Udostępnij za pośrednictwem


Tworzenie autonomicznego konta usługi Azure Automation

W tym artykule pokazano, jak utworzyć konto usługi Azure Automation przy użyciu witryny Azure Portal. Możesz użyć konta usługi Automation, aby ocenić i dowiedzieć się więcej o usłudze Automation bez używania dodatkowych funkcji zarządzania lub integracji z dziennikami usługi Azure Monitor. Funkcje zarządzania można dodawać lub integrować z dziennikami usługi Azure Monitor w celu zaawansowanego monitorowania zadań elementów Runbook w dowolnym momencie w przyszłości.

Za pomocą konta usługi Automation można uwierzytelniać elementy Runbook, zarządzając zasobami w usłudze Azure Resource Manager lub klasycznym modelu wdrażania. Jedno konto usługi Automation może zarządzać zasobami we wszystkich regionach i subskrypcjach dla danej dzierżawy.

To konto utworzone dla Ciebie umożliwia szybkie rozpoczęcie tworzenia i wdrażania elementów Runbook w celu obsługi potrzeb automatyzacji.

Uprawnienia wymagane do utworzenia konta usługi Automation

Aby utworzyć lub zaktualizować konto usługi Automation oraz wykonać zadania opisane w tym artykule, musisz mieć następujące przywileje i uprawnienia:

Aby utworzyć konto usługi Automation, konto użytkownika microsoft Entra musi zostać dodane do roli z uprawnieniami równoważnymi roli Właściciel dla Microsoft.Automation zasobów. Aby uzyskać więcej informacji, zobacz Kontrola dostępu oparta na rolach w usłudze Azure Automation.

Tworzenie nowego konta usługi Automation w witrynie Azure Portal

Aby utworzyć konto usługi Azure Automation w witrynie Azure Portal, wykonaj następujące kroki:

  1. Zaloguj się do witryny Azure Portal przy użyciu konta, które jest członkiem roli Administratorzy subskrypcji i współadministratorem subskrypcji.

  2. Wybierz pozycję + Utwórz zasób.

  3. Wyszukaj pozycję Automatyzacja. W wynikach wyszukiwania wybierz pozycję Automatyzacja.

    Zrzut ekranu przedstawiający konta usługi Automation w portalu.

Opcje nowego konta usługi Automation są uporządkowane na kartach na stronie Tworzenie konta usługi Automation. W poniższych sekcjach opisano poszczególne karty i ich opcje.

Podstawy

Na karcie Podstawy podaj podstawowe informacje dotyczące konta usługi Automation. Po wypełnieniu karty Podstawy możesz dodatkowo dostosować nowe konto usługi Automation, ustawiając opcje na innych kartach lub wybierając pozycję Przejrzyj i utwórz, aby zaakceptować opcje domyślne i przejść do walidacji i tworzenia konta.

Uwaga

Domyślnie tożsamość zarządzana przypisana przez system jest włączona dla konta usługi Automation.

W poniższej tabeli opisano pola na karcie Podstawy .

Pole Wymagane
or
optional
Opis
Subskrypcja Wymagane Z listy rozwijanej wybierz subskrypcję platformy Azure dla konta.
Grupa zasobów Wymagane Z listy rozwijanej wybierz istniejącą grupę zasobów lub wybierz pozycję Utwórz nową.
Nazwa konta usługi Automation Wymagane Wprowadź nazwę unikatową dla lokalizacji i grupy zasobów. Nazwy kont usługi Automation, które zostały usunięte, mogą nie być natychmiast dostępne. Nie można zmienić nazwy konta po wprowadzeniu jej w interfejsie użytkownika.
Region (Region) Wymagane Z listy rozwijanej wybierz region dla konta. Aby uzyskać zaktualizowaną listę lokalizacji, w których można wdrożyć konto usługi Automation, zobacz Dostępność produktów według regionów.

Na poniższej ilustracji przedstawiono standardową konfigurację nowego konta usługi Automation.

Zrzut ekranu przedstawia pola wymagane do utworzenia konta usługi Automation na karcie Podstawy.

Zaawansowani

Na karcie Zaawansowane możesz skonfigurować opcję tożsamości zarządzanej dla nowego konta usługi Automation. Po utworzeniu konta usługi Automation można również skonfigurować opcję tożsamości zarządzanej przypisanej przez użytkownika.

Aby uzyskać instrukcje dotyczące sposobu tworzenia tożsamości zarządzanej przypisanej przez użytkownika, zobacz Tworzenie tożsamości zarządzanej przypisanej przez użytkownika.

W poniższej tabeli opisano pola na karcie Zaawansowane.

Pole Wymagane
or
optional
Opis
Przypisane przez system Opcjonalnie Tożsamość usługi Microsoft Entra powiązana z cyklem życia konta usługi Automation.
Przypisane przez użytkownika Opcjonalne Tożsamość zarządzana reprezentowana jako autonomiczny zasób platformy Azure zarządzany oddzielnie od zasobów, które z niego korzystają.

Możesz później włączyć tożsamości zarządzane, a konto usługi Automation zostanie utworzone bez nich. Aby włączyć tożsamość zarządzaną po utworzeniu konta, zobacz Włączanie tożsamości zarządzanej. W przypadku wybrania obu opcji dla tożsamości przypisanej przez użytkownika wybierz opcję Dodaj tożsamości przypisane przez użytkownika. Na stronie Wybieranie tożsamości zarządzanej przypisanej przez użytkownika wybierz subskrypcję i dodaj co najmniej jedną tożsamość przypisaną przez użytkownika utworzoną w tej subskrypcji w celu przypisania do konta usługi Automation.

