Správa oprávnění rolí a zabezpečení ve službě Automation

Řízení přístupu na základě role Azure (Azure RBAC) umožňuje správu přístupu pro prostředky Azure. Pomocí Azure RBAC můžete oddělit povinnosti v rámci vašeho týmu a udělit jenom množství přístupu uživatelům, skupinám a aplikacím, které potřebují k provádění svých úloh. Přístup na základě role můžete uživatelům udělit pomocí Azure Portal, nástrojů Azure Command-Line nebo rozhraní API pro správu Azure.

Role v účtech Automation

V Azure Automation je přístup udělen přiřazením příslušné role Azure uživatelům, skupinám a aplikacím v oboru účtu Automation. Níže jsou uvedené vestavěné role, které účet Automation podporuje:

Role Popis
Vlastník Role Vlastník umožňuje přístup ke všem prostředkům a akcím v rámci účtu Automation, včetně poskytování přístupu jiným uživatelům, skupinám a aplikacím ke správě účtu Automation.
Přispěvatel Role přispěvatele umožňuje spravovat všechno kromě úpravy oprávnění jiných uživatelů k přístupu k účtu Automation.
Čtenář Role Čtenář umožňuje zobrazit všechny prostředky v účtu Automation, ale nemůže provádět žádné změny.
Přispěvatel služby Automation Role Přispěvatel služby Automation umožňuje spravovat všechny prostředky v účtu Automation s výjimkou úprav přístupových oprávnění jiného uživatele k účtu Automation.
Operátor služby Automation Role operátora automation umožňuje zobrazit název a vlastnosti runbooku a vytvářet a spravovat úlohy pro všechny runbooky v účtu Automation. Tato role je užitečná, pokud chcete chránit prostředky účtu Automation, jako jsou prostředky přihlašovacích údajů a runbooky před zobrazením nebo úpravou, ale přesto povolit členům vaší organizace spouštění těchto runbooků.
Operátor úlohy automatizace Role Operátor úlohy Automation umožňuje vytvářet a spravovat úlohy pro všechny runbooky v účtu Automation.
Operátor runbooku Automation Role Operátor runbooku Automation umožňuje zobrazit název a vlastnosti runbooku.
Přispěvatel Log Analytics Role Přispěvatel Log Analytics umožňuje číst všechna data monitorování a upravovat nastavení monitorování. Úprava nastavení monitorování zahrnuje přidání rozšíření virtuálního počítače do virtuálních počítačů, čtení klíčů účtu úložiště, aby bylo možné nakonfigurovat shromažďování protokolů ze služby Azure Storage, vytvářet a konfigurovat účty Automation, přidávat Azure Automation funkce a konfigurovat diagnostiku Azure pro všechny prostředky Azure.
Čtenář Log Analytics Role Čtenář log Analytics umožňuje zobrazit a prohledávat všechna data monitorování a také zobrazit nastavení monitorování. To zahrnuje zobrazení konfigurace diagnostiky Azure u všech prostředků Azure.
Přispěvatel monitorování Role Přispěvatel monitorování umožňuje číst všechna data monitorování a aktualizovat nastavení monitorování.
Čtenář monitorování Role Čtenář monitorování umožňuje číst všechna data monitorování.
Správce uživatelských přístupů Role správce přístupu uživatelů umožňuje spravovat přístup uživatelů k účtům Azure Automation.

Oprávnění role

Následující tabulky popisují konkrétní oprávnění udělená jednotlivým rolím. To může zahrnovat akce, které udělují oprávnění, a ne akce, které je omezují.

Vlastník

Vlastník může spravovat všechno, včetně přístupu. Následující tabulka ukazuje oprávnění udělená pro roli:

Akce Popis
Microsoft.Automation/automationAccounts/* Vytvářejte a spravujte prostředky všech typů.

Přispěvatel

Přispěvatel může spravovat všechno kromě přístupu. Následující tabulka ukazuje udělená a odepřená oprávnění pro roli:

Akce Popis
Microsoft.Automation/automationAccounts/* Vytváření a správa prostředků všech typů
Ne akce
Microsoft.Authorization/*/Delete Odstraňte role a přiřazení rolí.
Microsoft.Authorization/*/Write Vytváření rolí a přiřazení rolí
Microsoft.Authorization/elevateAccess/Action Odmítne možnost vytvořit správce uživatelských přístupů.

Čtenář

Poznámka

Nedávno jsme provedli změnu oprávnění předdefinované role Čtenář pro účet Automation. Další informace

Čtenář může zobrazit všechny prostředky v účtu Automation, ale nemůže provádět žádné změny.

Akce Popis
Microsoft.Automation/automationAccounts/read Zobrazte všechny prostředky v účtu Automation.

Přispěvatel služby Automation

Přispěvatel služby Automation může spravovat všechny prostředky v účtu Automation kromě přístupu. Následující tabulka ukazuje oprávnění udělená pro roli:

Akce Popis
Microsoft.Automation/automationAccounts/* Vytvářejte a spravujte prostředky všech typů.
Microsoft.Authorization/*/read Čtení rolí a přiřazení rolí
Microsoft.Resources/deployments/* Vytváření a správa nasazení skupin prostředků
Microsoft.Resources/subscriptions/resourceGroups/read Přečtěte si nasazení skupin prostředků.
Microsoft.Support/* Vytvořte a spravujte lístky podpory.
Microsoft. Přehledy/ActionGroups/* Skupiny akcí pro čtení, zápis a odstranění
Microsoft. Přehledy/ActivityLogAlerts/* Upozornění protokolu aktivit pro čtení, zápis nebo odstranění
Microsoft. Přehledy/diagnosticSettings/* Nastavení diagnostiky pro čtení, zápis nebo odstranění
Microsoft. Přehledy/MetricAlerts/* Upozornění na metriky v reálném čase můžete číst, zapisovat a odstraňovat.
Microsoft. Přehledy/ScheduledQueryRules/* Upozornění protokolu pro čtení,zápis a odstranění ve službě Azure Monitor
Microsoft.OperationalInsights/workspaces/sharedKeys/action Výpis klíčů pro pracovní prostor Služby Log Analytics

Poznámka

Roli Přispěvatel služby Automation je možné použít pro přístup k jakémukoli prostředku pomocí spravované identity, pokud jsou pro cílový prostředek nastavena příslušná oprávnění nebo pomocí účtu Spustit jako. Účet Automation Spustit jako je ve výchozím nastavení nakonfigurovaný s právy přispěvatele v předplatném. Postupujte podle instančního objektu s nejnižším oprávněním a pečlivě přiřaďte oprávnění jenom potřebná ke spuštění runbooku. Pokud je například účet Automation nutný jenom ke spuštění nebo zastavení virtuálního počítače Azure, musí být oprávnění přiřazená k účtu Spustit jako nebo spravované identitě jenom pro spuštění nebo zastavení virtuálního počítače. Podobně platí, že pokud runbook čte z úložiště objektů blob, přiřaďte oprávnění jen pro čtení.

Při přiřazování oprávnění se doporučuje používat řízení přístupu na základě role (RBAC) Azure přiřazené spravované identitě. Projděte si naše nejlepší doporučení pro používání spravované identity přiřazené systémem nebo uživatelem, včetně správy a zásad správného řízení během jeho životnosti.

Operátor služby Automation

Operátor automation dokáže vytvářet a spravovat úlohy a číst názvy a vlastnosti runbooků pro všechny runbooky v účtu Automation.

Poznámka

Pokud chcete řídit přístup operátora k jednotlivým runbookům, nenastavujte tuto roli. Místo toho použijte roli Operátor úlohy Automation a Operátor runbooku Automation v kombinaci.

