálový přístup k protokolu aktivit. |
| Microsoft.Insights/LogDefinitions/* | Toto oprávnění je nezbytné pro uživatele, kteří potřebují přístup k protokolům aktivit prostřednictvím portálu. Zobrazí seznam kategorií protokolů v protokolu aktivit. |
| Microsoft.Insights/MetricDefinitions/* | Přečtěte si definice metrik (seznam dostupných typů metrik pro prostředek). |
| Microsoft.Insights/Metrics/* | Čtení metriky pro prostředek. |
| Microsoft.Insights/Register/Action | Registrace poskytovatele Microsoft.Insights. |
| Microsoft.Insights/webtests/* | Správa webových testů pro Application Insights. |
| Microsoft.OperationalInsights/workspaces/intelligencepacks/* | Správa balíčků řešení protokolů Azure Monitor. |
| Microsoft.OperationalInsights/workspaces/savedSearches/* | Správa protokolů uložených hledání v Azure Monitor. |
| Microsoft.OperationalInsights/workspaces/search/action | Prohledávání pracovních prostorů Log Analytics. |
| Microsoft.OperationalInsights/workspaces/sharedKeys/action | Seznam klíčů pro pracovní prostor Log Analytics. |
| Microsoft.OperationalInsights/workspaces/storageinsightconfigs/* | Správa konfigurací přehledů úložiště protokolů v Azure Monitor. |
| Microsoft.Support/* | Vytváření a správa lístků podpory. |
| Microsoft.WorkloadMonitor/workloads/* | Správa úloh. |
Čtenář monitorování
Čtenář monitorování může číst všechna data monitorování. V následující tabulce jsou uvedena oprávnění udělená pro roli:
| Akce | Popis |
|---|---|
| */read | Čtení všech typů prostředků kromě tajných kódů. |
| Microsoft.OperationalInsights/workspaces/search/action | Prohledávání pracovních prostorů Log Analytics. |
| Microsoft.Support/* | Vytváření a správa lístků podpory |
Správce uživatelských přístupů
Správce uživatelských přístupů: Může spravovat uživatelský přístup k prostředkům Azure. V následující tabulce jsou uvedena oprávnění udělená pro roli:
| Akce | Popis |
|---|---|
| */read | Čtení všech zdrojů |
| Microsoft.Authorization/* | Správa autorizace |
| Microsoft.Support/* | Vytváření a správa lístků podpory |
Oprávnění k přístupu role čtenáře
Důležité
K posílení celkového stavu zabezpečení Azure Automation by integrovaná čtečka RBAC neměla přístup k klíčům účtu Automation prostřednictvím volání rozhraní API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION.
Předdefinovaná role čtenáře pro účet Automation nemůže použít API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION k načtení klíčů účtu Automation. Jedná se o operaci s vysokým oprávněním poskytující citlivé informace, které mohou představovat bezpečnostní riziko nežádoucího subjektu s nízkými oprávněními, který může získat přístup ke klíčům účtu Automation a může provádět akce se zvýšenou úrovní oprávnění.
Pokud chcete získat přístup k požadavkům API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION, doporučujeme přepnout na předdefinované role, jako je vlastník, přispěvatel nebo přispěvatel automation, a získat tak přístup ke klíčům účtu Automation. Ve výchozím nastavení budou mít tyto role oprávnění listKeys . Jako osvědčený postup doporučujeme vytvořit vlastní roli s omezenými oprávněními pro přístup ke klíčům účtu Automation. Pro vlastní roli musíte přidat Microsoft.Automation/automationAccounts/listKeys/action oprávnění k definici role.
Přečtěte si další informace o tom, jak vytvořit vlastní roli z webu Azure Portal.
Oprávnění k nastavení funkcí
Následující části popisují minimální požadovaná oprávnění potřebná k povolení funkcí Update Management a Sledování změn a inventář.
