Compartir a través de

Migrar desde una cuenta de ejecución a identidades administradas

  • Artículo

Importante

  • La cuenta de ejecución Azure Automation se retiró el 30 de septiembre de 2023 y se sustituye por Identidades administradas. Se recomienda empezar a migrar los runbooks para usar identidades administradas. Para obtener más información, consulta migrar de una cuenta de ejecución existente a una identidad administrada.
  • Retrasar la función tiene un impacto directo en nuestra carga de soporte, ya que haría que fallaran las actualizaciones del agente de movilidad.

Este artículo muestra cómo migrar los runbooks para usar las identidades administradas de Azure Site Recovery. Los clientes de Azure Site Recovery utilizan cuentas de Azure Automation para actualizar automáticamente los agentes de sus máquinas virtuales protegidas. Site Recovery crea cuentas de ejecución de Azure Automation cuando habilitas la replicación a través de la hoja de máquina virtual y el almacén de Recovery Services.

En Azure, las identidades administradas eliminan la necesidad de que los desarrolladores tengan que administrar credenciales al proporcionar una identidad para el recurso de Azure en Microsoft Entra ID y usarla para obtener tokens de Microsoft Entra.

Requisitos previos

Antes de migrar de una cuenta de ejecución a una identidad administrada, asegúrese de que tiene los roles adecuados para crear una identidad asignada por el sistema para la cuenta de automatización y asignarle el rol Propietario en el almacén de servicios de recuperación correspondiente.

Nota:

Sin embargo, puede usar la misma cuenta de automatización en varios almacenes de Recovery Services; sin embargo, tanto la cuenta de automation como el almacén de Recovery Services deben estar en la misma región.

Ventajas de identidades administradas

Estas son algunas de las ventajas de usar las identidades administradas:

  • Acceso a credenciales - No es necesario administrar las credenciales.
  • Autenticación simplificada: puede usar identidades administradas para autenticarse en cualquier recurso que admita la autenticación de Microsoft Entra, incluidas sus propias aplicaciones.
  • Rentable - Las identidades administradas se pueden usar sin coste adicional.
  • Cifrado doble - La identidad administrada también se usa para cifrar o descifrar los datos y los metadatos mediante la clave administrada por el cliente almacenada en Azure Key Vault, lo que brinda cifrado doble.

Nota:

Identidades administradas para recursos de Azure es el nombre con el que ahora se conoce al servicio Managed Service Identity (MSI).

Migración desde una cuenta de ejecución existente a una identidad administrada

Configuración de identidades administradas

Puede configurar las identidades administradas mediante:

  • Azure Portal
  • Azure CLI
  • la plantilla de Azure Resource Manager (ARM)

Nota:

Para obtener más información sobre la cadencia de migración y la escala de tiempo de soporte técnico para la creación de cuentas de ejecución y la renovación de certificados, consulte las preguntas más frecuentes.

Desde Azure Portal

Para migrar el tipo de autenticación de tu cuenta de Azure Automation de Ejecutar como a una autenticación de identidad administrada, sigue estos pasos:

  1. En Azure Portal, selecciona el almacén de servicios de recuperación para el que deseas migrar los runbooks.

  2. En la página de inicio del almacén de los servicios de recuperación, haz lo siguiente:

    1. En el panel izquierdo, en Administrar, selecciona Infraestructura de Site Recovery. Captura de pantalla de la página **Infraestructura de Site Recovery**.

    2. En Para máquinas virtuales de Azure, selecciona Configuración de actualización de extensiones. Esta página detalla el tipo de autenticación para la cuenta de automatización que se usa para administrar las extensiones de Site Recovery.

    3. En esta página, selecciona Migrar para migrar el tipo de autenticación de tus cuentas de automatización para usar identidades administradas.

      Captura de pantalla de la página Create Recovery Services vault (Crear almacén de Recovery Services).

Nota:

Asegúrese de que la identidad administrada asignada por el sistema está desactivada para que aparezca el botón "Migrar" de la cuenta de Automation. Si la cuenta no está migrada y el botón "Migrar" no aparece, desactive la identidad administrada de la cuenta de Automation e inténtelo de nuevo.

  1. Después de la migración exitosa de su cuenta de automatización, se actualiza el tipo de autenticación para los detalles de la cuenta vinculada en la página de configuración de actualización de extensión.
  2. Una vez completada la operación de migración, active el botón Site Recovery para administrar para volver aactivarlo.

Cuando se migra correctamente desde una cuenta de ejecución a una cuenta de Identidades administradas, los siguientes cambios se reflejan en las cuentas de ejecución de Automation :

  • La identidad administrada asignada por el sistema está habilitada para la cuenta (si aún no está habilitada).
  • El permiso de la función Colaborador se asigna a la suscripción del almacén de Recovery Services.
  • Se actualiza el script que actualiza el agente de movilidad para usar la autenticación basada en identidad administrada.

Para vincular una cuenta de identidad administrada existente Automation a tu almacén de Recovery Services. Siga estos pasos:

Habilitación de la identidad administrada del almacén

  1. Ve a la cuenta de automatización que has seleccionado. En Configuración de la cuenta, selecciona Identidad.

    Captura de pantalla que muestra la página de configuración de la identidad.

  2. En Sistema asignado, cambie el Estado a Activado y selecciona Guardar.

    Se genera un identificador de objeto. El almacén ya está registrado en Azure Active Directory. Captura de pantalla que muestra la página de configuración de identidad del sistema.

  3. Volver al almacén de Recovery Services. En el panel izquierdo, selecciona la opción Control de acceso (IAM). Captura de pantalla que muestra la página de configuración de IAM.

  4. Selecciona Agregar>Agregar asignación de roles>Colaborador para abrir la página Agregar asignación de roles.

    Nota:

    Una vez establecida la cuenta de Automation, puede cambiar el rol de la cuenta de Colaborador a Colaborador de Site Recovery.

  5. En la página Agregar asignación de roles, asegúrate de seleccionar Identidad administrada.

  6. Escoge Seleccionar miembros. En el panel Seleccionar identidades administradas, haz lo siguiente:

    1. En el campo Seleccionar, escribe el nombre de la cuenta de automatización de identidad administrada.
    2. En el campo Identidad administrada, selecciona Todas las identidades administradas asignadas por el sistema.
    3. Escoge la opción Seleccionar miembros. Captura de pantalla que muestra la página de configuración de identidad administrada seleccionada.

  7. Seleccione Revisar y asignar.

  8. Vaya a la Configuración de actualización de la extensión en el almacén de Recovery Services y cambie el Site Recovery para administrar el botón para volver aactivarlo.

Pasos siguientes

Más información sobre: