Správa oprávnění rolí a zabezpečení ve službě Automation
Řízení přístupu na základě role Azure (Azure RBAC) umožňuje správu přístupu pro prostředky Azure. Pomocí Azure RBAC můžete oddělit povinnosti v rámci vašeho týmu a udělit jenom množství přístupu uživatelům, skupinám a aplikacím, které potřebují k provádění svých úloh. Přístup na základě role můžete uživatelům udělit pomocí Azure Portal, nástrojů Azure Command-Line nebo rozhraní API pro správu Azure.
Role v účtech Automation
V Azure Automation je přístup udělen přiřazením příslušné role Azure uživatelům, skupinám a aplikacím v oboru účtu Automation. Níže jsou uvedené vestavěné role, které účet Automation podporuje:
| Role | Popis |
|---|---|
| Vlastník | Role Vlastník umožňuje přístup ke všem prostředkům a akcím v rámci účtu Automation, včetně poskytování přístupu jiným uživatelům, skupinám a aplikacím ke správě účtu Automation. |
| Přispěvatel | Role přispěvatele umožňuje spravovat všechno kromě úpravy oprávnění jiných uživatelů k přístupu k účtu Automation. |
| Čtenář | Role Čtenář umožňuje zobrazit všechny prostředky v účtu Automation, ale nemůže provádět žádné změny. |
| Přispěvatel služby Automation | Role Přispěvatel služby Automation umožňuje spravovat všechny prostředky v účtu Automation s výjimkou úprav přístupových oprávnění jiného uživatele k účtu Automation. |
| Operátor služby Automation | Role operátora automation umožňuje zobrazit název a vlastnosti runbooku a vytvářet a spravovat úlohy pro všechny runbooky v účtu Automation. Tato role je užitečná, pokud chcete chránit prostředky účtu Automation, jako jsou prostředky přihlašovacích údajů a runbooky před zobrazením nebo úpravou, ale přesto povolit členům vaší organizace spouštění těchto runbooků. |
| Operátor úlohy automatizace | Role Operátor úlohy Automation umožňuje vytvářet a spravovat úlohy pro všechny runbooky v účtu Automation. |
| Operátor runbooku Automation | Role Operátor runbooku Automation umožňuje zobrazit název a vlastnosti runbooku. |
| Přispěvatel Log Analytics | Role Přispěvatel Log Analytics umožňuje číst všechna data monitorování a upravovat nastavení monitorování. Úprava nastavení monitorování zahrnuje přidání rozšíření virtuálního počítače do virtuálních počítačů, čtení klíčů účtu úložiště, aby bylo možné nakonfigurovat shromažďování protokolů ze služby Azure Storage, vytvářet a konfigurovat účty Automation, přidávat Azure Automation funkce a konfigurovat diagnostiku Azure pro všechny prostředky Azure. |
| Čtenář Log Analytics | Role Čtenář log Analytics umožňuje zobrazit a prohledávat všechna data monitorování a také zobrazit nastavení monitorování. To zahrnuje zobrazení konfigurace diagnostiky Azure u všech prostředků Azure. |
| Přispěvatel monitorování | Role Přispěvatel monitorování umožňuje číst všechna data monitorování a aktualizovat nastavení monitorování. |
| Čtenář monitorování | Role Čtenář monitorování umožňuje číst všechna data monitorování. |
| Správce uživatelských přístupů | Role správce přístupu uživatelů umožňuje spravovat přístup uživatelů k účtům Azure Automation. |
Oprávnění role
Následující tabulky popisují konkrétní oprávnění udělená jednotlivým rolím. To může zahrnovat akce, které udělují oprávnění, a ne akce, které je omezují.