Oprávnění pro povolení řešení Update Management a Sledování změn a inventář z virtuálního počítače
| Akce | Oprávnění | Minimální rozsah |
|---|---|---|
| Psaní nového nasazení | Microsoft.Resources/deployments/* | Předplatné |
| Zápis nové skupiny prostředků | Microsoft.Resources/subscriptions/resourceGroups/write | Předplatné |
| Vytvoření nového výchozího pracovního prostoru | Microsoft.OperationalInsights/workspaces/write | Skupina prostředků |
| Vytvořit nový účet | Microsoft.Automation/automationAccounts/write | Skupina prostředků |
| Propojení pracovního prostoru a účtu | Microsoft.OperationalInsights/workspaces/write Microsoft.Automation/automationAccounts/read |
Účet Služby Automation pracovního prostoru |
| Vytvoření rozšíření MMA | Microsoft.Compute/virtualMachines/write | Virtuální počítač |
| Vytvoření uloženého hledání | Microsoft.OperationalInsights/workspaces/write | Pracovní prostor |
| Vytvoření konfigurace oboru | Microsoft.OperationalInsights/workspaces/write | Pracovní prostor |
| Kontrola stavu onboardingu – Pracovní prostor pro čtení | Microsoft.OperationalInsights/workspaces/read | Pracovní prostor |
| Kontrola stavu onboardingu – Čtení vlastnosti propojeného pracovního prostoru účtu | Microsoft.Automation/automationAccounts/read | Účet Automation |
| Kontrola stavu onboardingu – Řešení pro čtení | Microsoft.OperationalInsights/workspaces/intelligencepacks/read | Řešení |
| Kontrola stavu onboardingu – Čtení virtuálního počítače | Microsoft.Compute/virtualMachines/read | Virtuální počítač |
| Kontrola stavu onboardingu – Čtení účtu | Microsoft.Automation/automationAccounts/read | Účet Automation |
| Kontrola pracovního prostoru onboardingu pro virtuální počítač1 | Microsoft.OperationalInsights/workspaces/read | Předplatné |
| Registrace poskytovatele Log Analytics | Microsoft.Insights/register/action | Předplatné |
1 Toto oprávnění je potřeba k povolení funkcí prostřednictvím portálu virtuálního počítače.
Oprávnění pro povolení řešení Update Management a Sledování změn a inventář z účtu Automation
| Akce | Oprávnění | Minimální rozsah |
|---|---|---|
| Vytvoření nového nasazení | Microsoft.Resources/deployments/* | Předplatné |
| Vytvoření nové skupiny prostředků | Microsoft.Resources/subscriptions/resourceGroups/write | Předplatné |
| Okno AutomationOnboarding – Vytvoření nového pracovního prostoru | Microsoft.OperationalInsights/workspaces/write | Skupina prostředků |
| Okno AutomationOnboarding – čtení propojeného pracovního prostoru | Microsoft.Automation/automationAccounts/read | Účet Automation |
| Okno AutomationOnboarding – řešení pro čtení | Microsoft.OperationalInsights/workspaces/intelligencepacks/read | Řešení |
| Okno AutomationOnboarding – pracovní prostor pro čtení | Microsoft.OperationalInsights/workspaces/intelligencepacks/read | Pracovní prostor |
| Vytvořit odkaz pro pracovní prostor a účet | Microsoft.OperationalInsights/workspaces/write | Pracovní prostor |
| Zápis účtu pro boty | Microsoft.Automation/automationAccounts/write | Obchodní vztah |
| Vytvoření nebo úprava uloženého hledání | Microsoft.OperationalInsights/workspaces/write | Pracovní prostor |
| Vytvoření nebo úprava konfigurace oboru | Microsoft.OperationalInsights/workspaces/write | Pracovní prostor |
| Registrace poskytovatele Log Analytics | Microsoft.Insights/register/action | Předplatné |
| Krok 2 – Povolení více virtuálních počítačů | ||
| Okno VMOnboarding – Vytvoření rozšíření MMA | Microsoft.Compute/virtualMachines/write | Virtuální počítač |
| Vytvoření nebo úprava uloženého hledání | Microsoft.OperationalInsights/workspaces/write | Pracovní prostor |
| Vytvoření nebo úprava konfigurace oboru | Microsoft.OperationalInsights/workspaces/write | Pracovní prostor |
Správa oprávnění role pro skupiny Hybrid Worker a Hybrid Workery
Ve službě Automation můžete vytvořit vlastní role Azure a udělit následující oprávnění skupinám Hybrid Worker a hybrid workerům:
- Hybrid Runbook Worker založený na rozšíření
- Hybrid Runbook Worker založený na agentech systému Windows
- Hybrid Runbook Worker založený na agentech s Linuxem
Oprávnění update Managementu
Řešení Update Management se dá použít k posouzení a plánování nasazení aktualizací na počítače v několika předplatných ve stejném tenantovi Microsoft Entra nebo napříč tenanty pomocí Služby Azure Lighthouse. Následující tabulka uvádí oprávnění potřebná ke správě nasazení aktualizací.