Následující tabulka ukazuje oprávnění udělená pro roli:

Akce Popis
Microsoft.Authorization/*/read Autorizace pro čtení
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read Přečtěte si prostředky hybrid Runbook Worker.
Microsoft.Automation/automationAccounts/jobs/read Vypíše úlohy runbooku.
Microsoft.Automation/automationAccounts/jobs/resume/action Obnovte úlohu, která je pozastavena.
Microsoft.Automation/automationAccounts/jobs/stop/action Zrušte probíhající úlohu.
Microsoft.Automation/automationAccounts/jobs/streams/read Přečtěte si Toky úlohy a výstupu.
Microsoft.Automation/automationAccounts/jobs/output/read Získejte výstup úlohy.
Microsoft.Automation/automationAccounts/jobs/suspend/action Pozastavte probíhající úlohu.
Microsoft.Automation/automationAccounts/jobs/write Vytváření úloh
Microsoft.Automation/automationAccounts/jobSchedules/read Získejte plán úlohy Azure Automation.
Microsoft.Automation/automationAccounts/jobSchedules/write Vytvořte plán úlohy Azure Automation.
Microsoft.Automation/automationAccounts/linkedWorkspace/read Získejte pracovní prostor propojený s účtem Automation.
Microsoft.Automation/automationAccounts/read Získejte účet Azure Automation.
Microsoft.Automation/automationAccounts/runbooky/read Získejte runbook Azure Automation.
Microsoft.Automation/automationAccounts/schedules/read Získejte prostředek plánu Azure Automation.
Microsoft.Automation/automationAccounts/schedules/write Vytvořte nebo aktualizujte prostředek plánu Azure Automation.
Microsoft.Resources/subscriptions/resourceGroups/read Čtení rolí a přiřazení rolí
Microsoft.Resources/deployments/* Vytváření a správa nasazení skupin prostředků
Microsoft. Přehledy/alertRules/* Vytváření a správa pravidel upozornění
Microsoft.Support/* Vytvořte a spravujte lístky podpory.
Microsoft.ResourceHealth/availabilityStatuses/read Získá stav dostupnosti pro všechny prostředky v zadaném oboru.

Operátor úlohy automatizace

Role Operátor úlohy Automation je udělena v oboru účtu Automation. To umožňuje operátorům vytvářet a spravovat úlohy pro všechny runbooky v účtu. Pokud má role operátora úlohy udělená oprávnění ke čtení pro skupinu prostředků obsahující účet Automation, mají členové této role možnost spustit runbooky. Nemají ale možnost je vytvářet, upravovat ani odstraňovat.

Následující tabulka ukazuje oprávnění udělená pro roli:

Akce Popis
Microsoft.Authorization/*/read Autorizace pro čtení
Microsoft.Automation/automationAccounts/jobs/read Vypíše úlohy runbooku.
Microsoft.Automation/automationAccounts/jobs/resume/action Obnovte úlohu, která je pozastavena.
Microsoft.Automation/automationAccounts/jobs/stop/action Zrušte probíhající úlohu.
Microsoft.Automation/automationAccounts/jobs/streams/read Přečtěte si Toky úlohy a výstupu.
Microsoft.Automation/automationAccounts/jobs/suspend/action Pozastavte probíhající úlohu.
Microsoft.Automation/automationAccounts/jobs/write Vytváření úloh
Microsoft.Resources/subscriptions/resourceGroups/read Čtení rolí a přiřazení rolí
Microsoft.Resources/deployments/* Vytváření a správa nasazení skupin prostředků
Microsoft. Přehledy/alertRules/* Vytváření a správa pravidel upozornění
Microsoft.Support/* Vytvořte a spravujte lístky podpory.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read Přečte skupinu Hybrid Runbook Worker.
Microsoft.Automation/automationAccounts/jobs/output/read Získá výstup úlohy.

Operátor runbooku Automation

Role operátora runbooku Automation je udělena v oboru runbooku. Operátor runbooku Automation může zobrazit název a vlastnosti runbooku. Tato role v kombinaci s rolí Operátor úlohy automatizace umožňuje operátoru také vytvářet a spravovat úlohy pro runbook. Následující tabulka ukazuje oprávnění udělená pro roli:

Akce Popis
Microsoft.Automation/automationAccounts/runbooky/read Vypíše runbooky.
Microsoft.Authorization/*/read Autorizace pro čtení
Microsoft.Resources/subscriptions/resourceGroups/read Čtení rolí a přiřazení rolí
Microsoft.Resources/deployments/* Vytváření a správa nasazení skupin prostředků
Microsoft. Přehledy/alertRules/* Vytváření a správa pravidel upozornění
Microsoft.Support/* Vytvořte a spravujte lístky podpory.