Vlastník
Vlastník může spravovat všechno, včetně přístupu. Následující tabulka ukazuje oprávnění udělená pro roli:
| Akce | Popis |
|---|---|
| Microsoft.Automation/automationAccounts/* | Vytvářejte a spravujte prostředky všech typů. |
Přispěvatel
Přispěvatel může spravovat všechno kromě přístupu. Následující tabulka ukazuje udělená a odepřená oprávnění pro roli:
| Akce | Popis |
|---|---|
| Microsoft.Automation/automationAccounts/* | Vytváření a správa prostředků všech typů |
| Ne akce | |
| Microsoft.Authorization/*/Delete | Odstraňte role a přiřazení rolí. |
| Microsoft.Authorization/*/Write | Vytváření rolí a přiřazení rolí |
| Microsoft.Authorization/elevateAccess/Action | Odmítne možnost vytvořit správce uživatelských přístupů. |
Čtenář
Poznámka
Nedávno jsme provedli změnu oprávnění předdefinované role Čtenář pro účet Automation. Další informace
Čtenář může zobrazit všechny prostředky v účtu Automation, ale nemůže provádět žádné změny.
| Akce | Popis |
|---|---|
| Microsoft.Automation/automationAccounts/read | Zobrazte všechny prostředky v účtu Automation. |
Přispěvatel služby Automation
Přispěvatel služby Automation může spravovat všechny prostředky v účtu Automation kromě přístupu. Následující tabulka ukazuje oprávnění udělená pro roli:
| Akce | Popis |
|---|---|
| Microsoft.Automation/automationAccounts/* | Vytvářejte a spravujte prostředky všech typů. |
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Resources/deployments/* | Vytváření a správa nasazení skupin prostředků |
| Microsoft.Resources/subscriptions/resourceGroups/read | Přečtěte si nasazení skupin prostředků. |
| Microsoft.Support/* | Vytvořte a spravujte lístky podpory. |
| Microsoft. Přehledy/ActionGroups/* | Skupiny akcí pro čtení, zápis a odstranění |
| Microsoft. Přehledy/ActivityLogAlerts/* | Upozornění protokolu aktivit pro čtení, zápis nebo odstranění |
| Microsoft. Přehledy/diagnosticSettings/* | Nastavení diagnostiky pro čtení, zápis nebo odstranění |
| Microsoft. Přehledy/MetricAlerts/* | Upozornění na metriky v reálném čase můžete číst, zapisovat a odstraňovat. |
| Microsoft. Přehledy/ScheduledQueryRules/* | Upozornění protokolu pro čtení,zápis a odstranění ve službě Azure Monitor |
| Microsoft.OperationalInsights/workspaces/sharedKeys/action | Výpis klíčů pro pracovní prostor Služby Log Analytics |
Poznámka
Roli Přispěvatel služby Automation je možné použít pro přístup k jakémukoli prostředku pomocí spravované identity, pokud jsou pro cílový prostředek nastavena příslušná oprávnění nebo pomocí účtu Spustit jako. Účet Automation Spustit jako je ve výchozím nastavení nakonfigurovaný s právy přispěvatele v předplatném. Postupujte podle instančního objektu s nejnižším oprávněním a pečlivě přiřaďte oprávnění jenom potřebná ke spuštění runbooku. Pokud je například účet Automation nutný jenom ke spuštění nebo zastavení virtuálního počítače Azure, musí být oprávnění přiřazená k účtu Spustit jako nebo spravované identitě jenom pro spuštění nebo zastavení virtuálního počítače. Podobně platí, že pokud runbook čte z úložiště objektů blob, přiřaďte oprávnění jen pro čtení.
Při přiřazování oprávnění se doporučuje používat řízení přístupu na základě role (RBAC) Azure přiřazené spravované identitě. Projděte si naše nejlepší doporučení pro používání spravované identity přiřazené systémem nebo uživatelem, včetně správy a zásad správného řízení během jeho životnosti.
Operátor služby Automation
Operátor automation dokáže vytvářet a spravovat úlohy a číst názvy a vlastnosti runbooků pro všechny runbooky v účtu Automation.
Poznámka
Pokud chcete řídit přístup operátora k jednotlivým runbookům, nenastavujte tuto roli. Místo toho použijte roli Operátor úlohy Automation a Operátor runbooku Automation v kombinaci.
