Поделиться через


Управление разрешениями для ролей и безопасностью в службе автоматизации Azure

Контроль доступа на основе ролей (RBAC) Azure обеспечивает управление доступом к ресурсам Azure. С помощью Azure RBAC вы сможете распределить обязанности внутри команды и предоставить доступ пользователям, группам и приложениям на том уровне, который им необходим для выполнения поставленных задач. Доступ на основе ролей можно предоставлять пользователям с помощью портала Azure, средств командной строки Azure и API управления Azure.

Роли в учетных записях службы автоматизации

В службе автоматизации Azure доступ предоставляется путем назначения соответствующей роли Azure пользователям, группам и приложениям в области учетной записи автоматизации. Ниже перечислены встроенные роли, поддерживаемые учетной записью автоматизации.

Роль Description
Владелец Роль владельца обеспечивает доступ ко всем ресурсам и действиям в учетной записи службы автоматизации, включая предоставление доступа на управление учетной записью службы автоматизации другим пользователям, группам и приложениям.
Участник Роль участника позволяет управлять всем, кроме изменения разрешений других пользователей на доступ к учетной записи службы автоматизации.
Читатель Роль читателя позволяет просматривать все ресурсы в учетной записи службы автоматизации, но не дает возможность вносить какие-либо изменения.
Участник службы автоматизации Роль участника службы автоматизации позволяет управлять всеми ресурсами в учетной записи службы автоматизации, за исключением изменения прав доступа других пользователей к учетной записи службы автоматизации.
Оператор автоматизации Роль оператора службы автоматизации позволяет просматривать имя и свойства модуля runbook, а также создавать задания и управлять ими для всех модулей runbook в учетной записи службы автоматизации. Эта роль пригодится, если вам нужно защитить ресурсы учетной записи службы автоматизации, такие как учетные данные, активы и runbook, от просмотра и изменения, и в то же время разрешить членам организации выполнять эти runbook.
Оператор заданий службы автоматизации Роль оператора заданий службы автоматизации позволяет создавать задания и управлять ими для всех модулей runbook в учетной записи службы автоматизации.
Оператор Runbook службы автоматизации Роль оператора runbook службы автоматизации позволяет просматривать имя и свойства модуля runbook.
Участник Log Analytics Участник Log Analytics может считывать все данные мониторинга и изменять его параметры. Изменение параметров мониторинга подразумевает добавление расширений в виртуальные машины, чтение ключей учетной записи хранения для настройки коллекции журналов в службе хранилища Azure, создание и настройку учетных записей службы автоматизации, добавление возможностей службы автоматизации Azure и настройку диагностики Azure во всех ресурсах Azure.
Читатель Log Analytics Читатель Log Analytics может просматривать параметры мониторинга, выполнять поиск всех данных мониторинга и просматривать эти данные. Читатель также может просматривать конфигурации диагностики Azure на всех ресурсах Azure.
Monitoring Contributor (Участник мониторинга) Участник мониторинга может считывать все данные мониторинга и изменять его параметры.
Monitoring Reader (Читатель данных мониторинга) Читатель мониторинга может считывать все данные мониторинга.
Администратор доступа пользователей Роль администратора доступа пользователей позволяет управлять доступом пользователей к учетным записям службы автоматизации Azure.

Разрешения роли

В следующих таблицах описываются разрешения, предоставленные каждой роли. Это могут быть свойства Actions, которые предоставляют разрешения, и свойства NotActions, которые их ограничивают.

Ответственный

Владелец может управлять всем, включая доступ. В следующей таблице показаны разрешения, предоставленные для этой роли.

Действия Описание
Microsoft.Automation/automationAccounts/* Создание ресурсов всех типов и управление ими.

Участник

Участник может управлять всем, кроме доступа. В следующей таблице показаны разрешения, которые предоставлены и запрещены для этой роли.