Přispěvatel Log Analytics

Přispěvatel Log Analytics může číst všechna data monitorování a upravovat nastavení monitorování. Úprava nastavení monitorování zahrnuje přidání rozšíření virtuálního počítače do virtuálních počítačů; čtení klíčů účtu úložiště, aby bylo možné nakonfigurovat shromažďování protokolů z Azure Storage; vytváření a konfigurace účtů Automation, přidávání funkcí a konfigurace diagnostiky Azure pro všechny prostředky Azure. Následující tabulka ukazuje oprávnění udělená pro roli:

Akce Popis
*/read Přečtěte si zdroje všech typů s výjimkou tajných kódů.
Microsoft.ClassicCompute/virtualMachines/extensions/* Vytváření a správa rozšíření virtuálních počítačů
Microsoft.ClassicStorage/storageAccounts/listKeys/action Výpis klasických klíčů účtu úložiště
Microsoft.Compute/virtualMachines/extensions/* Vytváření a správa klasických rozšíření virtuálních počítačů
Microsoft. Přehledy/alertRules/* Pravidla upozornění pro čtení, zápis nebo odstranění
Microsoft. Přehledy/diagnosticSettings/* Nastavení diagnostiky pro čtení, zápis nebo odstranění
Microsoft.OperationalInsights/* Správa protokolů služby Azure Monitor
Microsoft.OperationsManagement/* Správa funkcí Azure Automation v pracovních prostorech
Microsoft.Resources/deployments/* Vytváření a správa nasazení skupin prostředků
Microsoft.Resources/subscriptions/resourcegroups/deployments/* Vytváření a správa nasazení skupin prostředků
Microsoft. Storage/storageAccounts/listKeys/action Výpis klíčů účtu úložiště
Microsoft.Support/* Vytvořte a spravujte lístky podpory.
Microsoft.HybridCompute/machines/extensions/write Nainstaluje nebo aktualizuje rozšíření Azure Arc.

Čtenář Log Analytics

Čtenář služby Log Analytics může zobrazit a prohledávat všechna data monitorování a zobrazit nastavení monitorování, včetně zobrazení konfigurace diagnostiky Azure ve všech prostředcích Azure. Následující tabulka ukazuje udělená nebo odepřená oprávnění pro roli:

Akce Popis
*/read Přečtěte si zdroje všech typů s výjimkou tajných kódů.
Microsoft.OperationalInsights/workspaces/analytics/query/action Správa dotazů v protokolech služby Azure Monitor
Microsoft.OperationalInsights/workspaces/search/action Vyhledejte data protokolu služby Azure Monitor.
Microsoft.Support/* Vytvořte a spravujte lístky podpory.
Ne akce
Microsoft.OperationalInsights/workspaces/sharedKeys/read Nelze číst sdílené přístupové klíče.

Přispěvatel monitorování

Přispěvatel monitorování může číst všechna data monitorování a aktualizovat nastavení monitorování. Následující tabulka ukazuje oprávnění udělená pro roli:

Akce Popis
*/read Přečtěte si zdroje všech typů s výjimkou tajných kódů.
Microsoft.AlertsManagement/alerts/* Spravovat výstrahy
Microsoft.AlertsManagement/alertsSummary/* Správa řídicího panelu Upozornění
Microsoft. Přehledy/AlertRules/* Správa pravidel upozornění
Microsoft. Přehledy/components/* Správa komponent Přehledy aplikací
Microsoft.Insights/DiagnosticSettings/* Správa nastavení diagnostiky
Microsoft. Přehledy/eventtypes/* Výpis událostí protokolu aktivit (událostí správy) v předplatném Toto oprávnění platí pro programový i portálový přístup k protokolu aktivit.
Microsoft. Přehledy/LogDefinitions/* Toto oprávnění je nezbytné pro uživatele, kteří potřebují přístup k protokolům aktivit prostřednictvím portálu. Výpis kategorií protokolů v protokolu aktivit
Microsoft. Přehledy/MetricDefinitions/* Čtení definic metrik (seznam dostupných typů metrik pro prostředek)
Microsoft. Přehledy/Metriky/* Přečtěte si metriky pro prostředek.
Microsoft. Přehledy, registrace nebo akce Zaregistrujte Microsoft. Přehledy poskytovatele.
Microsoft. Přehledy/webtests/* Správa webových testů Přehledy aplikací
Microsoft.OperationalInsights/workspaces/intelligencepacks/* Správa sad řešení protokolů služby Azure Monitor
Microsoft.OperationalInsights/workspaces/savedSearches/* Správa uložených hledání protokolů služby Azure Monitor
Microsoft.OperationalInsights/workspaces/search/action Prohledat pracovní prostory Log Analytics
Microsoft.OperationalInsights/workspaces/sharedKeys/action Výpis klíčů pro pracovní prostor Služby Log Analytics
Microsoft.OperationalInsights/workspaces/storageinsightconfigs/* Správa konfigurací přehledů úložiště protokolů služby Azure Monitor
Microsoft.Support/* Vytvořte a spravujte lístky podpory.
Microsoft.WorkloadMonitor/workloads/* Správa úloh

Čtenář monitorování

Čtenář monitorování může číst všechna data monitorování. V následující tabulce jsou uvedena oprávnění udělená pro roli:

Akce Popis
*/číst Přečtěte si prostředky všech typů kromě tajných kódů.
Microsoft.OperationalInsights/workspaces/search/action Prohledat pracovní prostory Log Analytics
Microsoft.Support/* Vytváření a správa lístků podpory

Správce uživatelských přístupů

Správce uživatelských přístupů může spravovat uživatelský přístup k prostředkům Azure. V následující tabulce jsou uvedena oprávnění udělená pro roli:

Akce Popis
*/číst Čtení všech prostředků
Microsoft.Authorization/* Správa autorizace
Microsoft.Support/* Vytváření a správa lístků podpory

Oprávnění pro přístup k rolím čtenáře

Důležité

K posílení celkového stavu zabezpečení Azure Automation by integrovaná čtečka RBAC neměla přístup k klíčům účtu Automation prostřednictvím volání rozhraní API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION.

Předdefinovaná role čtenáře pro účet Automation nemůže použít API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION k načtení klíčů účtu Automation. Jedná se o operaci s vysokou úrovní oprávnění, která poskytuje citlivé informace, které by mohly představovat bezpečnostní riziko nežádoucího škodlivého objektu actor s nízkými oprávněními, kteří můžou získat přístup ke klíčům účtu Automation a mohou provádět akce se zvýšenou úrovní oprávnění.

Pokud chcete získat přístup API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION, doporučujeme přepnout na předdefinované role, jako je Vlastník, Přispěvatel nebo Přispěvatel Automation, abyste měli přístup k klíčům účtu Automation. Ve výchozím nastavení budou mít tyto role oprávnění listKeys . Osvědčeným postupem je vytvořit vlastní roli s omezenými oprávněními pro přístup k klíčům účtu Automation. Pro vlastní roli musíte přidat Microsoft.Automation/automationAccounts/listKeys/action oprávnění k definici role. Přečtěte si další informace o tom, jak vytvořit vlastní roli z Azure Portal.

Oprávnění k nastavení funkcí

Následující části popisují minimální požadovaná oprávnění potřebná k povolení řešení Update Management a Sledování změn a inventář funkcí.