Následující tabulka ukazuje oprávnění udělená pro roli:
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Autorizace pro čtení |
| Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read | Přečtěte si prostředky hybrid Runbook Worker. |
| Microsoft.Automation/automationAccounts/jobs/read | Vypíše úlohy runbooku. |
| Microsoft.Automation/automationAccounts/jobs/resume/action | Obnovte úlohu, která je pozastavena. |
| Microsoft.Automation/automationAccounts/jobs/stop/action | Zrušte probíhající úlohu. |
| Microsoft.Automation/automationAccounts/jobs/streams/read | Přečtěte si Toky úlohy a výstupu. |
| Microsoft.Automation/automationAccounts/jobs/output/read | Získejte výstup úlohy. |
| Microsoft.Automation/automationAccounts/jobs/suspend/action | Pozastavte probíhající úlohu. |
| Microsoft.Automation/automationAccounts/jobs/write | Vytváření úloh |
| Microsoft.Automation/automationAccounts/jobSchedules/read | Získejte plán úlohy Azure Automation. |
| Microsoft.Automation/automationAccounts/jobSchedules/write | Vytvořte plán úlohy Azure Automation. |
| Microsoft.Automation/automationAccounts/linkedWorkspace/read | Získejte pracovní prostor propojený s účtem Automation. |
| Microsoft.Automation/automationAccounts/read | Získejte účet Azure Automation. |
| Microsoft.Automation/automationAccounts/runbooky/read | Získejte runbook Azure Automation. |
| Microsoft.Automation/automationAccounts/schedules/read | Získejte prostředek plánu Azure Automation. |
| Microsoft.Automation/automationAccounts/schedules/write | Vytvořte nebo aktualizujte prostředek plánu Azure Automation. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Čtení rolí a přiřazení rolí |
| Microsoft.Resources/deployments/* | Vytváření a správa nasazení skupin prostředků |
| Microsoft. Přehledy/alertRules/* | Vytváření a správa pravidel upozornění |
| Microsoft.Support/* | Vytvořte a spravujte lístky podpory. |
| Microsoft.ResourceHealth/availabilityStatuses/read | Získá stav dostupnosti pro všechny prostředky v zadaném oboru. |
Operátor úlohy automatizace
Role Operátor úlohy Automation je udělena v oboru účtu Automation. To umožňuje operátorům vytvářet a spravovat úlohy pro všechny runbooky v účtu. Pokud má role operátora úlohy udělená oprávnění ke čtení pro skupinu prostředků obsahující účet Automation, mají členové této role možnost spustit runbooky. Nemají ale možnost je vytvářet, upravovat ani odstraňovat.
Následující tabulka ukazuje oprávnění udělená pro roli:
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Autorizace pro čtení |
| Microsoft.Automation/automationAccounts/jobs/read | Vypíše úlohy runbooku. |
| Microsoft.Automation/automationAccounts/jobs/resume/action | Obnovte úlohu, která je pozastavena. |
| Microsoft.Automation/automationAccounts/jobs/stop/action | Zrušte probíhající úlohu. |
| Microsoft.Automation/automationAccounts/jobs/streams/read | Přečtěte si Toky úlohy a výstupu. |
| Microsoft.Automation/automationAccounts/jobs/suspend/action | Pozastavte probíhající úlohu. |
| Microsoft.Automation/automationAccounts/jobs/write | Vytváření úloh |
| Microsoft.Resources/subscriptions/resourceGroups/read | Čtení rolí a přiřazení rolí |
| Microsoft.Resources/deployments/* | Vytváření a správa nasazení skupin prostředků |
| Microsoft. Přehledy/alertRules/* | Vytváření a správa pravidel upozornění |
| Microsoft.Support/* | Vytvořte a spravujte lístky podpory. |
| Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read | Přečte skupinu Hybrid Runbook Worker. |
| Microsoft.Automation/automationAccounts/jobs/output/read | Získá výstup úlohy. |
Operátor runbooku Automation
