Sdílet prostřednictvím


Migrace z existujícího účtu Spustit jako na spravované identity

Důležité

Účty Spustit jako pro Azure Automation, včetně účtů Spustit jako pro Classic, se vyřadily 30. září 2023 a nahradily spravované identity. Účty Spustit jako už nebudete moct vytvářet ani obnovovat prostřednictvím webu Azure Portal.

Další informace o četnosti migrace a časové ose podpory pro vytvoření účtu Spustit jako a prodloužení platnosti certifikátů najdete v nejčastějších dotazech.

Účty Spustit jako ve službě Azure Automation poskytují ověřování pro správu prostředků nasazených prostřednictvím Azure Resource Manageru nebo modelu nasazení Classic. Při každém vytvoření účtu Spustit jako se zaregistruje aplikace Microsoft Entra a vygeneruje se certifikát podepsaný svým držitelem. Tento certifikát je platný po dobu jednoho měsíce. Prodloužení platnosti certifikátu každý měsíc před vypršením platnosti zajistí, že účet Automation bude fungovat, ale přidá režii.

Nově můžete nakonfigurovat účty Automation tak, aby používaly spravovanou identitu, což je výchozí možnost při vytváření účtu Automation. Díky této funkci se účet Automation může ověřovat v prostředcích Azure bez nutnosti výměny přihlašovacích údajů. Spravovaná identita odstraňuje režii spojenou s obnovením certifikátu nebo správou instančního objektu.

Spravovanou identitu je možné přiřadit systémem nebo přiřadit uživatele. Při vytvoření nového účtu Automation se povolí spravovaná identita přiřazená systémem.

Požadavky

Před migrací z účtu Spustit jako nebo účtu Spustit jako pro Classic na spravovanou identitu:

  1. Vytvořte spravovanou identitu přiřazenou systémem nebo uživatelem nebo vytvořte oba typy. Další informace o rozdílech mezi nimi najdete v tématu Typy spravovaných identit.

    Poznámka:

    • Identity přiřazené uživateli jsou podporovány pouze pro cloudové úlohy. V procesu hybrid Runbook Worker není možné použít identitu účtu Automation spravovanou uživatelem. Pokud chcete používat hybridní úlohy, musíte vytvořit identity přiřazené systémem.
    • Spravované identity můžete použít dvěma způsoby ve skriptech Hybrid Runbook Worker: spravovanou identitu přiřazenou systémem pro účet Automation nebo spravovanou identitu virtuálního počítače pro virtuální počítač Azure běžící jako hybrid Runbook Worker.
    • Spravovaná identita přiřazená uživatelem virtuálního počítače a spravovaná identita přiřazená systémem virtuálního počítače nebudou fungovat v účtu Automation, který je nakonfigurovaný na spravovanou identitu účtu Automation. Pokud povolíte spravovanou identitu účtu Automation, můžete používat pouze spravovanou identitu účtu Automation přiřazenou systému, nikoli spravovanou identitu virtuálního počítače. Další informace najdete v tématu Použití ověřování runbooků se spravovanými identitami.
  2. Stejnou roli přiřaďte spravované identitě pro přístup k prostředkům Azure, které odpovídají účtu Spustit jako. Pomocí tohoto skriptu povolíte identitu přiřazenou systémem v účtu Automation a přiřadíte stejnou sadu oprávnění, která se nacházejí v účtu Spustit jako účet Azure Automation, k identitě přiřazené systémem účtu Automation.

    Pokud se například účet Automation vyžaduje jenom ke spuštění nebo zastavení virtuálního počítače Azure, oprávnění přiřazená k účtu Spustit jako musí být jenom pro spuštění nebo zastavení virtuálního počítače. Podobně přiřaďte oprávnění jen pro čtení, pokud runbook čte ze služby Azure Blob Storage. Další informace najdete v pokynech k zabezpečení služby Azure Automation.