Oprávnění pro povolení řešení Update Management a Sledování změn a inventář z virtuálního počítače

Akce Oprávnění Minimální rozsah
Zápis nového nasazení Microsoft.Resources/deployments/* Předplatné
Zápis nové skupiny prostředků Microsoft.Resources/subscriptions/resourceGroups/write Předplatné
Vytvoření nového výchozího pracovního prostoru Microsoft.OperationalInsights/ workspaces/write Skupina prostředků
Vytvořit nový účet Microsoft.Automation/automationAccounts/write Skupina prostředků
Propojení pracovního prostoru a účtu Microsoft.OperationalInsights/workspaces/writeMicrosoft.Automation
/automationAccounts/read
Účet WorkspaceAutomation
Vytvoření rozšíření MMA Microsoft.Compute/virtualMachines/write Virtuální počítač
Vytvoření uloženého vyhledávání Microsoft.OperationalInsights/ workspaces/write Pracovní prostor
Vytvoření konfigurace oboru Microsoft.OperationalInsights/ workspaces/write Pracovní prostor
Kontrola stavu onboardingu – Pracovní prostor pro čtení Microsoft.OperationalInsights/ workspaces/read Pracovní prostor
Kontrola stavu připojování – čtení vlastnosti propojeného pracovního prostoru účtu Microsoft.Automation/automationAccounts/read Účet Automation
Kontrola stavu připojování – Řešení pro čtení Microsoft.OperationalInsights/workspaces/intelligencepacks/read Řešení
Kontrola stavu onboardingu – Čtení virtuálního počítače Microsoft.Compute/virtualMachines/read Virtuální počítač
Kontrola stavu onboardingu – čtení účtu Microsoft.Automation/automationAccounts/read Účet Automation
Kontrola pracovního prostoru onboardingu pro virtuální počítač 1 Microsoft.OperationalInsights/ workspaces/read Předplatné
Registrace poskytovatele Log Analytics Microsoft. Přehledy/ registrace/ akce Předplatné

1 Toto oprávnění je potřeba k povolení funkcí prostřednictvím prostředí portálu virtuálního počítače.

Oprávnění pro povolení řešení Update Management a Sledování změn a inventář z účtu Automation

Akce Oprávnění Minimální rozsah
Vytvoření nového nasazení Microsoft.Resources/deployments/* Předplatné
Vytvoření nové skupiny prostředků Microsoft.Resources/subscriptions/resourceGroups/write Předplatné
Okno AutomationOnboarding – Vytvoření nového pracovního prostoru Microsoft.OperationalInsights/ workspaces/write Skupina prostředků
Okno AutomationOnboarding – čtení propojeného pracovního prostoru Microsoft.Automation/automationAccounts/read Účet Automation
Okno AutomationOnboarding – řešení pro čtení Microsoft.OperationalInsights/workspaces/intelligencepacks/read Řešení
Okno AutomationOnboarding – pracovní prostor pro čtení Microsoft.OperationalInsights/workspaces/intelligencepacks/read Pracovní prostor
Vytvoření odkazu pro pracovní prostor a účet Microsoft.OperationalInsights/workspaces/write Pracovní prostor
Zápis účtu pro botník Microsoft.Automation/automationAccounts/write Účet
Vytvoření nebo úprava uloženého vyhledávání Microsoft.OperationalInsights/workspaces/write Pracovní prostor
Vytvoření nebo úprava konfigurace oboru Microsoft.OperationalInsights/workspaces/write Pracovní prostor
Registrace poskytovatele Log Analytics Microsoft. Přehledy, registrace nebo akce Předplatné
Krok 2 – povolení více virtuálních počítačů
Okno VMOnboarding – Vytvoření rozšíření MMA Microsoft.Compute/virtualMachines/write Virtuální počítač
Vytvoření nebo úprava uloženého vyhledávání Microsoft.OperationalInsights/workspaces/write Pracovní prostor
Vytvoření nebo úprava konfigurace oboru Microsoft.OperationalInsights/workspaces/write Pracovní prostor

Správa oprávnění role pro skupiny Hybrid Worker a hybridní pracovní procesy

Ve službě Automation můžete vytvořit vlastní role Azure a udělit následující oprávnění skupinám hybrid Worker a hybridním pracovním procesům:

Oprávnění update Management

Řešení Update Management se dá použít k posouzení a plánování nasazení aktualizací na počítače v několika předplatných ve stejném tenantovi Azure Active Directory (Azure AD) nebo napříč tenanty pomocí Služby Azure Lighthouse. Následující tabulka uvádí oprávnění potřebná ke správě nasazení aktualizací.