Role operátora runbooku Automation je udělena v oboru runbooku. Operátor runbooku Automation může zobrazit název a vlastnosti runbooku. Tato role v kombinaci s rolí Operátor úlohy automatizace umožňuje operátoru také vytvářet a spravovat úlohy pro runbook. Následující tabulka ukazuje oprávnění udělená pro roli:
| Akce | Popis |
|---|---|
| Microsoft.Automation/automationAccounts/runbooky/read | Vypíše runbooky. |
| Microsoft.Authorization/*/read | Autorizace pro čtení |
| Microsoft.Resources/subscriptions/resourceGroups/read | Čtení rolí a přiřazení rolí |
| Microsoft.Resources/deployments/* | Vytváření a správa nasazení skupin prostředků |
| Microsoft. Přehledy/alertRules/* | Vytváření a správa pravidel upozornění |
| Microsoft.Support/* | Vytvořte a spravujte lístky podpory. |
Přispěvatel Log Analytics
Přispěvatel Log Analytics může číst všechna data monitorování a upravovat nastavení monitorování. Úprava nastavení monitorování zahrnuje přidání rozšíření virtuálního počítače do virtuálních počítačů; čtení klíčů účtu úložiště, aby bylo možné nakonfigurovat shromažďování protokolů z Azure Storage; vytváření a konfigurace účtů Automation, přidávání funkcí a konfigurace diagnostiky Azure pro všechny prostředky Azure. Následující tabulka ukazuje oprávnění udělená pro roli:
| Akce | Popis |
|---|---|
| */read | Přečtěte si zdroje všech typů s výjimkou tajných kódů. |
| Microsoft.ClassicCompute/virtualMachines/extensions/* | Vytváření a správa rozšíření virtuálních počítačů |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | Výpis klasických klíčů účtu úložiště |
| Microsoft.Compute/virtualMachines/extensions/* | Vytváření a správa klasických rozšíření virtuálních počítačů |
| Microsoft. Přehledy/alertRules/* | Pravidla upozornění pro čtení, zápis nebo odstranění |
| Microsoft. Přehledy/diagnosticSettings/* | Nastavení diagnostiky pro čtení, zápis nebo odstranění |
| Microsoft.OperationalInsights/* | Správa protokolů služby Azure Monitor |
| Microsoft.OperationsManagement/* | Správa funkcí Azure Automation v pracovních prostorech |
| Microsoft.Resources/deployments/* | Vytváření a správa nasazení skupin prostředků |
| Microsoft.Resources/subscriptions/resourcegroups/deployments/* | Vytváření a správa nasazení skupin prostředků |
| Microsoft. Storage/storageAccounts/listKeys/action | Výpis klíčů účtu úložiště |
| Microsoft.Support/* | Vytvořte a spravujte lístky podpory. |
| Microsoft.HybridCompute/machines/extensions/write | Nainstaluje nebo aktualizuje rozšíření Azure Arc. |
Čtenář Log Analytics
Čtenář služby Log Analytics může zobrazit a prohledávat všechna data monitorování a zobrazit nastavení monitorování, včetně zobrazení konfigurace diagnostiky Azure ve všech prostředcích Azure. Následující tabulka ukazuje udělená nebo odepřená oprávnění pro roli:
| Akce | Popis |
|---|---|
| */read | Přečtěte si zdroje všech typů s výjimkou tajných kódů. |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Správa dotazů v protokolech služby Azure Monitor |
| Microsoft.OperationalInsights/workspaces/search/action | Vyhledejte data protokolu služby Azure Monitor. |
| Microsoft.Support/* | Vytvořte a spravujte lístky podpory. |
| Ne akce | |
| Microsoft.OperationalInsights/workspaces/sharedKeys/read | Nelze číst sdílené přístupové klíče. |
Přispěvatel monitorování
Přispěvatel monitorování může číst všechna data monitorování a aktualizovat nastavení monitorování. Následující tabulka ukazuje oprávnění udělená pro roli:
| Akce | Popis |
|---|---|
| */read | Přečtěte si zdroje všech typů s výjimkou tajných kódů. |
| Microsoft.AlertsManagement/alerts/* | Spravovat výstrahy |
| Microsoft.AlertsManagement/alertsSummary/* | Správa řídicího panelu Upozornění |
| Microsoft. Přehledy/AlertRules/* | Správa pravidel upozornění |
| Microsoft. Přehledy/components/* | Správa komponent Přehledy aplikací |