Действия Description
Microsoft.Automation/automationAccounts/* Создание ресурсов всех типов и управление ими
Запрещенные действия
Microsoft.Authorization/*/Delete Удаление и назначение ролей.
Microsoft.Authorization/*/Write Создание и назначение ролей.
Microsoft.Authorization/elevateAccess/Action Запрет создания администратора доступа пользователей.

Читатель

Примечание.

Недавно мы внесли изменения в разрешение на встроенную роль читателя для учетной записи службы автоматизации. Подробнее

Читатель может просматривать все ресурсы в учетной записи службы автоматизации, но не может вносить какие-либо изменения.

Действия Description
Microsoft.Automation/automationAccounts/read Просмотр всех ресурсов в учетной записи службы автоматизации.

Участник службы автоматизации

Участник службы автоматизации может управлять всеми ресурсами в учетной записи службы автоматизации, за исключением доступа к ней. В следующей таблице показаны разрешения, предоставленные для этой роли.

Действия Description
Microsoft.Automation/automationAccounts/* Создание ресурсов всех типов и управление ими.
Microsoft.Authorization/*/read Чтение ролей и их назначений.
Microsoft.Resources/deployments/* Создание развертываний группы ресурсов и управление ими.
Microsoft.Resources/subscriptions/resourceGroups/read Чтение развертываний групп ресурсов.
Microsoft.Support/* Создание запросов в службу поддержки и управление ими.
Microsoft.Insights/ActionGroups/* Чтение, запись и удаление групп действий.
Microsoft.Insights/ActivityLogAlerts/* Чтение, запись и удаление оповещений журнала действий.
Microsoft.Insights/diagnosticSettings/* Чтение, запись и удаление параметров диагностики.
Microsoft.Insights/MetricAlerts/* Чтение, запись и удаление оповещений на основе метрик практически в реальном времени.
Microsoft.Insights/ScheduledQueryRules/* Чтение, запись и удаление оповещений журналов в Azure Monitor.
Microsoft.OperationalInsights/workspaces/sharedKeys/action Получение списка ключей для рабочей области Log Analytics.

Примечание.

Роль участника службы автоматизации можно использовать для доступа к любому ресурсу с помощью управляемого удостоверения, если заданы соответствующие разрешения для целевого ресурса, или с помощью учетной записи запуска от имени. Учетная запись запуска от имени службы автоматизации по умолчанию настроена с правами участника для подписки. Следуйте принципу наименьших прав и тщательно назначайте разрешения, необходимые только для выполнения вашего модуля Runbook. Например, если учетная запись службы автоматизации требуется только для запуска или остановки виртуальной машины Azure, тогда разрешения, назначенные учетной записи запуска от имени или управляемому удостоверению, должны быть только для запуска или остановки виртуальной машины. Точно так же, если модуль Runbook читает из хранилища BLOB-объектов, назначьте разрешения только для чтения.

При назначении разрешений рекомендуется использовать управление доступом на основе ролей Azure (RBAC) для управляемого удостоверения. Ознакомьтесь с нашими рекомендациями по использованию управляемого удостоверения, назначаемого системой или пользователем, в том числе для управления и контроля во время его существования.

Оператор автоматизации

Оператор службы автоматизации может создавать задания и управлять ими, а также просматривать имена и свойства всех модулей runbook в учетной записи службы автоматизации.

Примечание.

Если вы хотите контролировать доступ оператора к отдельным модулям runbook, вместо этой роли используйте сочетание ролей Оператор заданий службы автоматизации и Оператор Runbook службы автоматизации.

В следующей таблице показаны разрешения, предоставленные для этой роли.

