Migrace z existujícího účtu Spustit jako na spravované identity

Článek
10/24/2023

Důležité

Účty Spustit jako pro Azure Automation, včetně účtů Spustit jako pro Classic, se vyřadily 30. září 2023 a nahradily spravované identity. Účty Spustit jako už nebudete moct vytvářet ani obnovovat prostřednictvím webu Azure Portal.

Další informace o četnosti migrace a časové ose podpory pro vytvoření účtu Spustit jako a prodloužení platnosti certifikátů najdete v nejčastějších dotazech.

Účty Spustit jako ve službě Azure Automation poskytují ověřování pro správu prostředků nasazených prostřednictvím Azure Resource Manageru nebo modelu nasazení Classic. Při každém vytvoření účtu Spustit jako se zaregistruje aplikace Microsoft Entra a vygeneruje se certifikát podepsaný svým držitelem. Certifikát je platný po dobu jednoho měsíce. Prodloužení platnosti certifikátu každý měsíc před vypršením platnosti zajistí, že účet Automation bude fungovat, ale přidá režii.

Nově můžete nakonfigurovat účty Automation tak, aby používaly spravovanou identitu, což je výchozí možnost při vytváření účtu Automation. Díky této funkci se účet Automation může ověřovat v prostředcích Azure bez nutnosti výměny přihlašovacích údajů. Spravovaná identita odstraňuje režii spojenou s obnovením certifikátu nebo správou instančního objektu.

Spravovanou identitu je možné přiřadit systémem nebo přiřadit uživatele. Při vytvoření nového účtu Automation se povolí spravovaná identita přiřazená systémem.

Předpoklady

Před migrací z účtu Spustit jako nebo účtu Spustit jako pro Classic na spravovanou identitu:

Vytvořte spravovanou identitu přiřazenou systémem nebo uživatelem nebo vytvořte oba typy. Další informace o rozdílech mezi nimi najdete v tématu Typy spravovaných identit.
Poznámka:
- Identity přiřazené uživatelem se podporují jenom pro cloudové úlohy. V procesu hybrid Runbook Worker není možné použít identitu účtu Automation spravovanou uživatelem. Pokud chcete používat hybridní úlohy, musíte vytvořit identity přiřazené systémem.
- Spravované identity můžete použít dvěma způsoby ve skriptech Hybrid Runbook Worker: spravovanou identitu přiřazenou systémem pro účet Automation nebo spravovanou identitu virtuálního počítače pro virtuální počítač Azure běžící jako hybrid Runbook Worker.
- Spravovaná identita přiřazená uživatelem virtuálního počítače a spravovaná identita přiřazená systémem virtuálního počítače nebudou fungovat v účtu Automation, který je nakonfigurovaný na spravovanou identitu účtu Automation. Když povolíte spravovanou identitu účtu Automation, můžete použít jenom spravovanou identitu přiřazenou systémem účtu Automation, a ne spravovanou identitu virtuálního počítače. Další informace najdete v tématu Použití ověřování runbooků se spravovanými identitami.
Stejnou roli přiřaďte spravované identitě pro přístup k prostředkům Azure, které odpovídají účtu Spustit jako. Pomocí tohoto skriptu povolíte identitu přiřazenou systémem v účtu Automation a přiřadíte stejnou sadu oprávnění, která se nacházejí v účtu Spustit jako účet Azure Automation, k identitě přiřazené systémem účtu Automation.

Pokud se například účet Automation vyžaduje jenom ke spuštění nebo zastavení virtuálního počítače Azure, oprávnění přiřazená k účtu Spustit jako musí být jenom pro spuštění nebo zastavení virtuálního počítače. Podobně přiřaďte oprávnění jen pro čtení, pokud runbook čte ze služby Azure Blob Storage. Další informace najdete v pokynech k zabezpečení služby Azure Automation.
Pokud používáte účty Spustit jako pro Classic, ujistěte se, že jste migrovali prostředky nasazené prostřednictvím modelu nasazení Classic do Azure Resource Manageru.
Pomocí tohoto skriptu zjistíte, které účty Automation používají účet Spustit jako. Pokud vaše účty Azure Automation obsahují účet Spustit jako, má ve výchozím nastavení přiřazenou předdefinované role přispěvatele. Pomocí skriptu můžete zkontrolovat účty Azure Automation Spustit jako a určit, jestli je jejich přiřazení role výchozí nebo jestli se změnilo na jinou definici role.
Pomocí tohoto skriptu zjistíte, jestli všechny runbooky ve vašem účtu Automation používají účet Spustit jako.