| Microsoft.Insights/DiagnosticSettings/* | Správa nastavení diagnostiky |
| Microsoft. Přehledy/eventtypes/* | Výpis událostí protokolu aktivit (událostí správy) v předplatném Toto oprávnění platí pro programový i portálový přístup k protokolu aktivit. |
| Microsoft. Přehledy/LogDefinitions/* | Toto oprávnění je nezbytné pro uživatele, kteří potřebují přístup k protokolům aktivit prostřednictvím portálu. Výpis kategorií protokolů v protokolu aktivit |
| Microsoft. Přehledy/MetricDefinitions/* | Čtení definic metrik (seznam dostupných typů metrik pro prostředek) |
| Microsoft. Přehledy/Metriky/* | Přečtěte si metriky pro prostředek. |
| Microsoft. Přehledy, registrace nebo akce | Zaregistrujte Microsoft. Přehledy poskytovatele. |
| Microsoft. Přehledy/webtests/* | Správa webových testů Přehledy aplikací |
| Microsoft.OperationalInsights/workspaces/intelligencepacks/* | Správa sad řešení protokolů služby Azure Monitor |
| Microsoft.OperationalInsights/workspaces/savedSearches/* | Správa uložených hledání protokolů služby Azure Monitor |
| Microsoft.OperationalInsights/workspaces/search/action | Prohledat pracovní prostory Log Analytics |
| Microsoft.OperationalInsights/workspaces/sharedKeys/action | Výpis klíčů pro pracovní prostor Služby Log Analytics |
| Microsoft.OperationalInsights/workspaces/storageinsightconfigs/* | Správa konfigurací přehledů úložiště protokolů služby Azure Monitor |
| Microsoft.Support/* | Vytvořte a spravujte lístky podpory. |
| Microsoft.WorkloadMonitor/workloads/* | Správa úloh |
Čtenář monitorování
Čtenář monitorování může číst všechna data monitorování. V následující tabulce jsou uvedena oprávnění udělená pro roli:
| Akce | Popis |
|---|---|
| */číst | Přečtěte si prostředky všech typů kromě tajných kódů. |
| Microsoft.OperationalInsights/workspaces/search/action | Prohledat pracovní prostory Log Analytics |
| Microsoft.Support/* | Vytváření a správa lístků podpory |
Správce uživatelských přístupů
Správce uživatelských přístupů může spravovat uživatelský přístup k prostředkům Azure. V následující tabulce jsou uvedena oprávnění udělená pro roli:
| Akce | Popis |
|---|---|
| */číst | Čtení všech prostředků |
| Microsoft.Authorization/* | Správa autorizace |
| Microsoft.Support/* | Vytváření a správa lístků podpory |
Oprávnění pro přístup k rolím čtenáře
Důležité
K posílení celkového stavu zabezpečení Azure Automation by integrovaná čtečka RBAC neměla přístup k klíčům účtu Automation prostřednictvím volání rozhraní API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION.
Předdefinovaná role čtenáře pro účet Automation nemůže použít API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION k načtení klíčů účtu Automation. Jedná se o operaci s vysokou úrovní oprávnění, která poskytuje citlivé informace, které by mohly představovat bezpečnostní riziko nežádoucího škodlivého objektu actor s nízkými oprávněními, kteří můžou získat přístup ke klíčům účtu Automation a mohou provádět akce se zvýšenou úrovní oprávnění.
Pokud chcete získat přístup API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION, doporučujeme přepnout na předdefinované role, jako je Vlastník, Přispěvatel nebo Přispěvatel Automation, abyste měli přístup k klíčům účtu Automation. Ve výchozím nastavení budou mít tyto role oprávnění listKeys . Osvědčeným postupem je vytvořit vlastní roli s omezenými oprávněními pro přístup k klíčům účtu Automation. Pro vlastní roli musíte přidat Microsoft.Automation/automationAccounts/listKeys/action oprávnění k definici role.
Přečtěte si další informace o tom, jak vytvořit vlastní roli z Azure Portal.
Oprávnění k nastavení funkcí
Následující části popisují minimální požadovaná oprávnění potřebná k povolení řešení Update Management a Sledování změn a inventář funkcí.
