Używanie tożsamości zarządzanej przypisanej przez użytkownika w przypadku konta usługi Azure Automation
W tym artykule pokazano, jak dodać tożsamość zarządzaną przypisaną przez użytkownika dla konta usługi Azure Automation i jak używać jej do uzyskiwania dostępu do innych zasobów. Aby uzyskać więcej informacji na temat sposobu pracy tożsamości zarządzanych z usługą Azure Automation, zobacz Tożsamości zarządzane.
Uwaga
Nie można użyć tożsamości zarządzanej przypisanej przez użytkownika w hybrydowym procesie roboczym elementu Runbook, gdy tożsamość zarządzana (system lub przypisany przez użytkownika) została utworzona dla konta usługi Automation. Jeśli tożsamość zarządzana nie została przypisana do konta usługi Automation, można użyć tożsamości zarządzanej przypisanej przez system lub użytkownika maszyny wirtualnej w hybrydowym procesie roboczym elementu Runbook, który jest maszyną wirtualną platformy Azure z przypisanymi tożsamościami zarządzanymi.
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
Wymagania wstępne
Konto usługi Azure Automation. Aby uzyskać instrukcje, zobacz Tworzenie konta usługi Azure Automation.
Tożsamość zarządzana przypisana przez użytkownika i docelowe zasoby platformy Azure zarządzane przez element Runbook mogą znajdować się w różnych subskrypcjach platformy Azure.
Najnowsza wersja modułów konta platformy Azure. Obecnie jest to wersja 2.2.8. (Zobacz Az.Accounts zawiera szczegółowe informacje o tej wersji).
Zasób platformy Azure, do którego chcesz uzyskać dostęp z poziomu elementu Runbook usługi Automation. Ten zasób musi mieć rolę zdefiniowaną dla tożsamości zarządzanej przypisanej przez użytkownika, która ułatwia elementowi Runbook usługi Automation uwierzytelnianie dostępu do zasobu. Aby dodać role, musisz być właścicielem zasobu w odpowiedniej dzierżawie Microsoft Entra.
Aby przypisać rolę platformy Azure, musisz mieć
Microsoft.Authorization/roleAssignments/write
uprawnienia, takie jak administrator dostępu użytkowników lub właściciel.
Dodawanie tożsamości zarządzanej przypisanej przez użytkownika dla konta usługi Azure Automation
Tożsamość zarządzaną przypisaną przez użytkownika można dodać dla konta usługi Azure Automation przy użyciu witryny Azure Portal, programu PowerShell, interfejsu API REST platformy Azure lub szablonu usługi ARM. W przykładach dotyczących programu PowerShell najpierw zaloguj się do platformy Azure interaktywnie przy użyciu polecenia cmdlet Connect-AzAccount i postępuj zgodnie z instrukcjami.
# Sign in to your Azure subscription
$sub = Get-AzSubscription -ErrorAction SilentlyContinue
if(-not($sub))
{
Connect-AzAccount
}
# If you have multiple subscriptions, set the one to use
# Select-AzSubscription -SubscriptionId "<SUBSCRIPTIONID>"
Następnie zainicjuj zestaw zmiennych, które będą używane w różnych przykładach. Popraw poniższe wartości, a następnie wykonaj"
$subscriptionID = "subscriptionID"
$resourceGroup = "resourceGroupName"
$automationAccount = "automationAccountName"
$userAssignedOne = "userAssignedIdentityOne"
$userAssignedTwo = "userAssignedIdentityTwo"
Dodawanie przy użyciu witryny Azure Portal
Wykonaj następujące kroki:
Zaloguj się w witrynie Azure Portal.
W witrynie Azure Portal przejdź do swojego konta usługi Automation.
W obszarze Ustawienia konta wybierz pozycję Tożsamość.
Wybierz kartę Użytkownik przypisany , a następnie wybierz pozycję Dodaj.
Wybierz istniejącą tożsamość zarządzaną przypisaną przez użytkownika, a następnie wybierz pozycję Dodaj. Następnie nastąpi powrót do karty Przypisane przez użytkownika.
Dodawanie przy użyciu programu PowerShell
Użyj polecenia cmdlet programu PowerShell Set-AzAutomationAccount , aby dodać tożsamości zarządzane przypisane przez użytkownika. Najpierw należy rozważyć, czy istnieje tożsamość zarządzana przypisana przez system. W poniższym przykładzie dwie istniejące tożsamości zarządzane przypisane przez użytkownika są dodawane do istniejącego konta usługi Automation, co spowoduje wyłączenie tożsamości zarządzanej przypisanej przez system, jeśli taka istnieje.
$output = Set-AzAutomationAccount `
-ResourceGroupName $resourceGroup `
-Name $automationAccount `
-AssignUserIdentity "/subscriptions/$subscriptionID/resourcegroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedOne", `
"/subscriptions/$subscriptionID/resourcegroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedTwo"
$output
Aby zachować istniejącą tożsamość zarządzaną przypisaną przez system, użyj:
$output = Set-AzAutomationAccount `
-ResourceGroupName $resourceGroup `
-Name $automationAccount `
-AssignUserIdentity "/subscriptions/$subscriptionID/resourcegroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedOne", `
"/subscriptions/$subscriptionID/resourcegroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedTwo" `
-AssignSystemIdentity
$output
Dane wyjściowe powinny wyglądać mniej więcej tak:
Aby uzyskać dodatkowe dane wyjściowe, wykonaj polecenie: $output.identity | ConvertTo-Json
.
Dodawanie przy użyciu interfejsu API REST
Poniżej podano składnię i przykładowe kroki.
Składnia
Poniższa przykładowa składnia treści umożliwia przypisaną przez system tożsamość zarządzaną, jeśli nie została jeszcze włączona i przypisuje dwie istniejące tożsamości zarządzane przypisane przez użytkownika do istniejącego konta usługi Automation.
PATCH
{
"identity": {
"type": "SystemAssigned, UserAssigned",
"userAssignedIdentities": {
"/subscriptions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0/resourceGroups/resource-group-name/providers/Microsoft.ManagedIdentity/userAssignedIdentities/firstIdentity": {},
"/subscriptions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0/resourceGroups/resource-group-name/providers/Microsoft.ManagedIdentity/userAssignedIdentities/secondIdentity": {}
}
}
}
Składnia API jest następująca:
https://management.azure.com/subscriptions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0/resourceGroups/resource-group-name/providers/Microsoft.Automation/automationAccounts/automation-account-name?api-version=2020-01-13-preview
Przykład
Wykonaj następujące kroki.
Popraw składnię treści powyżej do pliku o nazwie
body_ua.json
. Zapisz plik na komputerze lokalnym lub na koncie usługi Azure Storage.Popraw wartość zmiennej poniżej, a następnie wykonaj polecenie .
$file = "path\body_ua.json"
W tym przykładzie użyto polecenia cmdlet Programu PowerShell Invoke-RestMethod , aby wysłać żądanie PATCH do konta usługi Automation.
# build URI $URI = "https://management.azure.com/subscriptions/$subscriptionID/resourceGroups/$resourceGroup/providers/Microsoft.Automation/automationAccounts/$automationAccount`?api-version=2020-01-13-preview" # build body $body = Get-Content $file # obtain access token $azContext = Get-AzContext $azProfile = [Microsoft.Azure.Commands.Common.Authentication.Abstractions.AzureRmProfileProvider]::Instance.Profile $profileClient = New-Object -TypeName Microsoft.Azure.Commands.ResourceManager.Common.RMProfileClient -ArgumentList ($azProfile) $token = $profileClient.AcquireAccessToken($azContext.Subscription.TenantId) $authHeader = @{ 'Content-Type'='application/json' 'Authorization'='Bearer ' + $token.AccessToken } # Invoke the REST API $response = Invoke-RestMethod -Uri $URI -Method PATCH -Headers $authHeader -Body $body # Review output $response.identity | ConvertTo-Json
Dane wyjściowe powinny wyglądać mniej więcej tak:
{ "type": "SystemAssigned, UserAssigned", "principalId": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0", "tenantId": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0", "userAssignedIdentities": { "/subscriptions/ContosoID/resourcegroups/ContosoLab/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ContosoUAMI1": { "PrincipalId": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0", "ClientId": "00001111-aaaa-2222-bbbb-3333cccc4444" }, "/subscriptions/ContosoID/resourcegroups/ContosoLab/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ContosoUAMI2": { "PrincipalId": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0", "ClientId": "00001111-aaaa-2222-bbbb-3333cccc4444" } } }
Dodawanie przy użyciu szablonu usługi ARM
Poniżej podano składnię i przykładowe kroki.
Składnia szablonu
Poniższa przykładowa składnia szablonu umożliwia przypisaną przez system tożsamość zarządzaną, jeśli nie została jeszcze włączona i przypisuje dwie istniejące tożsamości zarządzane przypisane przez użytkownika do istniejącego konta usługi Automation.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"automationAccountName": {
"defaultValue": "YourAutomationAccount",
"type": "String",
"metadata": {
"description": "Automation account name"
}
},
"userAssignedOne": {
"defaultValue": "userAssignedOne",
"type": "String",
"metadata": {
"description": "User-assigned managed identity"
}
},
"userAssignedTwo": {
"defaultValue": "userAssignedTwo",
"type": "String",
"metadata": {
"description": "User-assigned managed identity"
}
}
},
"resources": [
{
"type": "Microsoft.Automation/automationAccounts",
"apiVersion": "2020-01-13-preview",
"name": "[parameters('automationAccountName')]",
"location": "[resourceGroup().location]",
"identity": {
"type": "SystemAssigned, UserAssigned",
"userAssignedIdentities": {
"[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',parameters('userAssignedOne'))]": {},
"[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',parameters('userAssignedTwo'))]": {}
}
},
"properties": {
"sku": {
"name": "Basic"
},
"encryption": {
"keySource": "Microsoft.Automation",
"identity": {}
}
}
}
]
}
Przykład
Wykonaj następujące kroki.
Skopiuj i wklej szablon do pliku o nazwie
template_ua.json
. Zapisz plik na komputerze lokalnym lub na koncie usługi Azure Storage.Popraw wartość zmiennej poniżej, a następnie wykonaj polecenie .
$templateFile = "path\template_ua.json"
Użyj polecenia cmdlet programu PowerShell New-AzResourceGroupDeployment , aby wdrożyć szablon.
New-AzResourceGroupDeployment ` -Name "UserAssignedDeployment" ` -ResourceGroupName $resourceGroup ` -TemplateFile $templateFile ` -automationAccountName $automationAccount ` -userAssignedOne $userAssignedOne ` -userAssignedTwo $userAssignedTwo
Polecenie nie spowoduje wygenerowania danych wyjściowych; Możesz jednak użyć poniższego kodu, aby sprawdzić:
(Get-AzAutomationAccount ` -ResourceGroupName $resourceGroup ` -Name $automationAccount).Identity | ConvertTo-Json
Dane wyjściowe będą wyglądać podobnie do danych wyjściowych przedstawionych dla przykładu interfejsu API REST powyżej.
Przypisywanie roli do tożsamości zarządzanej przypisanej przez użytkownika
Konto usługi Automation może używać tożsamości zarządzanej przypisanej przez użytkownika, aby pobierać tokeny w celu uzyskania dostępu do innych zasobów chronionych przez usługę Microsoft Entra ID, takich jak Azure Key Vault. Te tokeny nie reprezentują żadnego konkretnego użytkownika aplikacji. Reprezentują aplikację, która uzyskuje dostęp do zasobu. W tym przykładzie token reprezentuje konto usługi Automation.
Zanim będzie można korzystać z tożsamości zarządzanej przypisanej przez użytkownika na potrzeby uwierzytelniania, należy skonfigurować dla tej tożsamości dostęp do zasobu platformy Azure, z którym będziesz jej używać. W tym celu przypisz do tej tożsamości odpowiednią rolę w kontekście docelowego zasobu platformy Azure.
Postępuj zgodnie z zasadą najniższego wymaganego poziomu uprawnień i przypisz tylko uprawnienia wymagane do wykonania elementu runbook. Jeśli na przykład konto usługi Automation wymaga tylko możliwości uruchamiania lub zatrzymywania maszyny wirtualnej platformy Azure, do konta Uruchom jako lub do tożsamości zarządzanej powinny być przypisane tylko uprawnienia do uruchamiania lub zatrzymywania maszyny wirtualnej. Podobnie jeśli element runbook odczytuje dane z magazynu obiektów blob, przypisz uprawnienia tylko do odczytu.
W tym przykładzie użyto programu Azure PowerShell, aby pokazać, jak przypisać rolę Współautor w subskrypcji do docelowego zasobu platformy Azure. Rola Współautor jest używana jako przykład i może nie być wymagana w Twoim przypadku. Alternatywnie możesz również przypisać rolę do docelowego zasobu platformy Azure w witrynie Azure Portal.
New-AzRoleAssignment `
-ObjectId <automation-Identity-object-id> `
-Scope "/subscriptions/<subscription-id>" `
-RoleDefinitionName "Contributor"
Weryfikowanie przypisania roli do tożsamości zarządzanej przez użytkownika
Aby zweryfikować rolę przypisanej przez użytkownika tożsamości zarządzanej konta usługi Automation, wykonaj następujące czynności:
Zaloguj się w witrynie Azure Portal.
Przejdź do konta usługi Automation.
W obszarze Ustawienia konta wybierz pozycję Tożsamość, Przypisana przez użytkownika.
Kliknij pozycję Nazwa tożsamości przypisanej przez użytkownika.
Jeśli przypisano już role do wybranej tożsamości zarządzanej przypisanej przez użytkownika, będzie widoczna lista przypisań ról. Ta lista zawiera wszystkie przypisania ról, do których masz uprawnienia do odczytu.
Aby zmienić subskrypcję, kliknij listę rozwijaną Subskrypcja i wybierz odpowiednią subskrypcję.
Kliknij pozycję Dodaj przypisanie roli (wersja zapoznawcza)
Z listy rozwijanej wybierz zestaw zasobów, które ma zastosowanie przypisanie roli — subskrypcja, grupa zasobów, rola i zakres.
Jeśli nie masz przypisania roli, możesz wyświetlić uprawnienia do zapisu dla wybranego zakresu jako komunikat wbudowany.Z listy rozwijanej Rola wybierz rolę Współautor maszyny wirtualnej.
Kliknij przycisk Zapisz.
Po kilku minutach do tożsamości zarządzanej zostanie przypisana rola w wybranym zakresie.
Uwierzytelnianie dostępu za pomocą tożsamości zarządzanej przypisanej przez użytkownika
Po włączeniu tożsamości zarządzanej przypisanej przez użytkownika dla konta usługi Automation i zezwoleniu tej tożsamości na dostęp do zasobu docelowego można wskazać tę tożsamość w elementach runbook dla zasobów, które obsługują tożsamość zarządzaną. Aby sprawdzić obsługę tożsamości zarządzanej, użyj polecenia cmdlet modułu Az Connect-AzAccount.
# Ensures you do not inherit an AzContext in your runbook
Disable-AzContextAutosave -Scope Process
# Connect to Azure with user-assigned managed identity
$AzureContext = (Connect-AzAccount -Identity -AccountId <user-assigned-identity-ClientId>).context
# set and store context
$AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription -DefaultProfile $AzureContext
Generowanie tokenu dostępu bez używania poleceń cmdlet platformy Azure
W przypadku punktów końcowych HTTP upewnij się, że są następujące.