Na poniższej ilustracji przedstawiono standardową konfigurację nowego konta usługi Automation.

Zrzut ekranu przedstawia pola wymagane do utworzenia konta usługi Automation na karcie Zaawansowane.

Sieć

Na karcie Sieć można skonfigurować łączność z kontem usługi Automation — publicznie za pośrednictwem publicznych adresów IP lub prywatnie przy użyciu usługi Azure Automation Private Link. Usługa Azure Automation Private Link łączy co najmniej jeden prywatny punkt końcowy (a więc i sieci wirtualne, które są w nim zawarte) z zasobem konta usługi Automation.

Na poniższej ilustracji przedstawiono standardową konfigurację nowego konta usługi Automation.

Zrzut ekranu przedstawia pola wymagane do utworzenia konta usługi Automation na karcie Sieć.

Tagi

Na karcie Tagi można określić tagi usługi Resource Manager, aby ułatwić organizowanie zasobów platformy Azure. Aby uzyskać więcej informacji, zobacz Tagowanie zasobów, grup zasobów i subskrypcji dla organizacji logicznej.

Przeglądanie i tworzenie

Po przejściu do karty Przejrzyj i utwórz platforma Azure uruchamia walidację dla wybranych ustawień konta usługi Automation. Jeśli walidacja zakończy się pomyślnie, możesz przejść do tworzenia konta usługi Automation.

Jeśli walidacja nie powiedzie się, portal wskazuje, które ustawienia należy zmodyfikować.

Przejrzyj nowe konto usługi Automation.

Strona przeglądu konta usługi Automation

Po pomyślnym utworzeniu konta usługi Automation automatycznie zostanie utworzonych kilka zasobów. Po utworzeniu te elementy Runbook można bezpiecznie usunąć, jeśli nie chcesz ich przechowywać. Tożsamości zarządzane mogą służyć do uwierzytelniania na koncie w elemecie Runbook i należy pozostawić je, chyba że utworzysz inną lub nie wymagasz ich. Klucze dostępu usługi Automation są również tworzone podczas tworzenia konta usługi Automation. Poniższa tabela zawiera podsumowanie zasobów dla konta.

Zasób Opis
AzureAutomationTutorialWithIdentityGraphical Przykładowy graficzny element Runbook, który demonstruje sposób uwierzytelniania przy użyciu tożsamości zarządzanej. Element Runbook pobiera wszystkie zasoby usługi Resource Manager.
AzureAutomationTutorialWithIdentity Przykładowy element Runbook programu PowerShell, który demonstruje sposób uwierzytelniania przy użyciu tożsamości zarządzanej. Element Runbook pobiera wszystkie zasoby usługi Resource Manager.

Uwaga

Elementy Runbook samouczka nie zostały zaktualizowane do uwierzytelniania przy użyciu tożsamości zarządzanej. Zapoznaj się z artykułem Korzystanie z tożsamości przypisanej przez system lub Używanie tożsamości przypisanej przez użytkownika, aby dowiedzieć się, jak udzielić tożsamości zarządzanej dostępu do zasobów i skonfigurować elementy Runbook do uwierzytelniania przy użyciu dowolnego typu tożsamości zarządzanej.

Zarządzanie kluczami konta usługi Automation

Podczas tworzenia konta usługi Automation platforma Azure generuje dla tego konta dwa 512-bitowe klucze dostępu do konta usługi Automation. Te klucze są kluczami dostępu współużytkowanego, które są używane jako klucze rejestracji do rejestrowania węzłów DSC, a także hybrydowych procesów roboczych elementów Runbook systemu Windows i Linux. Te klucze są używane tylko podczas rejestrowania węzłów DSC i hybrydowych procesów roboczych. Istniejące maszyny skonfigurowane jako węzły DSC lub hybrydowe procesy robocze nie będą miały wpływu po rotacji tych kluczy.

Wyświetlanie kluczy konta usługi Automation

Aby wyświetlić i skopiować klucze dostępu do konta usługi Automation, wykonaj następujące kroki:

  1. W witrynie Azure Portal przejdź do swojego konta usługi Automation.

  2. W obszarze Ustawienia konta wybierz pozycję Klucze , aby wyświetlić podstawowe i pomocnicze klucze dostępu konta usługi Automation. Aby uzyskać dostęp do konta usługi Automation, możesz użyć dowolnego z tych dwóch kluczy. Zalecamy jednak użycie pierwszego klucza i zarezerwowanie użycia drugiego klucza.

    Strona Klucze automatyzacji

Ręczne obracanie kluczy dostępu

Zalecamy okresowe obracanie kluczy dostępu w celu zapewnienia bezpieczeństwa konta usługi Automation. Ponieważ masz dwa klucze dostępu, możesz je obrócić przy użyciu witryny Azure Portal lub polecenia cmdlet programu Azure PowerShell.

Wybieranie klienta

Wykonaj te kroki:

  1. Przejdź do konta usługi Automation w witrynie Azure Portal.
  2. W obszarze Ustawienia konta wybierz pozycję Klucze.
  3. Wybierz pozycję Wygeneruj ponownie podstawowy , aby ponownie wygenerować podstawowy klucz dostępu dla konta usługi Automation.
  4. Wybierz pomocniczą generuj ponownie, aby ponownie wygenerować pomocniczy klucz dostępu. Wygeneruj ponownie klucze

Wyświetlanie adresu URL rejestracji

Węzeł DSC rejestruje się w usłudze State Configuration przy użyciu adresu URL rejestracji i uwierzytelnia się przy użyciu klucza dostępu rejestracji wraz z kluczem dostępu konta usługi Automation.

Zrzut ekranu przedstawiający klucze i adres URL automatyzacji

Następne kroki