Azure Otomasyonu hesabı kimlik doğrulamasına genel bakış

Önemli

Azure Otomasyonu Klasik Farklı Çalıştır hesapları da dahil olmak üzere Farklı çalıştır hesapları 30 Eylül 2023'te kullanımdan kaldırıldı ve yerine Yönetilen Kimlikler kullanıldı. Artık Azure portalı üzerinden Farklı çalıştır hesapları oluşturamaz veya yenileyemezsiniz. Daha fazla bilgi için bkz. Mevcut Farklı Çalıştır hesaplarından yönetilen kimliğe geçiş.

Azure Automation, Azure’deki, şirket içindeki kaynaklara karşı ve Amazon Web Hizmetleri (AWS) gibi diğer bulut sağlayıcılarıyla görevleri otomatikleştirmenizi sağlar. Görevlerinizi otomatikleştirmek için runbook'ları veya Azure dışında yönetebileceğiniz iş veya operasyonel süreçleriniz varsa Karma Runbook Çalışanı kullanabilirsiniz. Bu ortamlardan herhangi birinde çalışmak için gerekli en düşük haklara sahip kaynaklara güvenli bir şekilde erişmek için izinler gerekir.

Bu makale, Azure Otomasyonu tarafından desteklenen kimlik doğrulama senaryolarını kapsar ve yönetmeniz gereken ortamı veya ortamları temel alarak kullanmaya başlamayı açıklar.

Otomasyon hesabı

Azure Automation’u ilk kez başlattığınızda, en az bir Automation hesabı oluşturmanız gerekir. Otomasyon hesapları Otomasyon kaynaklarınızı, runbook'larınızı, varlıklarınızı ve yapılandırmalarınızı diğer hesapların kaynaklarından yalıtmanıza olanak tanır. Otomasyon hesaplarını kullanarak kaynakları ayrı mantıksal ortamlara veya temsilci sorumluluklarına ayırabilirsiniz. Örneğin, geliştirme için bir hesap, üretim için başka bir hesap ve şirket içi ortamınız için de başka bir hesap kullanabilirsiniz. Veya Güncelleştirme Yönetimi ile tüm makinelerinizde işletim sistemi güncelleştirmelerini yönetmek için bir Otomasyon hesabı ayırabilirsiniz.

Azure Automation hesabı, Azure aboneliğinizde oluşturduğunuz Microsoft hesabı veya hesaplarından farklıdır. Otomasyon hesabı oluşturmaya giriş için bkz . Otomasyon hesabı oluşturma.

Otomasyon kaynakları

Her Otomasyon hesabının Otomasyon kaynakları tek bir Azure bölgesiyle ilişkilendirilir, ancak hesap Azure aboneliğinizdeki tüm kaynakları yönetebilir. Farklı bölgelerde Otomasyon hesapları oluşturmanın temel nedeni, verilerin ve kaynakların belirli bir bölgeye yalıtılması gereken ilkeleriniz olmasıdır.

Azure Otomasyonu'de Azure Resource Manager ve PowerShell cmdlet'lerini kullanarak kaynaklara karşı oluşturduğunuz tüm görevlerin, Microsoft Entra kuruluş kimliği kimlik bilgileri tabanlı kimlik doğrulaması kullanarak Azure'da kimlik doğrulaması yapması gerekir.

Yönetilen kimlikler

Microsoft Entra Id'den yönetilen kimlik, runbook'unuzun diğer Microsoft Entra korumalı kaynaklara kolayca erişmesini sağlar. Kimlik Azure platformu tarafından yönetilir ve herhangi bir gizli dizi sağlamanızı veya düzenli olarak değiştirmenizi gerektirmez. Microsoft Entra Id'deki yönetilen kimlikler hakkında daha fazla bilgi için bkz . Azure kaynakları için yönetilen kimlikler.

Yönetilen kimlikler, runbook'larınızda kimlik doğrulaması için önerilen yoldur ve Otomasyon hesabınız için varsayılan kimlik doğrulama yöntemidir.

Yönetilen kimlikleri kullanmanın avantajlarından bazıları şunlardır:

• Otomasyon Farklı Çalıştır hesabı yerine yönetilen kimlik kullanmak yönetimi basitleştirir.

• Yönetilen kimlikler ek maliyet olmadan kullanılabilir.

• Runbook kodunuzda Farklı Çalıştır bağlantı nesnesini belirtmeniz gerekmez. Otomasyon hesabınızın yönetilen kimliğini kullanarak kaynaklara sertifika, bağlantı vb. oluşturmadan bir runbook'tan erişebilirsiniz.

Otomasyon hesabı iki tür yönetilen kimlik kullanarak kimlik doğrulaması yapabilir:

• Sistem tarafından atanan bir kimlik uygulamanıza bağlıdır ve uygulamanız silinirse silinir. Bir uygulama sistem tarafından atanan yalnızca bir kimliğe sahip olabilir.

• Kullanıcı tarafından atanan kimlik ise uygulamanıza atanabilen tek başına bir Azure kaynağıdır. Bir uygulama için kullanıcı tarafından atanan birden çok kimlik olabilir.