Действия Description
Microsoft.Authorization/*/read Авторизация на чтение.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read Считывает ресурсы гибридной рабочей роли Runbook.
Microsoft.Automation/automationAccounts/jobs/read Вывод списка заданий Runbook.
Microsoft.Automation/automationAccounts/jobs/resume/action Возобновление приостановленного задания.
Microsoft.Automation/automationAccounts/jobs/stop/action Отмена выполняющегося задания.
Microsoft.Automation/automationAccounts/jobs/streams/read Чтение потоков и выходных данных задания.
Microsoft.Automation/automationAccounts/jobs/output/read Возвращает выходные данные задания.
Microsoft.Automation/automationAccounts/jobs/suspend/action Остановка выполняющегося задания.
Microsoft.Automation/automationAccounts/jobs/write Создание заданий.
Microsoft.Automation/automationAccounts/jobSchedules/read Возвращает расписание заданий службы автоматизации Azure.
Microsoft.Automation/automationAccounts/jobSchedules/write Создает расписание заданий службы автоматизации Azure.
Microsoft.Automation/automationAccounts/linkedWorkspace/read Возвращает рабочую область, связанную с учетной записью службы автоматизации.
Microsoft.Automation/automationAccounts/read Возвращает учетную запись службы автоматизации Azure.
Microsoft.Automation/automationAccounts/runbooks/read Возвращает runbook службы автоматизации Azure.
Microsoft.Automation/automationAccounts/schedules/read Возвращает ресурс расписания службы автоматизации Azure.
Microsoft.Automation/automationAccounts/schedules/write Создает или обновляет ресурс расписания службы автоматизации Azure.
Microsoft.Resources/subscriptions/resourceGroups/read Чтение ролей и их назначений.
Microsoft.Resources/deployments/* Создание развертываний группы ресурсов и управление ими.
Microsoft.Insights/alertRules/* Создание правил оповещения и управление ими.
Microsoft.Support/* Создание запросов в службу поддержки и управление ими.
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.

Оператор заданий службы автоматизации

Роль оператора заданий службы автоматизации предоставляется на уровне учетной записи службы автоматизации. Она предоставляет разрешения на создание заданий и управление ими для всех модулей runbook в учетной записи. Если роли оператора заданий предоставлены разрешения на чтение для группы ресурсов, содержащей учетную запись службы автоматизации, члены роли смогут запускать модули runbook. Однако они у них не будет возможности создавать, изменять и удалять модули.

В следующей таблице показаны разрешения, предоставленные для этой роли.

Действия Description
Microsoft.Authorization/*/read Авторизация на чтение.
Microsoft.Automation/automationAccounts/jobs/read Вывод списка заданий Runbook.
Microsoft.Automation/automationAccounts/jobs/resume/action Возобновление приостановленного задания.
Microsoft.Automation/automationAccounts/jobs/stop/action Отмена выполняющегося задания.
Microsoft.Automation/automationAccounts/jobs/streams/read Чтение потоков и выходных данных задания.
Microsoft.Automation/automationAccounts/jobs/suspend/action Остановка выполняющегося задания.
Microsoft.Automation/automationAccounts/jobs/write Создание заданий.
Microsoft.Resources/subscriptions/resourceGroups/read Чтение ролей и их назначений.
Microsoft.Resources/deployments/* Создание развертываний группы ресурсов и управление ими.
Microsoft.Insights/alertRules/* Создание правил оповещения и управление ими.
Microsoft.Support/* Создание запросов в службу поддержки и управление ими.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read Считывает группы гибридных рабочих ролей runbook.
Microsoft.Automation/automationAccounts/jobs/output/read Возвращает выходные данные задания.

Оператор Runbook службы автоматизации

Роль оператора Runbook службы автоматизации предоставляется в области Runbook. Оператор runbook службы автоматизации может просматривать имя и свойства модуля runbook. Эта роль в сочетании с ролью Оператор заданий службы автоматизации позволяет создавать задания для модуля runbook и управлять ими. В следующей таблице показаны разрешения, предоставленные для этой роли.