Oprávnění pro povolení řešení Update Management a Sledování změn a inventář z virtuálního počítače
| Akce | Oprávnění | Minimální rozsah |
|---|---|---|
| Zápis nového nasazení | Microsoft.Resources/deployments/* | Předplatné |
| Zápis nové skupiny prostředků | Microsoft.Resources/subscriptions/resourceGroups/write | Předplatné |
| Vytvoření nového výchozího pracovního prostoru | Microsoft.OperationalInsights/ workspaces/write | Skupina prostředků |
| Vytvořit nový účet | Microsoft.Automation/automationAccounts/write | Skupina prostředků |
| Propojení pracovního prostoru a účtu | Microsoft.OperationalInsights/workspaces/writeMicrosoft.Automation/automationAccounts/read | Účet WorkspaceAutomation |
| Vytvoření rozšíření MMA | Microsoft.Compute/virtualMachines/write | Virtuální počítač |
| Vytvoření uloženého vyhledávání | Microsoft.OperationalInsights/ workspaces/write | Pracovní prostor |
| Vytvoření konfigurace oboru | Microsoft.OperationalInsights/ workspaces/write | Pracovní prostor |
| Kontrola stavu onboardingu – Pracovní prostor pro čtení | Microsoft.OperationalInsights/ workspaces/read | Pracovní prostor |
| Kontrola stavu připojování – čtení vlastnosti propojeného pracovního prostoru účtu | Microsoft.Automation/automationAccounts/read | Účet Automation |
| Kontrola stavu připojování – Řešení pro čtení | Microsoft.OperationalInsights/workspaces/intelligencepacks/read | Řešení |
| Kontrola stavu onboardingu – Čtení virtuálního počítače | Microsoft.Compute/virtualMachines/read | Virtuální počítač |
| Kontrola stavu onboardingu – čtení účtu | Microsoft.Automation/automationAccounts/read | Účet Automation |
| Kontrola pracovního prostoru onboardingu pro virtuální počítač 1 | Microsoft.OperationalInsights/ workspaces/read | Předplatné |
| Registrace poskytovatele Log Analytics | Microsoft. Přehledy/ registrace/ akce | Předplatné |
1 Toto oprávnění je potřeba k povolení funkcí prostřednictvím prostředí portálu virtuálního počítače.
Oprávnění pro povolení řešení Update Management a Sledování změn a inventář z účtu Automation
| Akce | Oprávnění | Minimální rozsah |
|---|---|---|
| Vytvoření nového nasazení | Microsoft.Resources/deployments/* | Předplatné |
| Vytvoření nové skupiny prostředků | Microsoft.Resources/subscriptions/resourceGroups/write | Předplatné |
| Okno AutomationOnboarding – Vytvoření nového pracovního prostoru | Microsoft.OperationalInsights/ workspaces/write | Skupina prostředků |
| Okno AutomationOnboarding – čtení propojeného pracovního prostoru | Microsoft.Automation/automationAccounts/read | Účet Automation |
| Okno AutomationOnboarding – řešení pro čtení | Microsoft.OperationalInsights/workspaces/intelligencepacks/read | Řešení |
| Okno AutomationOnboarding – pracovní prostor pro čtení | Microsoft.OperationalInsights/workspaces/intelligencepacks/read | Pracovní prostor |
| Vytvoření odkazu pro pracovní prostor a účet | Microsoft.OperationalInsights/workspaces/write | Pracovní prostor |
| Zápis účtu pro botník | Microsoft.Automation/automationAccounts/write | Účet |
| Vytvoření nebo úprava uloženého vyhledávání | Microsoft.OperationalInsights/workspaces/write | Pracovní prostor |
| Vytvoření nebo úprava konfigurace oboru | Microsoft.OperationalInsights/workspaces/write | Pracovní prostor |
| Registrace poskytovatele Log Analytics | Microsoft. Přehledy, registrace nebo akce | Předplatné |
| Krok 2 – povolení více virtuálních počítačů | ||
| Okno VMOnboarding – Vytvoření rozšíření MMA | Microsoft.Compute/virtualMachines/write | Virtuální počítač |
| Vytvoření nebo úprava uloženého vyhledávání | Microsoft.OperationalInsights/workspaces/write | Pracovní prostor |
| Vytvoření nebo úprava konfigurace oboru | Microsoft.OperationalInsights/workspaces/write | Pracovní prostor |
Správa oprávnění role pro skupiny Hybrid Worker a hybridní pracovní procesy
Ve službě Automation můžete vytvořit vlastní role Azure a udělit následující oprávnění skupinám hybrid Worker a hybridním pracovním procesům:
- Hybrid Runbook Worker založený na rozšíření
- Windows Hybrid Runbook Worker založené na agentech
- Hybrid Runbook Worker založený na agentech s Linuxem
Oprávnění update Management
Řešení Update Management se dá použít k posouzení a plánování nasazení aktualizací na počítače v několika předplatných ve stejném tenantovi Azure Active Directory (Azure AD) nebo napříč tenanty pomocí Služby Azure Lighthouse. Následující tabulka uvádí oprávnění potřebná ke správě nasazení aktualizací.
