Etapy wdrażania strategii
Ważne
11 lipca 2026 r. strategia (wersja zapoznawcza) zostanie wycofana. Przeprowadź migrację istniejących definicji strategii i przypisań do szablonów specyfikacji i stosów wdrażania. Artefakty strategii mają być konwertowane na szablony JSON usługi ARM lub pliki Bicep używane do definiowania stosów wdrażania. Aby dowiedzieć się, jak utworzyć artefakt jako zasób usługi ARM, zobacz:
Po wdrożeniu strategii usługa Azure Blueprints wykonuje szereg akcji w celu wdrożenia zasobów zdefiniowanych w strategii. Ten artykuł zawiera szczegółowe informacje o tym, co obejmuje każdy krok.
Wdrożenie strategii jest wyzwalane przez przypisanie strategii do subskrypcji lub zaktualizowanie istniejącego przypisania. Podczas wdrażania usługa Azure Blueprints wykonuje następujące czynności wysokiego poziomu:
- Usługa Azure Blueprints przyznała prawa właściciela
- Obiekt przypisania strategii jest tworzony
- Opcjonalnie — usługa Azure Blueprints tworzy tożsamość zarządzaną przypisaną przez system
- Tożsamość zarządzana wdraża artefakty strategii
- Usługa Azure Blueprints i przypisane przez system prawa tożsamości zarządzanej zostaną odwołane
Usługa Azure Blueprints przyznała prawa właściciela
Jednostka usługi Azure Blueprints ma przyznane prawa właściciela do przypisanej subskrypcji lub subskrypcji, gdy jest używana tożsamość zarządzana przypisana przez system . Udzielona rola umożliwia usłudze Azure Blueprints tworzenie, a później odwoływanie tożsamości zarządzanej przypisanej przez system . Jeśli korzystasz z tożsamości zarządzanej przypisanej przez użytkownika , jednostka usługi Azure Blueprints nie otrzymuje i nie potrzebuje praw właściciela w subskrypcji.
Prawa są przyznawane automatycznie, jeśli przypisanie odbywa się za pośrednictwem portalu. Jeśli jednak przypisanie odbywa się za pośrednictwem interfejsu API REST, udzielenie praw musi zostać wykonane przy użyciu oddzielnego wywołania interfejsu API. Identyfikator AppId usługi Azure Blueprints to f71766dc-90d9-4b7d-bd9d-4499c4331c3f
, ale jednostka usługi różni się w zależności od dzierżawy. Aby uzyskać jednostkę usługi, użyj interfejs Graph API usługi Azure Active Directory i punktu końcowego RESTPrincipals. Następnie przyznaj usłudze Azure Blueprints rolę Właściciel za pomocą portalu, interfejsu wiersza polecenia platformy Azure, Azure PowerShell, interfejsu API REST lub szablonu usługi Azure Resource Manager.
Usługa Azure Blueprints nie wdraża bezpośrednio zasobów.
Obiekt przypisania strategii jest tworzony
Użytkownik, grupa lub jednostka usługi przypisuje strategię do subskrypcji. Obiekt przypisania istnieje na poziomie subskrypcji, na którym przypisano strategię. Zasoby utworzone przez wdrożenie nie są wykonywane w kontekście jednostki wdrażania.
Podczas tworzenia przypisania strategii wybrano typ tożsamości zarządzanej . Wartość domyślna to tożsamość zarządzana przypisana przez system . Można wybrać tożsamość zarządzaną przypisaną przez użytkownika . W przypadku korzystania z tożsamości zarządzanej przypisanej przez użytkownika należy ją zdefiniować i udzielić uprawnień przed utworzeniem przypisania strategii. Wbudowane role Właściciel i Operator strategii mają niezbędne blueprintAssignment/write
uprawnienia do utworzenia przypisania korzystającego z tożsamości zarządzanej przypisanej przez użytkownika .
Opcjonalnie — usługa Azure Blueprints tworzy tożsamość zarządzaną przypisaną przez system
Po wybraniu tożsamości zarządzanej przypisanej przez system podczas przypisywania usługa Azure Blueprints tworzy tożsamość i przyznaje tożsamość zarządzaną roli właściciela . Jeśli istniejące przypisanie zostanie uaktualnione, usługa Azure Blueprints używa wcześniej utworzonej tożsamości zarządzanej.
Tożsamość zarządzana powiązana z przypisaniem strategii służy do wdrażania lub ponownego wdrażania zasobów zdefiniowanych w strategii. Ten projekt pozwala uniknąć nieumyślnego zakłócania przypisania. Ten projekt obsługuje również funkcję blokowania zasobów , kontrolując zabezpieczenia każdego wdrożonego zasobu z strategii.
Tożsamość zarządzana wdraża artefakty strategii
Tożsamość zarządzana wyzwala następnie Resource Manager wdrożenia artefaktów w ramach strategii w zdefiniowanej kolejności sekwencjonowania. Kolejność można dostosować, aby upewnić się, że artefakty zależne od innych artefaktów są wdrażane w odpowiedniej kolejności.
Niepowodzenie dostępu przez wdrożenie jest często wynikiem poziomu dostępu przyznanego tożsamości zarządzanej. Usługa Azure Blueprints zarządza cyklem życia zabezpieczeń tożsamości zarządzanej przypisanej przez system . Użytkownik jest jednak odpowiedzialny za zarządzanie prawami i cyklem życia tożsamości zarządzanej przypisanej przez użytkownika .
Usługa strategii i przypisane przez system prawa tożsamości zarządzanej zostaną odwołane
Po zakończeniu wdrożeń usługa Azure Blueprints odwołuje prawa tożsamości zarządzanej przypisanej przez system z subskrypcji. Następnie usługa Azure Blueprints odwołuje swoje prawa z subskrypcji. Usunięcie praw uniemożliwia stałemu właścicielowi subskrypcji usługę Azure Blueprints.
Następne kroki
- Dowiedz się, jak używać parametrów statycznych i dynamicznych.
- Dowiedz się, jak dostosować kolejność sekwencjonowania strategii.
- Dowiedz się, jak używać blokowania zasobów strategii.
- Dowiedz się, jak zaktualizować istniejące przypisania.
- Rozwiązywanie problemów podczas przypisywania strategii za pomocą ogólnych procedur rozwiązywania problemów.