Prostředek Role Scope
Účet Automation Přispěvatel virtuálních počítačů Skupina prostředků pro účet
Pracovní prostor služby Log Analytics Přispěvatel Log Analytics Pracovní prostor služby Log Analytics
Pracovní prostor služby Log Analytics Čtenář Log Analytics Předplatné
Řešení Přispěvatel Log Analytics Řešení
Virtuální počítač Přispěvatel virtuálních počítačů Virtuální počítač
Akce na virtuálním počítači
Zobrazení historie spouštění plánu aktualizací (spuštění počítače konfigurace aktualizace softwaru) Čtenář Účet Automation
Akce na virtuálním počítači Oprávnění
Vytvoření plánu aktualizace (konfigurace aktualizací softwaru) Microsoft.Compute/virtualMachines/write Seznam statických virtuálních počítačů a skupiny prostředků
Vytvoření plánu aktualizace (konfigurace aktualizací softwaru) Microsoft.OperationalInsights/workspaces/analytics/query/action ID prostředku pracovního prostoru při použití dynamického seznamu mimo Azure

Konfigurace Azure RBAC pro váš účet Automation

Následující část ukazuje, jak nakonfigurovat Azure RBAC na účtu Automation prostřednictvím Azure Portal a PowerShellu.

Konfigurace Azure RBAC pomocí Azure Portal

  1. Přihlaste se k Azure Portal a otevřete svůj účet Automation na stránce Účty Automation.

  2. Vyberte Řízení přístupu (IAM) a v seznamu dostupných rolí vyberte roli. Můžete zvolit některou z dostupných předdefinovaných rolí, které účet Automation podporuje, nebo libovolnou vlastní roli, kterou jste mohli definovat. Přiřaďte roli uživateli, kterému chcete udělit oprávnění.

    Podrobný postup najdete v tématu Přiřazení rolí Azure pomocí Azure Portal.

    Poznámka

    Řízení přístupu na základě role můžete nastavit jenom v oboru účtu Automation a ne u žádného prostředku pod účtem Automation.

Odebrání přiřazení rolí od uživatele

Můžete odebrat přístupová oprávnění pro uživatele, který nespravuje účet Automation nebo kdo už pro organizaci nefunguje. Následující kroky ukazují, jak odebrat přiřazení rolí od uživatele. Podrobné kroky najdete v tématu Odebrání přiřazení rolí Azure:

  1. Otevřete řízení přístupu (IAM) v oboru, jako je skupina pro správu, předplatné, skupina prostředků nebo prostředek, ve kterém chcete odebrat přístup.

  2. Výběrem karty Přiřazení rolí zobrazíte všechna přiřazení rolí v tomto oboru.

  3. V seznamu přiřazení rolí přidejte vedle uživatele značku zaškrtnutí s přiřazením role, které chcete odebrat.

  4. Vyberte Odebrat.

    Remove users

Konfigurace Azure RBAC pomocí PowerShellu

Přístup na základě role k účtu Automation můžete nakonfigurovat také pomocí následujících rutin Azure PowerShell:

Get-AzRoleDefinition uvádí všechny role Azure, které jsou k dispozici v Azure Active Directory. Tuto rutinu s parametrem můžete použít k výpisu Name všech akcí, které může konkrétní role provést.

Get-AzRoleDefinition -Name 'Automation Operator'

Následuje příklad výstupu:

Name             : Automation Operator
Id               : d3881f73-407a-4167-8283-e981cbba0404
IsCustom         : False
Description      : Automation Operators are able to start, stop, suspend, and resume jobs
Actions          : {Microsoft.Authorization/*/read, Microsoft.Automation/automationAccounts/jobs/read, Microsoft.Automation/automationAccounts/jobs/resume/action,
                   Microsoft.Automation/automationAccounts/jobs/stop/action...}
NotActions       : {}
AssignableScopes : {/}

Get-AzRoleAssignment uvádí přiřazení rolí Azure v zadaném oboru. Bez jakýchkoli parametrů tato rutina vrátí všechna přiřazení rolí provedená v rámci předplatného. Pomocí parametru ExpandPrincipalGroups můžete zobrazit přiřazení přístupu pro zadaného uživatele a také skupiny, do nichž uživatel patří.