| Prostředek | Role | Scope |
|---|---|---|
| Účet Automation | Přispěvatel virtuálních počítačů | Skupina prostředků pro účet |
| Pracovní prostor služby Log Analytics | Přispěvatel Log Analytics | Pracovní prostor služby Log Analytics |
| Pracovní prostor služby Log Analytics | Čtenář Log Analytics | Předplatné |
| Řešení | Přispěvatel Log Analytics | Řešení |
| Virtuální počítač | Přispěvatel virtuálních počítačů | Virtuální počítač |
| Akce na virtuálním počítači | ||
| Zobrazení historie spouštění plánu aktualizací (spuštění počítače konfigurace aktualizace softwaru) | Čtenář | Účet Automation |
| Akce na virtuálním počítači | Oprávnění | |
| Vytvoření plánu aktualizace (konfigurace aktualizací softwaru) | Microsoft.Compute/virtualMachines/write | Seznam statických virtuálních počítačů a skupiny prostředků |
| Vytvoření plánu aktualizace (konfigurace aktualizací softwaru) | Microsoft.OperationalInsights/workspaces/analytics/query/action | ID prostředku pracovního prostoru při použití dynamického seznamu mimo Azure |
Konfigurace Azure RBAC pro váš účet Automation
Následující část ukazuje, jak nakonfigurovat Azure RBAC na účtu Automation prostřednictvím Azure Portal a PowerShellu.
Konfigurace Azure RBAC pomocí Azure Portal
Přihlaste se k Azure Portal a otevřete svůj účet Automation na stránce Účty Automation.
Vyberte Řízení přístupu (IAM) a v seznamu dostupných rolí vyberte roli. Můžete zvolit některou z dostupných předdefinovaných rolí, které účet Automation podporuje, nebo libovolnou vlastní roli, kterou jste mohli definovat. Přiřaďte roli uživateli, kterému chcete udělit oprávnění.
Podrobný postup najdete v tématu Přiřazení rolí Azure pomocí Azure Portal.
Poznámka
Řízení přístupu na základě role můžete nastavit jenom v oboru účtu Automation a ne u žádného prostředku pod účtem Automation.
Odebrání přiřazení rolí od uživatele
Můžete odebrat přístupová oprávnění pro uživatele, který nespravuje účet Automation nebo kdo už pro organizaci nefunguje. Následující kroky ukazují, jak odebrat přiřazení rolí od uživatele. Podrobné kroky najdete v tématu Odebrání přiřazení rolí Azure:
Otevřete řízení přístupu (IAM) v oboru, jako je skupina pro správu, předplatné, skupina prostředků nebo prostředek, ve kterém chcete odebrat přístup.
Výběrem karty Přiřazení rolí zobrazíte všechna přiřazení rolí v tomto oboru.
V seznamu přiřazení rolí přidejte vedle uživatele značku zaškrtnutí s přiřazením role, které chcete odebrat.
Vyberte Odebrat.
Konfigurace Azure RBAC pomocí PowerShellu
Přístup na základě role k účtu Automation můžete nakonfigurovat také pomocí následujících rutin Azure PowerShell:
Get-AzRoleDefinition uvádí všechny role Azure, které jsou k dispozici v Azure Active Directory. Tuto rutinu s parametrem můžete použít k výpisu Name všech akcí, které může konkrétní role provést.
Get-AzRoleDefinition -Name 'Automation Operator'
Následuje příklad výstupu:
Name : Automation Operator
Id : d3881f73-407a-4167-8283-e981cbba0404
IsCustom : False
Description : Automation Operators are able to start, stop, suspend, and resume jobs
Actions : {Microsoft.Authorization/*/read, Microsoft.Automation/automationAccounts/jobs/read, Microsoft.Automation/automationAccounts/jobs/resume/action,
Microsoft.Automation/automationAccounts/jobs/stop/action...}
NotActions : {}
AssignableScopes : {/}
Get-AzRoleAssignment uvádí přiřazení rolí Azure v zadaném oboru. Bez jakýchkoli parametrů tato rutina vrátí všechna přiřazení rolí provedená v rámci předplatného. Pomocí parametru ExpandPrincipalGroups můžete zobrazit přiřazení přístupu pro zadaného uživatele a také skupiny, do nichž uživatel patří.