Действия Description
Microsoft.Automation/automationAccounts/runbooks/read Вывод списка Runbook.
Microsoft.Authorization/*/read Авторизация на чтение.
Microsoft.Resources/subscriptions/resourceGroups/read Чтение ролей и их назначений.
Microsoft.Resources/deployments/* Создание развертываний группы ресурсов и управление ими.
Microsoft.Insights/alertRules/* Создание правил оповещения и управление ими.
Microsoft.Support/* Создание запросов в службу поддержки и управление ими.

Участник Log Analytics

Участник Log Analytics может читать все данные мониторинга и изменять его параметры. Изменение параметров мониторинга подразумевает добавление расширений в виртуальные машины, чтение ключей учетной записи хранения для настройки коллекции журналов в службе хранилища Azure, создание и настройку учетных записей службы автоматизации, добавление возможностей и настройку диагностики Azure для всех ресурсов Azure. В следующей таблице показаны разрешения, предоставленные для этой роли.

Действия Description
*/чтение Чтение ресурсов всех типов, кроме секретов.
Microsoft.ClassicCompute/virtualMachines/extensions/* Создание расширений виртуальных машин и управление ими.
Microsoft.ClassicStorage/storageAccounts/listKeys/action Вывод списка ключей классической учетной записи хранения.
Microsoft.Compute/virtualMachines/extensions/* Создание расширений классических виртуальных машин и управление ими.
Microsoft.Insights/alertRules/* Чтение, запись и удаление правила генерации оповещений.
Microsoft.Insights/diagnosticSettings/* Чтение, запись и удаление параметров диагностики.
Microsoft.OperationalInsights/* Управление журналами Azure Monitor.
Microsoft.OperationsManagement/* Управление возможностями службы автоматизации Azure в рабочих областях.
Microsoft.Resources/deployments/* Создание развертываний группы ресурсов и управление ими.
Microsoft.Resources/subscriptions/resourcegroups/deployments/* Создание развертываний группы ресурсов и управление ими.
Microsoft.Storage/storageAccounts/listKeys/action Составление списка ключей учетной записи хранения.
Microsoft.Support/* Создание запросов в службу поддержки и управление ими.
Microsoft.HybridCompute/machines/extensions/write Устанавливает или обновляет расширения Azure Arc.

Читатель Log Analytics

Читатель Log Analytics может просматривать и искать все данные мониторинга, а также просматривать его параметры, в том числе конфигурацию Диагностики Azure во всех ресурсах Azure. В следующей таблице показаны разрешения, предоставленные или запрещенные для этой роли.

Действия Description
*/чтение Чтение ресурсов всех типов, кроме секретов.
Microsoft.OperationalInsights/workspaces/analytics/query/action Управление запросами в журналах Azure Monitor.
Microsoft.OperationalInsights/workspaces/search/action Поиск по данным журналов Azure Monitor.
Microsoft.Support/* Создание запросов в службу поддержки и управление ими.
Запрещенные действия
Microsoft.OperationalInsights/workspaces/sharedKeys/read Чтение ключей общего доступа запрещено.

Monitoring Contributor (Участник мониторинга)

Участник мониторинга может читать все данные мониторинга и изменять его параметры. В следующей таблице показаны разрешения, предоставленные для этой роли.