Příklad: Pomocí následující rutiny zobrazíte seznam všech uživatelů a jejich rolí v rámci účtu Automation.

Get-AzRoleAssignment -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

Následuje příklad výstupu:

RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
                     ers/Microsoft.Authorization/roleAssignments/cc594d39-ac10-46c4-9505-f182a355c41f
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName        : admin@contoso.com
SignInName         : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId   : d3881f73-407a-4167-8283-e981cbba0404
ObjectId           : 15f26a47-812d-489a-8197-3d4853558347
ObjectType         : User

Pomocí příkazu New-AzRoleAssignment přiřaďte přístup uživatelům, skupinám a aplikacím k určitému oboru.

Příklad: Pomocí následujícího příkazu přiřaďte roli Operátor automation pro uživatele v oboru účtu Automation.

New-AzRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName 'Automation operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

Následuje příklad výstupu:

RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
                     ers/Microsoft.Authorization/roleAssignments/25377770-561e-4496-8b4f-7cba1d6fa346
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName        : admin@contoso.com
SignInName         : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId   : d3881f73-407a-4167-8283-e981cbba0404
ObjectId           : f5ecbe87-1181-43d2-88d5-a8f5e9d8014e
ObjectType         : User

Pomocí remove-AzRoleAssignment odeberte přístup zadaného uživatele, skupiny nebo aplikace z konkrétního oboru.

Příklad: Pomocí následujícího příkazu odeberte uživatele z role operátora Automation v oboru účtu Automation.

Remove-AzRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName 'Automation Operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

V předchozím příkladu nahraďte sign-in ID of a user you wish to remove, , SubscriptionIDResource Group Namea Automation account name s podrobnostmi o vašem účtu. Zvolte ano , až se zobrazí výzva k potvrzení, než budete pokračovat v odebrání přiřazení rolí uživatele.

Uživatelské prostředí pro roli operátora Automation – účet Automation

Když uživatel přiřazený k roli operátora Automation v oboru účtu Automation zobrazí účet Automation, ke kterému je přiřazený, může uživatel zobrazit jenom seznam runbooků, úloh runbooků a plánů vytvořených v účtu Automation. Tento uživatel nemůže zobrazit definice těchto položek. Uživatel může spustit, zastavit, pozastavit, obnovit nebo naplánovat úlohu runbooku. Uživatel ale nemá přístup k jiným prostředkům Automation, jako jsou konfigurace, skupiny Hybrid Runbook Worker nebo uzly DSC.

No access to resources

Konfigurace Azure RBAC pro runbooky

Azure Automation umožňuje přiřadit role Azure konkrétním runbookům. Uděláte to tak, že spuštěním následujícího skriptu přidáte uživatele do konkrétního runbooku. Tento skript může spustit správce účtu Automation nebo správce tenanta.

$rgName = "<Resource Group Name>" # Resource Group name for the Automation account
$automationAccountName ="<Automation account name>" # Name of the Automation account
$rbName = "<Name of Runbook>" # Name of the runbook
$userId = "<User ObjectId>" # Azure Active Directory (AAD) user's ObjectId from the directory

# Gets the Automation account resource
$aa = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts" -ResourceName $automationAccountName

# Get the Runbook resource
$rb = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts/runbooks" -ResourceName "$rbName"

# The Automation Job Operator role only needs to be run once per user.
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Job Operator" -Scope $aa.ResourceId

# Adds the user to the Automation Runbook Operator role to the Runbook scope
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Runbook Operator" -Scope $rb.ResourceId

Po spuštění skriptu se přihlaste k Azure Portal a vyberte Všechny prostředky. V seznamu může uživatel zobrazit runbook, pro který byl přidán jako operátor runbooku Automation.

Runbook Azure RBAC in the portal

Uživatelské prostředí pro roli operátora Automation – Runbook

Když uživatel přiřazený k roli Operátor automatizace v zobrazení oboru runbooku zobrazí přiřazený runbook, může uživatel spustit runbook a zobrazit úlohy runbooku.

Only has access to start

Další kroky