| Prostředek | Role | Scope |
|---|---|---|
| Účet Automation | Přispěvatel virtuálních počítačů | Skupina prostředků pro účet |
| Pracovní prostor služby Log Analytics | Přispěvatel Log Analytics | Pracovní prostor služby Log Analytics |
| Pracovní prostor služby Log Analytics | Čtenář Log Analytics | Předplatné |
| Řešení | Přispěvatel Log Analytics | Řešení |
| Virtuální počítač | Přispěvatel virtuálních počítačů | Virtuální počítač |
| Akce na virtuálním počítači | ||
| Zobrazení historie provádění plánu aktualizací (spuštění počítače konfigurace aktualizace softwaru) | Čtenář | Účet Automation |
| Akce na virtuálním počítači | Oprávnění | |
| Vytvoření plánu aktualizací (konfigurace aktualizací softwaru) | Microsoft.Compute/virtualMachines/write | Seznam statických virtuálních počítačů a skupiny prostředků |
| Vytvoření plánu aktualizací (konfigurace aktualizací softwaru) | Microsoft.OperationalInsights/workspaces/analytics/query/action | ID prostředku pracovního prostoru při použití dynamického seznamu mimo Azure |
Poznámka:
Při použití řešení Update Management se ujistěte, že zásady spouštění pro skripty jsou RemoteSigned.
Konfigurace Azure RBAC pro váš účet Automation
V následující části se dozvíte, jak nakonfigurovat Azure RBAC na účtu Automation prostřednictvím webu Azure Portal a PowerShellu.
Konfigurace Azure RBAC pomocí webu Azure Portal
Přihlaste se k webu Azure Portal a otevřete svůj účet Automation na stránce Účty Automation.
Vyberte Řízení přístupu (IAM) a ze seznamu dostupných rolí vyberte roli. Můžete zvolit některou z dostupných předdefinovaných rolí, které účet Automation podporuje, nebo jakoukoli vlastní roli, kterou jste mohli definovat. Přiřaďte roli uživateli, kterému chcete udělit oprávnění.
Podrobný postup najdete v tématu Přiřazování rolí Azure s využitím webu Azure Portal.
Poznámka:
Řízení přístupu na základě role můžete nastavit pouze v oboru účtu Automation a ne u žádného prostředku pod účtem Automation.
Odebrání přiřazení rolí uživateli
Oprávnění pro přístup můžete odebrat pro uživatele, který nespravuje účet Automation nebo kdo už pro organizaci nefunguje. Následující kroky ukazují, jak odebrat přiřazení rolí uživateli. Podrobný postup najdete v tématu Odebrání přiřazení rolí Azure:
Otevřete řízení přístupu (IAM) v rozsahu, jako je skupina pro správu, předplatné, skupina prostředků nebo zdroj, kde chcete odebrat přístup.
Výběrem karty Přiřazení rolí zobrazte všechna přiřazení rolí v tomto rozsahu.
V seznamu přiřazení rolí přidejte značku zaškrtnutí vedle uživatele s přiřazením role, které chcete odebrat.
Vyberte Odstranit.
Konfigurace Azure RBAC pomocí PowerShellu
Pomocí následujících rutin Azure PowerShellu můžete také nakonfigurovat přístup na základě role k účtu Automation:
Get-AzRoleDefinition obsahuje seznam všech rolí Azure, které jsou k dispozici v MICROSOFT Entra ID. Tuto rutinu s parametrem Name můžete použít k výpisu všech akcí, které může konkrétní role provést.
Get-AzRoleDefinition -Name 'Automation Operator'
Následuje příklad výstupu:
Name : Automation Operator
Id : d3881f73-407a-4167-8283-e981cbba0404
IsCustom : False
Description : Automation Operators are able to start, stop, suspend, and resume jobs
Actions : {Microsoft.Authorization/*/read, Microsoft.Automation/automationAccounts/jobs/read, Microsoft.Automation/automationAccounts/jobs/resume/action,
Microsoft.Automation/automationAccounts/jobs/stop/action...}
NotActions : {}
AssignableScopes : {/}
Get-AzRoleAssignment vypíše přiřazení rolí Azure v zadaném oboru. Bez parametrů vrátí tato rutina všechna přiřazení rolí provedená v rámci předplatného. Pomocí parametru ExpandPrincipalGroups můžete vypsat přiřazení přístupu pro zadaného uživatele a také skupiny, do nichž uživatel patří.
