建立獨立的 Azure 自動化帳戶
本文示範如何使用 Azure 入口網站來建立 Azure 自動化帳戶。 您可以使用自動化帳戶來評估及了解自動化,而不需使用額外的管理功能或與 Azure Monitor 記錄整合。 您可以新增管理功能,或與 Azure Monitor 記錄整合,以便在未來的任何時間點進一步監視 Runbook 作業。
使用自動化帳戶,您可以藉由在 Azure Resource Manager 或傳統部署模型中管理資源來驗證 Runbook。 一個「自動化帳戶」可以管理所指定租用戶之所有區域和訂用帳戶的資源。
利用這個為您建立的帳戶,您可以快速開始建置和部署 Runbook 以支援您的自動化需求。
建立自動化帳戶所需的權限
若要建立或更新自動化帳戶,以及完成本文中所述的工作,您必須具有下列權限:
若要建立自動化帳戶,必須將您的 Microsoft Entra 使用者帳戶加入至角色具有的權限相當於 Microsoft.Automation 資源的擁有者角色。 如需詳細資訊,請參閱 Azure 自動化中的角色型存取控制。
在 Azure 入口網站中建立新的自動化帳戶
若要在 Azure 入口網站中建立 Azure 自動化帳戶,請完成下列步驟:
利用訂用帳戶管理員角色成員和訂用帳戶共同管理員的帳戶登入 Azure 入口網站。
選取 [+ 建立資源]。
搜尋 [自動化]。 在搜尋結果中,選取 [自動化]。
您的新自動化帳戶的選項會組織成 [建立自動化帳戶] 頁面中的索引標籤。 下列各節會說明每個索引標籤及其選項。
基本概念
在 [基本] 索引標籤上,提供您自動化帳戶的基本資訊。 完成 [基本] 索引標籤之後,您可以選擇在其他索引標籤上設定選項,以進一步自訂新的自動化帳戶,或者您可以選取 [檢閱 + 建立] 以接受預設選項,然後繼續驗證並建立帳戶。
注意
根據預設,會啟用自動化帳戶的系統指派受控識別。
下表說明 [基本] 索引標籤中的欄位。
| 欄位 | 必要 or optional |
說明 |
|---|---|---|
| 訂用帳戶 | 必要 | 從下拉式清單中,選取帳戶的 Azure 訂用帳戶。 |
| 資源群組 | 必要 | 從下拉式清單中選取現有資源群組,或選取 [新建]。 |
| 自動化帳戶名稱 | 必要 | 為其位置和資源群組輸入唯一的名稱。 刪除自動化帳戶後,其名稱並非立即可供使用。 當帳戶名稱在使用者介面中輸入之後,就無法變更。 |
| 區域 | 必要 | 從下拉式清單中,選取帳戶的區域。 如需可部署自動化帳戶之處的更新清單,請參閱依區域提供的產品。 |
下圖顯示新自動化帳戶的標準設定。
![顯示 [基本] 索引標籤上建立自動化帳戶必要欄位的螢幕擷取畫面。](media/automation-create-standalone-account/create-account-basics-v2.png)
進階
在 [進階] 索引標籤上,您可以為新的自動化帳戶設定受控識別選項。 建立自動化帳戶之後,也可以設定使用者指派的受控識別選項。
如需如何建立使用者指派受控識別的相關指示,請參閱建立使用者指派的受控識別。
下表描述 [進階] 索引標籤上的欄位。
| 欄位 | 必要 or optional |
說明 |
|---|---|---|
| 系統指派 | 選擇性 | 繫結至自動化帳戶生命週期的 Microsoft Entra 身分識別。 |
| 使用者指派 | 選用 | 以獨立 Azure 資源表示的受控識別,會與使用該受控識別的資源分開管理。 |
您稍後可以選擇啟用受控識別,且自動化帳戶不需要受控識別即可建立。 若要在建立帳戶之後啟用受控識別,請參閱啟用受控識別。 如果您選取這兩個選項,則針對使用者指派的身分識別,請選取 [新增使用者指派的身分識別] 選項。 在 [選取使用者指派的受控識別] 頁面上,選取訂用帳戶,然後新增在該訂用帳戶中建立的一或多個使用者指派的身分識別,以指派給自動化帳戶。
下圖顯示新自動化帳戶的標準設定。
![顯示 [進階] 索引標籤上建立自動化帳戶必要欄位的螢幕擷取畫面。](media/automation-create-standalone-account/create-account-advanced-v2.png)
網路