  3. Pokud používáte účty Spustit jako pro Classic, ujistěte se, že jste migrovali prostředky nasazené prostřednictvím modelu nasazení Classic do Azure Resource Manageru.

  4. Pomocí tohoto skriptu zjistíte, které účty Automation používají účet Spustit jako. Pokud vaše účty Azure Automation obsahují účet Spustit jako, má ve výchozím nastavení přiřazenou předdefinované role přispěvatele. Pomocí skriptu můžete zkontrolovat účty Azure Automation Spustit jako a určit, jestli je jejich přiřazení role výchozí nebo jestli se změnilo na jinou definici role.

  5. Pomocí tohoto skriptu zjistíte, jestli všechny runbooky ve vašem účtu Automation používají účet Spustit jako.

Migrace z účtu Automation Spustit jako na spravovanou identitu

Pokud chcete migrovat z účtu Automation Spustit jako nebo účtu Spustit jako pro Classic na spravovanou identitu pro ověřování runbooku, postupujte takto:

  1. Změňte kód runbooku tak, aby používal spravovanou identitu.

    Doporučujeme spravovanou identitu otestovat a vytvořením kopie produkčního runbooku ověřit, jestli runbook funguje podle očekávání. Aktualizujte kód testovacího runbooku tak, aby se ověřil pomocí spravované identity. Tato metoda zajišťuje, že v produkčním runbooku nepřepíšete AzureRunAsConnection a přerušíte existující instanci Automation. Jakmile budete mít jistotu, že kód runbooku běží prostřednictvím spravované identity podle očekávání, aktualizujte produkční runbook tak, aby používal spravovanou identitu.

    Pro podporu spravovaných identit použijte rutinu Connect-AzAccount. Další informace o této rutině najdete v tématu Connect-AzAccount v referenčních informacích k PowerShellu.

    • Pokud používáte Az moduly, aktualizujte na nejnovější verzi podle kroků v článku Aktualizace modulů Azure PowerShellu.
    • Pokud používáte moduly AzureRM, aktualizujte AzureRM.Profile na nejnovější verzi a proveďte nahrazení pomocí rutiny Add-AzureRMAccount s Connect-AzureRMAccount –Identity.

    Pokud chcete porozumět změnám kódu runbooku, které jsou potřeba před použitím spravovaných identit, použijte ukázkové skripty.

  2. Pokud máte jistotu, že runbook běží úspěšně pomocí spravovaných identit, můžete účet Spustit jako bezpečně odstranit, pokud tento účet nepoužívá žádný jiný runbook.

Ukázkové skripty

Následující příklady skriptů runbooku načítají prostředky Resource Manageru pomocí účtu Spustit jako (instančního objektu) a spravované identity. Na začátku runbooku byste si všimli rozdílu v kódu runbooku, kde se ověřuje vůči prostředku.

Poznámka:

Povolte příslušná oprávnění RBAC pro systémovou identitu tohoto účtu Automation. Jinak může runbook selhat.

try
{
    "Logging in to Azure..."
    Connect-AzAccount -Identity
}
catch {
    Write-Error -Message $_.Exception
    throw $_.Exception
}

#Get all Resource Manager resources from all resource groups
$ResourceGroups = Get-AzResourceGroup

foreach ($ResourceGroup in $ResourceGroups)
{    
    Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName)
    $Resources = Get-AzResource -ResourceGroupName $ResourceGroup.ResourceGroupName
    foreach ($Resource in $Resources)
    {
        Write-Output ($Resource.Name + " of type " +  $Resource.ResourceType)
    }
    Write-Output ("")
}

Zobrazení ID klienta identity přiřazené uživatelem

  1. V účtu Automation v části Nastavení účtu vyberte Identita.

  2. Na kartě Přiřazení uživatele vyberte identitu přiřazenou uživatelem.

    Snímek obrazovky znázorňující navigační cestu k zobrazení ID klienta

  3. Pokud chcete zobrazit ID klienta, přejděte do části Základní informace o přehledu>.

    Snímek obrazovky znázorňující, jak zobrazit ID klienta

Grafické runbooky

Kontrola, jestli se účet Spustit jako používá v grafických runboocích

  1. Zkontrolujte všechny aktivity v rámci runbooku a zjistěte, jestli používá účet Spustit jako, když volá všechny přihlašovací rutiny nebo aliasy, například Add-AzRmAccount/Connect-AzRmAccount/Add-AzAccount/Connect-AzAccount.

    Snímek obrazovky znázorňující kontrolu, jestli grafický runbook používá účet Spustit jako

  2. Prozkoumejte parametry, které rutina používá.

    Snímek obrazovky znázorňující zkoumání parametrů používaných rutinou

    Pro použití s účtem Spustit jako používá rutina ServicePrincipalCertificate parametr nastavený na ApplicationId. CertificateThumbprint bude od RunAsAccountConnection.

    Snímek obrazovky znázorňující sady parametrů

Úprava grafického runbooku pro použití spravované identity

Spravovanou identitu musíte otestovat, abyste ověřili, že grafický runbook funguje podle očekávání. Vytvořte kopii produkčního runbooku pro použití spravované identity a pak aktualizujte testovací grafický kód runbooku, aby se ověřil pomocí spravované identity. Tuto funkci můžete přidat do grafického runbooku přidáním rutiny Connect-AzAccount .

Následující kroky obsahují příklad, který ukazuje, jak může grafický runbook, který používá účet Spustit jako, používat spravované identity:

  1. Přihlaste se k portálu Azure.

  2. Otevřete účet Automation a pak vyberte runbooky Process Automation>.

  3. Vyberte runbook. Vyberte například runbook Spustit virtuální počítače Azure V2 ze seznamu a pak vyberte Upravit nebo přejděte do Galerie procházení a vyberte Spustit virtuální počítače Azure V2.

    Snímek obrazovky s úpravou grafického runbooku

  4. Nahraďte připojení Spustit jako, které používá AzureRunAsConnection , a prostředek připojení, který interně používá rutinu PowerShellu Get-AutomationConnection s rutinou Connect-AzAccount .

  5. Chcete-li odstranit aktivityGet Run As Connection, Connect to Azure vyberte Odstranit.

    Snímek obrazovky pro připojení k aktivitám Azure

  6. V levém panelu v části RUNBOOK CONTROL vyberte Kód a pak vyberte Přidat na plátno.

    Snímek obrazovky pro výběr kódu a jeho přidání na plátno

  7. Upravte aktivitu kódu, přiřaďte libovolný odpovídající název popisku a vyberte logiku aktivity Autor.

    Snímek obrazovky pro úpravu aktivity s kódem

  8. Na stránce Editor kódu zadejte následující kód PowerShellu a vyberte OK.

    try 
    { 
       Write-Output ("Logging in to Azure...") 
       Connect-AzAccount -Identity 
    } 
    catch { 
       Write-Error -Message $_.Exception 
       throw $_.Exception 
    } 
    
  9. Připojte novou aktivitu k aktivitám připojeným službou Connect k Azure dříve a uložte runbook.

    Snímek obrazovky pro připojení nové aktivity k aktivitám

Například v runbooku Spustit virtuální počítače Azure V2 v galerii runbooků musíte nahradit Get Run As Connection a Connect to Azure aktivity aktivitou s kódem, která používá Connect-AzAccount rutinu, jak je popsáno výše. Další informace najdete v ukázkovém runbooku s názvem AzureAutomationTutorialWithIdentityGraphical , který je vytvořený pomocí účtu Automation.

Poznámka:

Moduly AzureRM PowerShellu se 29. února 2024 vyřazuje z provozu. Pokud používáte moduly AzureRM PowerShellu v grafických runboocích, musíte je upgradovat, aby používaly moduly Az PowerShellu. Další informace.

Další kroky