Migrace z existujícího účtu Spustit jako na spravované identity
Důležité
Účty Spustit jako pro Azure Automation, včetně účtů Spustit jako pro Classic, se vyřadily 30. září 2023 a nahradily spravované identity. Účty Spustit jako už nebudete moct vytvářet ani obnovovat prostřednictvím webu Azure Portal.
Další informace o četnosti migrace a časové ose podpory pro vytvoření účtu Spustit jako a prodloužení platnosti certifikátů najdete v nejčastějších dotazech.
Účty Spustit jako ve službě Azure Automation poskytují ověřování pro správu prostředků nasazených prostřednictvím Azure Resource Manageru nebo modelu nasazení Classic. Při každém vytvoření účtu Spustit jako se zaregistruje aplikace Microsoft Entra a vygeneruje se certifikát podepsaný svým držitelem. Tento certifikát je platný po dobu jednoho měsíce. Prodloužení platnosti certifikátu každý měsíc před vypršením platnosti zajistí, že účet Automation bude fungovat, ale přidá režii.
Nově můžete nakonfigurovat účty Automation tak, aby používaly spravovanou identitu, což je výchozí možnost při vytváření účtu Automation. Díky této funkci se účet Automation může ověřovat v prostředcích Azure bez nutnosti výměny přihlašovacích údajů. Spravovaná identita odstraňuje režii spojenou s obnovením certifikátu nebo správou instančního objektu.
Spravovanou identitu je možné přiřadit systémem nebo přiřadit uživatele. Při vytvoření nového účtu Automation se povolí spravovaná identita přiřazená systémem.
Požadavky
Před migrací z účtu Spustit jako nebo účtu Spustit jako pro Classic na spravovanou identitu:
Vytvořte spravovanou identitu přiřazenou systémem nebo uživatelem nebo vytvořte oba typy. Další informace o rozdílech mezi nimi najdete v tématu Typy spravovaných identit.
Poznámka:
- Identity přiřazené uživateli jsou podporovány pouze pro cloudové úlohy. V procesu hybrid Runbook Worker není možné použít identitu účtu Automation spravovanou uživatelem. Pokud chcete používat hybridní úlohy, musíte vytvořit identity přiřazené systémem.
- Spravované identity můžete použít dvěma způsoby ve skriptech Hybrid Runbook Worker: spravovanou identitu přiřazenou systémem pro účet Automation nebo spravovanou identitu virtuálního počítače pro virtuální počítač Azure běžící jako hybrid Runbook Worker.
- Spravovaná identita přiřazená uživatelem virtuálního počítače a spravovaná identita přiřazená systémem virtuálního počítače nebudou fungovat v účtu Automation, který je nakonfigurovaný na spravovanou identitu účtu Automation. Pokud povolíte spravovanou identitu účtu Automation, můžete používat pouze spravovanou identitu účtu Automation přiřazenou systému, nikoli spravovanou identitu virtuálního počítače. Další informace najdete v tématu Použití ověřování runbooků se spravovanými identitami.
Stejnou roli přiřaďte spravované identitě pro přístup k prostředkům Azure, které odpovídají účtu Spustit jako. Pomocí tohoto skriptu povolíte identitu přiřazenou systémem v účtu Automation a přiřadíte stejnou sadu oprávnění, která se nacházejí v účtu Spustit jako účet Azure Automation, k identitě přiřazené systémem účtu Automation.
Pokud se například účet Automation vyžaduje jenom ke spuštění nebo zastavení virtuálního počítače Azure, oprávnění přiřazená k účtu Spustit jako musí být jenom pro spuštění nebo zastavení virtuálního počítače. Podobně přiřaďte oprávnění jen pro čtení, pokud runbook čte ze služby Azure Blob Storage. Další informace najdete v pokynech k zabezpečení služby Azure Automation.
Pokud používáte účty Spustit jako pro Classic, ujistěte se, že jste migrovali prostředky nasazené prostřednictvím modelu nasazení Classic do Azure Resource Manageru.
Pomocí tohoto skriptu zjistíte, které účty Automation používají účet Spustit jako. Pokud vaše účty Azure Automation obsahují účet Spustit jako, má ve výchozím nastavení přiřazenou předdefinované role přispěvatele. Pomocí skriptu můžete zkontrolovat účty Azure Automation Spustit jako a určit, jestli je jejich přiřazení role výchozí nebo jestli se změnilo na jinou definici role.
Pomocí tohoto skriptu zjistíte, jestli všechny runbooky ve vašem účtu Automation používají účet Spustit jako.
Migrace z účtu Automation Spustit jako na spravovanou identitu
Pokud chcete migrovat z účtu Automation Spustit jako nebo účtu Spustit jako pro Classic na spravovanou identitu pro ověřování runbooku, postupujte takto:
Změňte kód runbooku tak, aby používal spravovanou identitu.
Doporučujeme spravovanou identitu otestovat a vytvořením kopie produkčního runbooku ověřit, jestli runbook funguje podle očekávání. Aktualizujte kód testovacího runbooku tak, aby se ověřil pomocí spravované identity. Tato metoda zajišťuje, že v produkčním runbooku nepřepíšete
AzureRunAsConnection
a přerušíte existující instanci Automation. Jakmile budete mít jistotu, že kód runbooku běží prostřednictvím spravované identity podle očekávání, aktualizujte produkční runbook tak, aby používal spravovanou identitu.Pro podporu spravovaných identit použijte rutinu
Connect-AzAccount
. Další informace o této rutině najdete v tématu Connect-AzAccount v referenčních informacích k PowerShellu.- Pokud používáte
Az
moduly, aktualizujte na nejnovější verzi podle kroků v článku Aktualizace modulů Azure PowerShellu. - Pokud používáte moduly AzureRM, aktualizujte
AzureRM.Profile
na nejnovější verzi a proveďte nahrazení pomocí rutinyAdd-AzureRMAccount
sConnect-AzureRMAccount –Identity
.