- Nagłówek metadanych musi być obecny i powinien być ustawiony na wartość "true".
- Zasób musi zostać przekazany wraz z żądaniem, jako parametr zapytania dla żądania GET i jako dane formularza dla żądania POST.
- Ustaw wartość zmiennej środowiskowej IDENTITY_HEADER na X-IDENTITY-HEADER.
- Typ zawartości dla żądania Post musi mieć wartość
application/x-www-form-urlencoded
.
Uzyskiwanie tokenu dostępu dla tożsamości zarządzanej przypisanej przez użytkownika przy użyciu protokołu HTTP Get
$resource= "?resource=https://management.azure.com/"
$client_id="&client_id=<ClientId of USI>"
$url = $env:IDENTITY_ENDPOINT + $resource + $client_id
$Headers = New-Object "System.Collections.Generic.Dictionary[[String],[String]]"
$Headers.Add("Metadata", "True")
$headers.Add("X-IDENTITY-HEADER", $env:IDENTITY_HEADER)
$accessToken = Invoke-RestMethod -Uri $url -Method 'GET' -Headers $Headers
Write-Output $accessToken.access_token
Uzyskiwanie tokenu dostępu dla tożsamości zarządzanej przypisanej przez użytkownika przy użyciu wpisu HTTP
$url = $env:IDENTITY_ENDPOINT
$headers = New-Object "System.Collections.Generic.Dictionary[[String],[String]]"
$headers.Add("Metadata", "True")
$headers.Add("X-IDENTITY-HEADER", $env:IDENTITY_HEADER)
$body = @{'resource'='https://management.azure.com/'
'client_id'='<ClientId of USI>'}
$accessToken = Invoke-RestMethod $url -Method 'POST' -Headers $headers -ContentType 'application/x-www-form-urlencoded' -Body $body
Write-Output $accessToken.access_token
Używanie tożsamości zarządzanej przypisanej przez użytkownika w programie Azure PowerShell
Write-Output "Connecting to azure via Connect-AzAccount -Identity -AccountId <ClientId of USI>"
Connect-AzAccount -Identity -AccountId <ClientId of USI>
Write-Output "Successfully connected with Automation account's Managed Identity"
Write-Output "Trying to fetch value from key vault using User Assigned Managed identity. Make sure you have given correct access to Managed Identity"
$secret = Get-AzKeyVaultSecret -VaultName '<KVname>' -Name '<KeyName>'
$ssPtr = [System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($secret.SecretValue)
try {
$secretValueText = [System.Runtime.InteropServices.Marshal]::PtrToStringBSTR($ssPtr)
Write-Output $secretValueText
} finally {
[System.Runtime.InteropServices.Marshal]::ZeroFreeBSTR($ssPtr)
}
Używanie tożsamości zarządzanej przypisanej przez użytkownika w elemecie Runbook języka Python
#!/usr/bin/env python3
import os
import requests
resource = "?resource=https://management.azure.com/"
client_id = "&client_id=<ClientId of USI>"
endPoint = os.getenv('IDENTITY_ENDPOINT')+ resource +client_id
identityHeader = os.getenv('IDENTITY_HEADER')
payload={}
headers = {
'X-IDENTITY-HEADER': identityHeader,
'Metadata': 'True'
}
response = requests.request("GET", endPoint, headers=headers, data=payload)
print(response.text)
Następne kroki
Jeśli elementy Runbook nie kończą się pomyślnie, zapoznaj się z tematem Rozwiązywanie problemów z tożsamością zarządzaną usługi Azure Automation.
Jeśli musisz wyłączyć tożsamość zarządzaną, zobacz Wyłączanie tożsamości zarządzanej konta usługi Azure Automation.
Aby zapoznać się z omówieniem zabezpieczeń konta usługi Azure Automation, zobacz Omówienie uwierzytelniania konta usługi Automation.