Действия Description
*/чтение Чтение ресурсов всех типов, кроме секретов.
Microsoft.AlertsManagement/alerts/* Управление предупреждениями.
Microsoft.AlertsManagement/alertsSummary/* Управление панелью мониторинга оповещений.
Microsoft.Insights/AlertRules/* Управление правилами генерации оповещений.
Microsoft.Insights/components/* Управление компонентами Application Insights.
Microsoft.Insights/DiagnosticSettings/* Управление параметрами диагностики.
Microsoft.Insights/eventtypes/* Вывод списка событий журнала действий (событий управления) в подписке. Это разрешение применяется для доступа к журналу действий посредством кода или портала.
Microsoft.Insights/LogDefinitions/* Это разрешение необходимо пользователям, которым требуется доступ к журналам действия на портале. Получение списка категорий журнала в журнале действий.
Microsoft.Insights/MetricDefinitions/* Чтение определений метрик (вывод списка доступных типов метрик для ресурса).
Microsoft.Insights/Metrics/* Чтение метрик для ресурса.
Microsoft.Insights/Register/Action Регистрация поставщика Microsoft.Insights.
Microsoft.Insights/webtests/* Управление веб-тестами Application Insights.
Microsoft.OperationalInsights/workspaces/intelligencepacks/* Управление пакетами решений для журналов Azure Monitor.
Microsoft.OperationalInsights/workspaces/savedSearches/* Управление сохраненными поисками для журналов Azure Monitor.
Microsoft.OperationalInsights/workspaces/search/action Поиск в рабочих областях Log Analytics.
Microsoft.OperationalInsights/workspaces/sharedKeys/action Получение списка ключей для рабочей области Log Analytics.
Microsoft.OperationalInsights/workspaces/storageinsightconfigs/* Управление конфигурациями аналитических сведений о хранилищах для журналов Azure Monitor.
Microsoft.Support/* Создание запросов в службу поддержки и управление ими.
Microsoft.WorkloadMonitor/workloads/* Управление рабочими нагрузками.

Monitoring Reader (Читатель данных мониторинга)

Читатель мониторинга может читать все данные мониторинга. В следующей таблице показаны разрешения, предоставленные для этой роли.

Действия Description
*/чтение Чтение ресурсов всех типов, кроме секретов.
Microsoft.OperationalInsights/workspaces/search/action Поиск в рабочих областях Log Analytics.
Microsoft.Support/* Создание запросов в службу поддержки и управление ими

Администратор доступа пользователей

Администратор доступа пользователей может управлять доступом пользователей к ресурсам Azure. В следующей таблице показаны разрешения, предоставленные для этой роли.

Действия Description
*/чтение Чтение всех ресурсов
Microsoft.Authorization/* Управление авторизацией
Microsoft.Support/* Создание запросов в службу поддержки и управление ими

Разрешения на доступ роли читателя

Внимание

Чтобы укрепить общую служба автоматизации Azure состояние безопасности, встроенное средство чтения RBAC не будет иметь доступа к ключам учетной записи службы автоматизации через вызов API . GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION

Встроенная роль чтения для учетной записи службы автоматизации не может использовать API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION ключи учетной записи службы автоматизации. Эта высокопривилегированная операция предоставляет конфиденциальную информацию, которая может представлять угрозу безопасности. С ее помощью злоумышленник с низким уровнем привилегий может получить доступ к ключам учетной записи Службы автоматизации, чтобы выполнять действия с повышенным уровнем привилегий.

Для доступа API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATIONк ней рекомендуется переключиться на встроенные роли, такие как владелец, участник или участник службы автоматизации, чтобы получить доступ к ключам учетной записи службы автоматизации. По умолчанию эти роли будут иметь разрешение listKeys . Чтобы получать доступ к ключам учетной записи Службы автоматизации, рекомендуется создать настраиваемую роль с ограниченными разрешениями. Для настраиваемой роли необходимо добавить Microsoft.Automation/automationAccounts/listKeys/action разрешение на определение роли. Узнайте больше о том, как создать пользовательскую роль из портал Azure.

Разрешения на настройку возможностей

В следующих разделах показаны минимальные требуемые разрешения для включения возможностей "Управление обновлениями" и "Отслеживание изменений и инвентаризация".

