Sdílet prostřednictvím


Přehled ověřování účtů Azure Automation

Důležité

Účty Spustit jako pro Azure Automation, včetně účtů Spustit jako pro Classic, se vyřadily 30. září 2023 a nahradily spravované identity. Účty Spustit jako už nebudete moct vytvářet ani obnovovat prostřednictvím webu Azure Portal. Další informace najdete v tématu Migrace z existujících účtů Spustit jako na spravovanou identitu.

Azure Automation umožňuje automatizovat úlohy s prostředky v Azure, místně a u jiných poskytovatelů cloudu, například Amazon Web Services (AWS). Runbooky můžete použít k automatizaci úloh nebo funkce Hybrid Runbook Worker, pokud máte obchodní nebo provozní procesy pro správu mimo Azure. Práce v jakémkoli z těchto prostředí vyžaduje oprávnění k bezpečnému přístupu k prostředkům s minimálními požadovanými právy.

Tento článek popisuje scénáře ověřování podporované službou Azure Automation a vysvětluje, jak začít na základě prostředí nebo prostředí, která potřebujete spravovat.

Účet Automation

Při prvním spuštění služby Azure Automation vytvořte alespoň jeden účet Automation. Účty Automation umožňují izolovat prostředky Automation, runbooky, prostředky a konfigurace od prostředků jiných účtů. Účty Automation můžete použít k oddělení prostředků do samostatných logických prostředí nebo delegovaných zodpovědností. Jeden účet můžete například použít pro vývoj, druhý k produkci a další pro svoje místní prostředí. Nebo můžete vyhradit účet Automation ke správě aktualizací operačního systému ve všech počítačích pomocí řešení Update Management.

Účet Azure Automation se liší od účtu Microsoft a účtů vytvořených v rámci vašeho předplatného Azure. Úvod k vytvoření účtu Automation najdete v tématu Vytvoření účtu Automation.

Prostředky služby Automation

Prostředky Automation pro každý účet Automation jsou přidružené k jedné oblasti Azure, ale účet může spravovat všechny prostředky ve vašem předplatném Azure. Hlavním důvodem vytvoření účtů Automation v různých oblastech je, že máte zásady, které vyžadují izolaci dat a prostředků do konkrétní oblasti.

Všechny úlohy, které vytvoříte v prostředcích pomocí Azure Resource Manageru a rutin PowerShellu ve službě Azure Automation, se musí ověřit v Azure pomocí ověřování na základě přihlašovacích údajů organizační identity Microsoft Entra.

Spravované identity

Spravovaná identita ze služby Microsoft Entra ID umožňuje vašemu runbooku snadný přístup k dalším prostředkům chráněným službou Microsoft Entra. Identitu spravuje platforma Azure a nevyžaduje, abyste zřizovali nebo rotovali tajné kódy. Další informace o spravovaných identitách v Microsoft Entra ID najdete v tématu Spravované identity pro prostředky Azure.

Spravované identity představují doporučený způsob ověřování v runboocích a jedná se o výchozí metodu ověřování pro váš účet Automation.

Tady jsou některé z výhod použití spravovaných identit:

  • Použití spravované identity místo účtu Automation Spustit jako zjednodušuje správu.

  • Spravované identity je možné použít bez jakýchkoli dalších nákladů.

  • V kódu runbooku nemusíte zadávat objekt připojení Spustit jako. K prostředkům můžete přistupovat pomocí spravované identity účtu Automation z runbooku, aniž byste museli vytvářet certifikáty, připojení atd.

Účet Automation se může ověřit pomocí dvou typů spravovaných identit:

  • Identita přiřazená systémem je svázaná s vaší aplikací a při odstranění aplikace se odstraní. Aplikace může mít pouze jednu identitu přiřazenou systémem.

  • Identita přiřazená uživatelem je samostatný prostředek Azure, který je možné přiřadit k vaší aplikaci. Aplikace může mít více identit přiřazených uživatelem.

Poznámka:

Identity přiřazené uživateli jsou podporovány pouze pro cloudové úlohy. Další informace o různých spravovaných identitách najdete v tématu Správa typů identit.

Podrobnosti o používání spravovaných identit najdete v tématu Povolení spravované identity pro Azure Automation.

Oprávnění předplatného

Potřebujete oprávnění Microsoft.Authorization/*/Write . Toto oprávnění se získává prostřednictvím členství v některé z následujících předdefinovaných rolí Azure:

Další informace o oprávněních předplatného Classic najdete v tématu Správci předplatného Azure Classic.

Oprávnění pro Microsoft Entra

Abyste mohli obnovit instanční objekt, musíte být členem jedné z následujících předdefinovaných rolí Microsoft Entra:

Členství lze přiřadit všem uživatelům v tenantovi na úrovni adresáře, což je výchozí chování. Členství můžete udělit libovolné roli na úrovni adresáře. Další informace najdete v tématu Kdo má oprávnění přidávat aplikace do instance Microsoft Entra ID.

Oprávnění účtu služby Automation

Abyste mohli aktualizovat účet služby Automation, musíte být členem jedné z následujících rolí účtu služby Automation:

Další informace o modelech nasazení Azure Resource Manager a Classic najdete v tématu Resource Manager a klasické nasazení.

Poznámka:

Předplatná Azure Cloud Solution Provider (CSP) podporují pouze model Azure Resource Manageru. Služby jiné než Azure Resource Manager nejsou v programu k dispozici. Při použití předplatného CSP se nevytvoří účet Spustit jako Azure Classic, ale účet Spustit jako Azure. Další informace o předplatných CSP najdete v tématu Dostupné služby v předplatných CSP.

Řízení přístupu na základě role

Řízení přístupu na základě role je k dispozici v Azure Resource Manageru, aby uděloval povolené akce pro uživatelský účet Microsoft Entra a účet Spustit jako a ověřil instanční objekt. Přečtěte si článek Řízení přístupu na základě role ve službě Azure Automation, kde najdete další informace, které vám pomůžou s vývojem vašeho modelu pro správu oprávnění ve službě Automation.

Pokud máte přísné kontrolní mechanismy zabezpečení pro přiřazení oprávnění ve skupinách prostředků, musíte přiřadit členství účtu Spustit jako k roli Přispěvatel ve skupině prostředků.

Poznámka:

Ke spouštění úloh Automation doporučujeme nepoužívat roli Přispěvatel Log Analytics. Místo toho vytvořte vlastní roli Přispěvatel Azure Automation a použijte ji pro akce související s účtem Automation.

Ověřování runbooků pomocí funkce Hybrid Runbook Worker

Runbooky spuštěné v procesu Hybrid Runbook Worker ve vašem datacentru nebo výpočetních službách v jiných cloudových prostředích, jako je AWS, nemůžou používat stejnou metodu, která se obvykle používá pro runbooky ověřující prostředky Azure. Důvodem je to, že tyto prostředky jsou spuštěné mimo Azure a proto vyžadují vlastní přihlašovací údaje zabezpečení definované ve službě Automation, aby se ověřovaly v prostředcích, ke přistupují místně. Další informace o ověřování runbooků pomocí pracovních procesů sady Runbook naleznete v tématu Runbooky v procesu Hybrid Runbook Worker.

Pro runbooky, které na virtuálních počítačích Azure používají funkce Hybrid Runbook Worker, můžete k ověření prostředků Azure použít ověřování runbooků se spravovanými identitami místo účtů Spustit jako.

Další kroky