Pokud chcete porozumět změnám kódu runbooku, které jsou potřeba před použitím spravovaných identit, použijte ukázkové skripty.
- Pokud používáte
Pokud máte jistotu, že runbook běží úspěšně pomocí spravovaných identit, můžete účet Spustit jako bezpečně odstranit, pokud tento účet nepoužívá žádný jiný runbook.
Ukázkové skripty
Následující příklady skriptů runbooku načítají prostředky Resource Manageru pomocí účtu Spustit jako (instančního objektu) a spravované identity. Na začátku runbooku byste si všimli rozdílu v kódu runbooku, kde se ověřuje vůči prostředku.
Poznámka:
Povolte příslušná oprávnění RBAC pro systémovou identitu tohoto účtu Automation. Jinak může runbook selhat.
try
{
"Logging in to Azure..."
Connect-AzAccount -Identity
}
catch {
Write-Error -Message $_.Exception
throw $_.Exception
}
#Get all Resource Manager resources from all resource groups
$ResourceGroups = Get-AzResourceGroup
foreach ($ResourceGroup in $ResourceGroups)
{
Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName)
$Resources = Get-AzResource -ResourceGroupName $ResourceGroup.ResourceGroupName
foreach ($Resource in $Resources)
{
Write-Output ($Resource.Name + " of type " + $Resource.ResourceType)
}
Write-Output ("")
}
Zobrazení ID klienta identity přiřazené uživatelem
V účtu Automation v části Nastavení účtu vyberte Identita.
Na kartě Přiřazení uživatele vyberte identitu přiřazenou uživatelem.
Pokud chcete zobrazit ID klienta, přejděte do části Základní informace o přehledu>.
Grafické runbooky
Kontrola, jestli se účet Spustit jako používá v grafických runboocích
Zkontrolujte všechny aktivity v rámci runbooku a zjistěte, jestli používá účet Spustit jako, když volá všechny přihlašovací rutiny nebo aliasy, například
Add-AzRmAccount/Connect-AzRmAccount/Add-AzAccount/Connect-AzAccount
.Prozkoumejte parametry, které rutina používá.
Pro použití s účtem Spustit jako používá rutina
ServicePrincipalCertificate
parametr nastavený naApplicationId
.CertificateThumbprint
bude odRunAsAccountConnection
.
Úprava grafického runbooku pro použití spravované identity
Spravovanou identitu musíte otestovat, abyste ověřili, že grafický runbook funguje podle očekávání. Vytvořte kopii produkčního runbooku pro použití spravované identity a pak aktualizujte testovací grafický kód runbooku, aby se ověřil pomocí spravované identity. Tuto funkci můžete přidat do grafického runbooku přidáním rutiny Connect-AzAccount
.
Následující kroky obsahují příklad, který ukazuje, jak může grafický runbook, který používá účet Spustit jako, používat spravované identity:
Přihlaste se k portálu Azure.
Otevřete účet Automation a pak vyberte runbooky Process Automation>.
Vyberte runbook. Vyberte například runbook Spustit virtuální počítače Azure V2 ze seznamu a pak vyberte Upravit nebo přejděte do Galerie procházení a vyberte Spustit virtuální počítače Azure V2.
Nahraďte připojení Spustit jako, které používá
AzureRunAsConnection
, a prostředek připojení, který interně používá rutinu PowerShelluGet-AutomationConnection
s rutinouConnect-AzAccount
.Chcete-li odstranit aktivity
Get Run As Connection
,Connect to Azure
vyberte Odstranit.V levém panelu v části RUNBOOK CONTROL vyberte Kód a pak vyberte Přidat na plátno.
Upravte aktivitu kódu, přiřaďte libovolný odpovídající název popisku a vyberte logiku aktivity Autor.
Na stránce Editor kódu zadejte následující kód PowerShellu a vyberte OK.
try { Write-Output ("Logging in to Azure...") Connect-AzAccount -Identity } catch { Write-Error -Message $_.Exception throw $_.Exception }
Připojte novou aktivitu k aktivitám připojeným službou Connect k Azure dříve a uložte runbook.
Například v runbooku Spustit virtuální počítače Azure V2 v galerii runbooků musíte nahradit Get Run As Connection
a Connect to Azure
aktivity aktivitou s kódem, která používá Connect-AzAccount
rutinu, jak je popsáno výše.
Další informace najdete v ukázkovém runbooku s názvem AzureAutomationTutorialWithIdentityGraphical , který je vytvořený pomocí účtu Automation.
Poznámka:
Moduly AzureRM PowerShellu se 29. února 2024 vyřazuje z provozu. Pokud používáte moduly AzureRM PowerShellu v grafických runboocích, musíte je upgradovat, aby používaly moduly Az PowerShellu. Další informace.
Další kroky
Projděte si nejčastější dotazy týkající se migrace na spravované identity.
Pokud se runbooky úspěšně nedokončí, projděte si řešení potíží se spravovanou identitou služby Azure Automation.
Další informace o spravovaných identitách přiřazených systémem najdete v tématu Použití spravované identity přiřazené systémem pro účet Azure Automation.
Další informace o spravovaných identitách přiřazených uživatelem najdete v tématu Použití spravované identity přiřazené uživatelem pro účet Azure Automation.
Informace o zabezpečení účtu Azure Automation najdete v přehledu ověřování účtů Azure Automation.