Разрешения на включение возможностей "Управление обновлениями" и "Отслеживание изменений и инвентаризация" для виртуальной машины Azure

Действие Разрешение Минимальная область
Запись нового развертывания Microsoft.Resources/deployments/* Отток подписок
Запись новой группы ресурсов Microsoft.Resources/subscriptions/resourceGroups/write Отток подписок
Создание рабочего пространства по умолчанию Microsoft.OperationalInsights/workspaces/write Группа ресурсов
Создание учетной записи Microsoft.Automation/automationAccounts/write Группа ресурсов
Связывание рабочей области и учетной записи Microsoft.OperationalInsights/workspaces/write
Microsoft.Automation/automationAccounts/read
Учетная запись автоматизации рабочей области
Создание расширения MMA Microsoft.Compute/virtualMachines/write Виртуальная машина
Создание сохраненного поискового запроса Microsoft.OperationalInsights/workspaces/write Рабочая область
Создание конфигурации области Microsoft.OperationalInsights/workspaces/write Рабочая область
Проверка состояния подключения — чтение рабочей области Microsoft.OperationalInsights/workspaces/read Рабочая область
Проверка состояния подключения — чтение свойств связанной рабочей области учетной записи Microsoft.Automation/automationAccounts/read Учетная запись службы автоматизации
Проверка состояния подключения — чтение решения Microsoft.OperationalInsights/workspaces/intelligencepacks/read Решение
Проверка состояния подключения — чтение виртуальной машины Microsoft.Compute/virtualMachines/read Виртуальная машина
Проверка состояния подключения — чтение учетной записи Microsoft.Automation/automationAccounts/read Учетная запись службы автоматизации
Проверка подключения рабочей области для виртуальной машины1 Microsoft.OperationalInsights/workspaces/read Отток подписок
Регистрация поставщика Log Analytics Microsoft.Insights/register/action Отток подписок

1 Это разрешение требуется для включения возможностей через интерфейс портала виртуальных машин.

Разрешения на включение возможностей "Управление обновлениями" и "Отслеживание изменений и инвентаризация" для учетной записи службы автоматизации

Действие Разрешение Минимальная область
Создание развертывания Microsoft.Resources/deployments/* Отток подписок
Создание новой группы ресурсов Microsoft.Resources/subscriptions/resourceGroups/write Отток подписок
Колонка AutomationOnboarding — создание рабочей области Microsoft.OperationalInsights/workspaces/write Группа ресурсов
Колонка AutomationOnboarding — чтение связанной рабочей области Microsoft.Automation/automationAccounts/read Учетная запись службы автоматизации
Колонка AutomationOnboarding — чтение решения Microsoft.OperationalInsights/workspaces/intelligencepacks/read Решение
Колонка AutomationOnboarding — чтение рабочей области Microsoft.OperationalInsights/workspaces/intelligencepacks/read Рабочая область
Создание связи для рабочей области и учетной записи Microsoft.OperationalInsights/workspaces/write Рабочая область
Запись учетной записи для Shoebox Microsoft.Automation/automationAccounts/write Учетная запись
Создание или изменение сохраненного поискового запроса Microsoft.OperationalInsights/workspaces/write Рабочая область
Создание или изменение конфигурации области Microsoft.OperationalInsights/workspaces/write Рабочая область
Регистрация поставщика Log Analytics Microsoft.Insights/register/action Отток подписок
Шаг 2. Включение нескольких виртуальных машин
Колонка VMOnboarding — создание расширения MMA Microsoft.Compute/virtualMachines/write Виртуальная машина
Создание или изменение сохраненного поискового запроса Microsoft.OperationalInsights/workspaces/write Рабочая область
Создание или изменение конфигурации области Microsoft.OperationalInsights/workspaces/write Рабочая область

Управление разрешениями роли для гибридных рабочих групп и гибридных рабочих ролей

Пользовательские роли Azure можно создать в службе автоматизации и предоставить следующие разрешения гибридным рабочим группам и гибридным рабочим группам:

Разрешения на Управление обновлениями

Управление обновлениями можно использовать для оценки и планирования развертываний обновлений на компьютерах в нескольких подписках в одном клиенте Microsoft Entra или между клиентами с помощью Azure Lighthouse. В следующей таблице перечислены разрешения, необходимые для управления развертываниями обновлений.