Dekont

Kullanıcı tarafından atanan kimlikler yalnızca bulut işleri için desteklenir. Farklı yönetilen kimlikler hakkında daha fazla bilgi edinmek için bkz . Kimlik türlerini yönetme.

Yönetilen kimlikleri kullanma hakkında ayrıntılı bilgi için bkz. Azure Otomasyonu için yönetilen kimliği etkinleştirme.

Abonelik izinleri

Microsoft.Authorization/*/Write izinlerine ihtiyacınız var. Bu izin, aşağıdaki Azure yerleşik rollerinden birinin üyeliğiyle alınır:

• Sahibi
• Kullanıcı Erişimi Yöneticisi

Klasik abonelik izinleri hakkında daha fazla bilgi edinmek için bkz. Azure klasik abonelik yöneticileri.

Microsoft Entra izinleri

Hizmet sorumlusunu yenilemek için aşağıdaki Microsoft Entra yerleşik rollerinden birinin üyesi olmanız gerekir:

• Uygulama Yöneticisi
• Uygulama Geliştirici

Üyelik, varsayılan davranış olan dizin düzeyinde kiracıdaki TÜM kullanıcılara atanabilir. Her iki role de dizin düzeyinde üyelik izni verebilirsiniz. Daha fazla bilgi için bkz. Kimlerin Microsoft Entra örneğime uygulama ekleme izni vardır?.

Otomasyon hesabı izinleri

Otomasyon hesabını güncelleştirebilmek için aşağıdaki Otomasyon hesabı rollerinden birinin üyesi olmanız gerekir:

• Sahibi
• Katkıda Bulunan

Azure Resource Manager ve Klasik dağıtım modelleri hakkında daha fazla bilgi edinmek için bkz. Resource Manager ve klasik dağıtım.

Dekont

Azure Bulut Çözümü Sağlayıcısı (CSP) abonelikleri yalnızca Azure Resource Manager modelini destekler. Azure dışı Resource Manager hizmetleri bu programda kullanılamaz. CSP aboneliği kullanırken Azure Klasik Farklı Çalıştır hesabı oluşturulmaz, Azure Farklı Çalıştır hesabı oluşturulur. CSP abonelikleri hakkında daha fazla bilgi edinmek için bkz . CSP aboneliklerinde kullanılabilir hizmetler.

Rol tabanlı erişim denetimi

Rol tabanlı erişim denetimi, Bir Microsoft Entra kullanıcı hesabına ve Farklı Çalıştır hesabına izin verilen eylemler vermek ve hizmet sorumlusunun kimliğini doğrulamak için Azure Resource Manager ile birlikte kullanılabilir. Otomasyon izinlerinin yönetilmesi için modelinizin geliştirilmesine yardımcı olma hakkında daha fazla bilgi için Azure Otomasyonu’nda rol tabanlı erişim denetimi makalesini okuyun.

Kaynak gruplarında izin ataması için katı güvenlik denetimleriniz varsa, Farklı Çalıştır hesabı üyeliğini kaynak grubundaki Katkıda Bulunan rolüne atamanız gerekir.

Dekont

Otomasyon işlerini yürütmek için Log Analytics Katkıda Bulunanı rolünü kullanmamanızı öneririz. Bunun yerine, Azure Otomasyonu Katkıda Bulunan özel rolünü oluşturun ve Otomasyon hesabıyla ilgili eylemler için kullanın.

Karma Runbook Çalışanı ile Runbook kimlik doğrulaması

Veri merkezinizdeki bir Karma Runbook Çalışanı üzerinde veya AWS gibi diğer bulut ortamlarındaki bilgi işlem hizmetlerine karşı çalışan runbook'lar, Azure kaynaklarında kimlik doğrulaması yapan runbook'lar için kullanılan yöntemin aynısını kullanamaz. Bunun nedeni, bu kaynakların Azure dışında çalışmasıdır; sonuç olarak da, yerel olarak erişecekleri kaynakların kimliğini doğrulamak için Otomasyon'da tanımlanan kendi güvenlik kimlik bilgileri gerekecektir. Runbook çalışanlarıyla runbook kimlik doğrulaması hakkında daha fazla bilgi için bkz . Karma Runbook Çalışanı üzerinde runbook'ları çalıştırma.

Azure VM'lerinde Karma Runbook Çalışanları kullanan runbook'lar için, Azure kaynaklarınızda kimlik doğrulaması yapmak için Farklı Çalıştır hesapları yerine yönetilen kimliklerle runbook kimlik doğrulamasını kullanabilirsiniz.

Sonraki adımlar

• Azure portalından Otomasyon hesabı oluşturmak için bkz. Tek başına Azure Otomasyonu hesabı oluşturma.
• Hesabınızı şablon kullanarak oluşturmayı tercih ediyorsanız bkz . Azure Resource Manager şablonu kullanarak Otomasyon hesabı oluşturma.
• Amazon Web Services kullanarak kimlik doğrulaması için bkz . Amazon Web Services ile runbook'ların kimliğini doğrulama.
• Azure kaynakları için yönetilen kimlikler özelliğini destekleyen Azure hizmetlerinin listesi için bkz. Azure kaynakları için yönetilen kimlikleri destekleyen hizmetler.