在 [網路] 索引標籤上,您可以設定對自動化帳戶的連線,可透過公用 IP 位址公開設定,或使用 Azure 自動化 Private Link 私下設定。 Azure 自動化私人連結會將一或多個私人端點 (因此,以及端點所在的虛擬網路) 連線到您的自動化帳戶資源。
下圖顯示新自動化帳戶的標準設定。
![顯示 [網路] 索引標籤上建立自動化帳戶必要欄位的螢幕擷取畫面。](media/automation-create-standalone-account/create-account-networking-v2.png)
標籤
在 [標記] 索引標籤上,您可以指定 Resource Manager 標記來協助組織您的 Azure 資源。 如需詳細資訊,請參閱標記資源、資源群組和訂用帳戶以進行邏輯組織。
檢閱 + 建立
當您導覽至 [檢閱 + 建立] 索引標籤時,Azure 會在您選擇的自動化帳戶設定上執行驗證。 如果通過驗證,您就可以繼續建立自動化帳戶。
如果驗證失敗,則入口網站會指出需要修改的設定。
檢閱新的自動化帳戶。
順利建立自動化帳戶時,系統會自動為您建立幾項資源。 建立之後,如果您不想保留這些 Runbook,可以安全地全部刪除。 受控身分識別可以用來在 Runbook 中驗證您的帳戶,應予以保留,除非您要另外建立一個或不需要這些受控身分識別。 在自動化帳戶建立期間,也會建立自動化存取金鑰。 下表摘要說明帳戶的資源。
| 資源 | 說明 |
|---|---|
| AzureAutomationTutorialWithIdentityGraphical | 此為圖形化 Runbook 範例,示範如何使用受控識別進行驗證。 Runbook 會取得所有 Resource Manager 資源。 |
| AzureAutomationTutorialWithIdentity | 此為 PowerShell Runbook 範例,示範如何使用受控識別進行驗證。 Runbook 會取得所有 Resource Manager 資源。 |
注意
教學課程 Runbook 尚未更新為使用受控識別來進行驗證。 檢閱使用系統指派的身分識別或使用使用者指派的身分識別,了解如何將受控識別存取權授與資源,以及設定 Runbook 以使用任一類型的受控識別來進行驗證。
管理自動化帳戶金鑰
您建立自動化帳戶時,Azure 會為該帳戶產生兩個 512 位元自動化帳戶存取金鑰。 這些金鑰是共用存取金鑰,用來註冊 DSC 節點以及 Windows 和 Linux 混合式 Runbook 背景工作角色的註冊金鑰。 僅在註冊 DSC 節點及混合式背景工作角色時,才會使用這些金鑰。 在這些金鑰進行輪替之後,設定為 DSC 節點或混合式背景工作角色的現有機器不會受到影響。
檢視自動化帳戶金鑰
若要檢視並複製自動化帳戶存取金鑰,請遵循下列步驟:
在 Azure 入口網站中,前往您的自動化帳戶。
在 [帳戶設定] 底下,選取 [金鑰],以檢視自動化帳戶的主要和次要存取金鑰。 您可以使用這兩個金鑰中任何一個來存取您的自動化帳戶。 不過,建議您使用第一個金鑰,並保留第二個金鑰後續使用。
手動輪替存取金鑰
建議您定期輪替存取金鑰,確保自動化帳戶的安全。 當您有兩個存取金鑰時,可以使用 Azure 入口網站或 Azure PowerShell Cmdlet 來加以輪替。
選擇用戶端
執行下列步驟:
- 在 Azure 入口網站中,移至您的自動化帳戶。
- 在 [帳戶設定] 底下,選取 [金鑰]。
- 選取 [重新產生主要金鑰],以重新產生自動化帳戶的主要存取金鑰。
- 選取 [重新產生次要金鑰],以重新產生次要存取金鑰。
檢視註冊 URL
DSC 節點會使用註冊 URL 向狀態設定服務進行註冊,並使用註冊存取金鑰以及自動化帳戶存取金鑰進行驗證。
下一步
- 若要開始使用 PowerShell Runbook,請參閱教學課程:建立 PowerShell Runbook。
- 若要開始使用 PowerShell 工作流程 Runbook,請參閱教學課程:建立 PowerShell 工作流程 Runbook。
- 若要開始使用 Python 3 Runbook,請參閱教學課程:建立 Python 3 Runbook。
- 如需 PowerShell Cmdlet 參考,請參閱 Az.Automation。