Ресурс Роль Область применения
Учетная запись службы автоматизации Участник виртуальной машины Группа ресурсов для учетной записи
Рабочая область Log Analytics Участник Log Analytics Рабочая область Log Analytics
Рабочая область Log Analytics Читатель Log Analytics Отток подписок
Решение Участник Log Analytics Решение
Виртуальная машина Участник виртуальной машины Виртуальная машина
Действия с виртуальной машиной
Просмотр журнала выполнения расписания обновления (запуски компьютера конфигурации обновления программного обеспечения) Читатель Учетная запись службы автоматизации
Действия с виртуальной машиной Разрешение
Создание расписания обновления (конфигурации обновления программного обеспечения) Microsoft.Compute/virtualMachines/write Для списка статических виртуальных машин и групп ресурсов.
Создание расписания обновления (конфигурации обновления программного обеспечения) Microsoft.OperationalInsights/workspaces/analytics/query/action Для идентификатора ресурса рабочей области при использовании динамического списка стороннего поставщика.

Примечание.

При использовании управления обновлениями убедитесь, что политика выполнения для скриптов имеет значение RemoteSigned.

Настройки Azure RBAC для учетной записи службы автоматизации

В следующем разделе показано, как настроить Azure RBAC в учетной записи службы автоматизации с помощью портала Azure и PowerShell.

Настройка Azure RBAC с помощью портала Azure

  1. Войдите в портал Azure и откройте учетную запись службы автоматизации на странице "Учетные записи службы автоматизации".

  2. Выберите элемент управления доступом (IAM) и выберите роль из списка доступных ролей. Вы можете выбрать любую из доступных встроенных ролей, поддерживаемых учетной записью службы автоматизации или любой пользовательской ролью, которую вы могли определить. Назначьте роль пользователю, которому требуется предоставить разрешения.

    Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.

    Примечание.

    Управление доступом на основе ролей можно настроить только на уровне учетной записи службы автоматизации, но не в ресурсах более низкого уровня.

Удаление назначений ролей от пользователя

Разрешение на доступ для пользователя, который не управляет учетной записью службы автоматизации или прекращает работу в организации, можно удалить. Ниже показано, как удалить назначения ролей от пользователя. Подробные инструкции см. в разделе "Удаление назначений ролей Azure":

  1. Откройте Управление доступом (IAM) для области, например группы управления, подписки, группы ресурсов или отдельного ресурса, чтобы заблокировать доступ.

  2. Откройте вкладку Назначения ролей, чтобы просмотреть все назначения ролей в этой области.

  3. В списке назначений ролей добавьте флажок рядом с пользователем с назначением роли, которую вы хотите удалить.

  4. Выберите Удалить.

    Удалить пользователей

Настройка Azure RBAC с помощью PowerShell

Доступ к учетной записи службы автоматизации на основе ролей можно также настроить с помощью указанных ниже командлетов Azure PowerShell.

Get-AzRoleDefinition содержит все роли Azure, доступные в идентификаторе Microsoft Entra. При использовании с параметром Name этот командлет возвращает список всех действий, которые может выполнить определенная роль.

Get-AzRoleDefinition -Name 'Automation Operator'

Ниже приведен пример выходных данных.

Name             : Automation Operator
Id               : d3881f73-407a-4167-8283-e981cbba0404
IsCustom         : False
Description      : Automation Operators are able to start, stop, suspend, and resume jobs
Actions          : {Microsoft.Authorization/*/read, Microsoft.Automation/automationAccounts/jobs/read, Microsoft.Automation/automationAccounts/jobs/resume/action,
                   Microsoft.Automation/automationAccounts/jobs/stop/action...}
NotActions       : {}
AssignableScopes : {/}

Командлет Get-AzRoleAssignment выводит список назначений ролей Azure в указанной области. Без параметров этот командлет возвращает все назначения ролей, выполненные в подписке. Указав параметр ExpandPrincipalGroups, вы получите список назначений доступа для указанного пользователя и всех групп, в состав которых он входит.