Příklad: Pomocí následující rutiny zobrazíte seznam všech uživatelů a jejich rolí v rámci účtu Automation.
Get-AzRoleAssignment -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'
Následuje příklad výstupu:
RoleAssignmentId : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
ers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName : admin@contoso.com
SignInName : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId : d3881f73-407a-4167-8283-e981cbba0404
ObjectId : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType : User
Pomocí rutiny New-AzRoleAssignment přiřaďte přístup uživatelům, skupinám a aplikacím ke konkrétnímu oboru.
Příklad: Pomocí následujícího příkazu přiřaďte roli Operátor automation pro uživatele v oboru účtu Automation.
New-AzRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName 'Automation operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'
Následuje příklad výstupu:
RoleAssignmentId : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
ers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName : admin@contoso.com
SignInName : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId : d3881f73-407a-4167-8283-e981cbba0404
ObjectId : bbbbbbbb-1111-2222-3333-cccccccccccc
ObjectType : User
Pomocí remove-AzRoleAssignment odeberte přístup zadaného uživatele, skupiny nebo aplikace z konkrétního oboru.
Příklad: Pomocí následujícího příkazu odeberte uživatele z role operátora Automation v oboru účtu Automation.
Remove-AzRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName 'Automation Operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'
V předchozím příkladu nahraďte sign-in ID of a user you wish to remove, SubscriptionID, Resource Group Namea Automation account name s podrobnostmi o účtu. Po zobrazení výzvy k potvrzení zvolte ano , než budete pokračovat v odebírání přiřazení rolí uživatele.
Uživatelské prostředí pro roli operátora Automation – účet Automation
Když uživatel přiřazený k roli operátora Automation v oboru účtu Automation zobrazí účet Automation, ke kterému je přiřazený, může uživatel zobrazit pouze seznam runbooků, úloh runbooků a plánů vytvořených v účtu Automation. Tento uživatel nemůže zobrazit definice těchto položek. Uživatel může spustit, zastavit, pozastavit, obnovit nebo naplánovat úlohu runbooku. Uživatel ale nemá přístup k jiným prostředkům služby Automation, jako jsou konfigurace, skupiny Hybrid Runbook Worker nebo uzly DSC.
Konfigurace Azure RBAC pro runbooky
Azure Automation umožňuje přiřadit role Azure konkrétním runbookům. Uděláte to tak, že spuštěním následujícího skriptu přidáte uživatele do konkrétního runbooku. Tento skript může spustit správce účtu Automation nebo správce tenanta.
$rgName = "<Resource Group Name>" # Resource Group name for the Automation account
$automationAccountName ="<Automation account name>" # Name of the Automation account
$rbName = "<Name of Runbook>" # Name of the runbook
$userId = "<User ObjectId>" # Azure Active Directory (AAD) user's ObjectId from the directory
# Gets the Automation account resource
$aa = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts" -ResourceName $automationAccountName
# Get the Runbook resource
$rb = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts/runbooks" -ResourceName "$rbName"
# The Automation Job Operator role only needs to be run once per user.
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Job Operator" -Scope $aa.ResourceId
# Adds the user to the Automation Runbook Operator role to the Runbook scope
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Runbook Operator" -Scope $rb.ResourceId
Po spuštění skriptu se přihlaste k webu Azure Portal a vyberte Všechny prostředky. V seznamu může uživatel zobrazit runbook, pro který byl přidán jako operátor runbooku automation.
Uživatelské prostředí pro roli operátora automation – Runbook
Když uživatel přiřazený k roli Operátor automatizace v oboru runbooku zobrazí přiřazený runbook, může spustit runbook pouze a zobrazit úlohy runbooku.
Další kroky
- Další informace o pokynech zabezpečení najdete v tématu Osvědčené postupy zabezpečení ve službě Azure Automation.
- Další informace o Azure RBAC pomocí PowerShellu najdete v tématu Přidání nebo odebrání přiřazení rolí Azure pomocí Azure PowerShellu.
- Podrobnosti o typech runbooků najdete v tématu Typy runbooků Azure Automation.
- Pokud chcete runbook spustit, přečtěte si téma Spuštění runbooku ve službě Azure Automation.