Příklad: Pomocí následující rutiny zobrazíte seznam všech uživatelů a jejich rolí v rámci účtu Automation.
Get-AzRoleAssignment -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'
Následuje příklad výstupu:
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
ers/Microsoft.Authorization/roleAssignments/cc594d39-ac10-46c4-9505-f182a355c41f
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName : admin@contoso.com
SignInName : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId : d3881f73-407a-4167-8283-e981cbba0404
ObjectId : 15f26a47-812d-489a-8197-3d4853558347
ObjectType : User
Pomocí příkazu New-AzRoleAssignment přiřaďte přístup uživatelům, skupinám a aplikacím k určitému oboru.
Příklad: Pomocí následujícího příkazu přiřaďte roli Operátor automation pro uživatele v oboru účtu Automation.
New-AzRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName 'Automation operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'
Následuje příklad výstupu:
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
ers/Microsoft.Authorization/roleAssignments/25377770-561e-4496-8b4f-7cba1d6fa346
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName : admin@contoso.com
SignInName : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId : d3881f73-407a-4167-8283-e981cbba0404
ObjectId : f5ecbe87-1181-43d2-88d5-a8f5e9d8014e
ObjectType : User
Pomocí remove-AzRoleAssignment odeberte přístup zadaného uživatele, skupiny nebo aplikace z konkrétního oboru.
Příklad: Pomocí následujícího příkazu odeberte uživatele z role operátora Automation v oboru účtu Automation.
Remove-AzRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName 'Automation Operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'
V předchozím příkladu nahraďte sign-in ID of a user you wish to remove, , SubscriptionIDResource Group Namea Automation account name s podrobnostmi o vašem účtu. Zvolte ano , až se zobrazí výzva k potvrzení, než budete pokračovat v odebrání přiřazení rolí uživatele.
Uživatelské prostředí pro roli operátora Automation – účet Automation
Když uživatel přiřazený k roli operátora Automation v oboru účtu Automation zobrazí účet Automation, ke kterému je přiřazený, může uživatel zobrazit jenom seznam runbooků, úloh runbooků a plánů vytvořených v účtu Automation. Tento uživatel nemůže zobrazit definice těchto položek. Uživatel může spustit, zastavit, pozastavit, obnovit nebo naplánovat úlohu runbooku. Uživatel ale nemá přístup k jiným prostředkům Automation, jako jsou konfigurace, skupiny Hybrid Runbook Worker nebo uzly DSC.
Konfigurace Azure RBAC pro runbooky
Azure Automation umožňuje přiřadit role Azure konkrétním runbookům. Uděláte to tak, že spuštěním následujícího skriptu přidáte uživatele do konkrétního runbooku. Tento skript může spustit správce účtu Automation nebo správce tenanta.
$rgName = "<Resource Group Name>" # Resource Group name for the Automation account
$automationAccountName ="<Automation account name>" # Name of the Automation account
$rbName = "<Name of Runbook>" # Name of the runbook
$userId = "<User ObjectId>" # Azure Active Directory (AAD) user's ObjectId from the directory
# Gets the Automation account resource
$aa = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts" -ResourceName $automationAccountName
# Get the Runbook resource
$rb = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts/runbooks" -ResourceName "$rbName"
# The Automation Job Operator role only needs to be run once per user.
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Job Operator" -Scope $aa.ResourceId
# Adds the user to the Automation Runbook Operator role to the Runbook scope
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Runbook Operator" -Scope $rb.ResourceId
Po spuštění skriptu se přihlaste k Azure Portal a vyberte Všechny prostředky. V seznamu může uživatel zobrazit runbook, pro který byl přidán jako operátor runbooku Automation.
Uživatelské prostředí pro roli operátora Automation – Runbook
Když uživatel přiřazený k roli Operátor automatizace v zobrazení oboru runbooku zobrazí přiřazený runbook, může uživatel spustit runbook a zobrazit úlohy runbooku.
Další kroky
- Další informace o Azure RBAC najdete v tématu Přidání nebo odebrání přiřazení rolí Azure pomocí Azure PowerShell.
- Podrobnosti o typech runbooků najdete v tématu Azure Automation typy runbooků.
- Pokud chcete spustit runbook, přečtěte si téma Spuštění runbooku v Azure Automation.