Пример. Используйте следующий командлет для перечисления всех пользователей и их ролей в учетной записи службы автоматизации.

Get-AzRoleAssignment -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

Ниже приведен пример выходных данных.

RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
                     ers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName        : admin@contoso.com
SignInName         : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId   : d3881f73-407a-4167-8283-e981cbba0404
ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType         : User

Используйте командлет New-AzRoleAssignment, чтобы присвоить права доступа к определенной области пользователям, группам и приложениям.

Пример. Следующая команда назначает роль оператора службы автоматизации пользователю в области учетной записи службы автоматизации.

New-AzRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName 'Automation operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

Ниже приведен пример выходных данных.

RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
                     ers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName        : admin@contoso.com
SignInName         : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId   : d3881f73-407a-4167-8283-e981cbba0404
ObjectId           : bbbbbbbb-1111-2222-3333-cccccccccccc
ObjectType         : User

Командлет Remove-AzRoleAssignment удаляет права доступа к определенной области для указанного пользователя, группы или приложения.

Пример. Используйте следующую команду, чтобы удалить пользователя из роли оператора автоматизации в области учетной записи службы автоматизации.

Remove-AzRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName 'Automation Operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

В предыдущем примере замените sign-in ID of a user you wish to remove, SubscriptionID, Resource Group Name и Automation account name реальными данными для учетной записи. Прежде чем продолжить удаление назначений ролей пользователей, выберите Да в ответ на запрос подтверждения.

Взаимодействие с пользователем, который имеет роль оператора службы автоматизации, в учетной записи службы автоматизации

Когда пользователь с ролью оператора службы автоматизации в области учетной записи службы автоматизации просматривает эту учетную запись службы автоматизации, он увидит только список runbook, заданий runbook и расписаний, которые созданы в этой учетной записи службы автоматизации. Такой пользователь не может просматривать определения этих элементов. Такой пользователь может запускать, останавливать, приостанавливать, возобновлять и планировать задания runbook. Но у него нет доступа к другим ресурсам службы автоматизации, включая конфигурации, группы гибридных рабочих ролей Runbook и узлы DSC.

Нет доступа к ресурсам

Настройка Azure RBAC для модулей runbook

Служба автоматизации Azure позволяет назначать роли Azure определенным модулям runbook. Для этого выполните следующий скрипт, который добавляет пользователя к определенному runbook. Этот скрипт может выполнять администратор учетной записи службы автоматизации или администратор клиента.

$rgName = "<Resource Group Name>" # Resource Group name for the Automation account
$automationAccountName ="<Automation account name>" # Name of the Automation account
$rbName = "<Name of Runbook>" # Name of the runbook
$userId = "<User ObjectId>" # Azure Active Directory (AAD) user's ObjectId from the directory

# Gets the Automation account resource
$aa = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts" -ResourceName $automationAccountName

# Get the Runbook resource
$rb = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts/runbooks" -ResourceName "$rbName"

# The Automation Job Operator role only needs to be run once per user.
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Job Operator" -Scope $aa.ResourceId

# Adds the user to the Automation Runbook Operator role to the Runbook scope
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Runbook Operator" -Scope $rb.ResourceId

После запуска скрипта войдите в портал Azure и выберите "Все ресурсы". В этом списке он увидит runbook, для которых у него есть роль оператора runbook службы автоматизации.

Роли Azure RBAC для модулей runbook на портале

Возможности для пользователя с ролью оператора службы автоматизации. Модуль runbook

Когда пользователь, которому назначена роль оператора службы автоматизации в области runbook, просматривает назначенный ему runbook, он может только запускать его и просматривать его задания.

Может только запускать

Следующие шаги