Migrace z účtu Automation Spustit jako na spravovanou identitu

Pokud chcete migrovat z účtu Automation Spustit jako nebo účtu Spustit jako pro Classic na spravovanou identitu pro ověřování runbooku, postupujte takto:

Změňte kód runbooku tak, aby používal spravovanou identitu.

Doporučujeme spravovanou identitu otestovat a vytvořením kopie produkčního runbooku ověřit, jestli runbook funguje podle očekávání. Aktualizujte kód testovacího runbooku tak, aby se ověřil pomocí spravované identity. Tato metoda zajišťuje, že v produkčním runbooku nepřepíšete AzureRunAsConnection a přerušíte existující instanci Automation. Jakmile budete mít jistotu, že kód runbooku běží prostřednictvím spravované identity podle očekávání, aktualizujte produkční runbook tak, aby používal spravovanou identitu.

Pro podporu spravovaných identit použijte rutinu Connect-AzAccount. Další informace o této rutině najdete v tématu Connect-AzAccount v referenčních informacích k PowerShellu.
- Pokud používáte Az moduly, aktualizujte na nejnovější verzi podle kroků v článku Aktualizace modulů Azure PowerShellu.
- Pokud používáte moduly AzureRM, aktualizujte AzureRM.Profile na nejnovější verzi a proveďte nahrazení pomocí rutiny Add-AzureRMAccount s Connect-AzureRMAccount –Identity.
Pokud chcete porozumět změnám kódu runbooku, které jsou potřeba před použitím spravovaných identit, použijte ukázkové skripty.
Pokud máte jistotu, že runbook běží úspěšně pomocí spravovaných identit, můžete účet Spustit jako bezpečně odstranit, pokud tento účet nepoužívá žádný jiný runbook.

Ukázkové skripty

Následující příklady skriptů runbooku načítají prostředky Resource Manageru pomocí účtu Spustit jako (instančního objektu) a spravované identity. Na začátku runbooku byste si všimli rozdílu v kódu runbooku, kde se ověřuje vůči prostředku.

Poznámka:

Povolte příslušná oprávnění RBAC pro systémovou identitu tohoto účtu Automation. Jinak může runbook selhat.

try
{
    "Logging in to Azure..."
    Connect-AzAccount -Identity
}
catch {
    Write-Error -Message $_.Exception
    throw $_.Exception
}

#Get all Resource Manager resources from all resource groups
$ResourceGroups = Get-AzResourceGroup

foreach ($ResourceGroup in $ResourceGroups)
{    
    Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName)
    $Resources = Get-AzResource -ResourceGroupName $ResourceGroup.ResourceGroupName
    foreach ($Resource in $Resources)
    {
        Write-Output ($Resource.Name + " of type " +  $Resource.ResourceType)
    }
    Write-Output ("")
}

try
{ 

    "Logging in to Azure..." 
    Connect-AzAccount -Identity -AccountId <Client Id of myUserAssignedIdentity>
} 
catch { 
    Write-Error -Message $_.Exception 
    throw $_.Exception 
} 
#Get all Resource Manager resources from all resource groups 
$ResourceGroups = Get-AzResourceGroup 
foreach ($ResourceGroup in $ResourceGroups) 
{     
    Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName) 
    $Resources = Get-AzResource -ResourceGroupName $ResourceGroup.ResourceGroupName 
    foreach ($Resource in $Resources) 
    { 
        Write-Output ($Resource.Name + " of type " +  $Resource.ResourceType) 
    } 
    Write-Output ("") 
}

  $connectionName = "AzureRunAsConnection"
  try
  {
      # Get the connection "AzureRunAsConnection"
      $servicePrincipalConnection=Get-AutomationConnection -Name $connectionName         

      "Logging in to Azure..."
      Add-AzureRmAccount `
          -ServicePrincipal `
          -TenantId $servicePrincipalConnection.TenantId `
          -ApplicationId $servicePrincipalConnection.ApplicationId `
          -CertificateThumbprint $servicePrincipalConnection.CertificateThumbprint 
  }
  catch {
      if (!$servicePrincipalConnection)
      {
          $ErrorMessage = "Connection $connectionName not found."
          throw $ErrorMessage
      } else{
          Write-Error -Message $_.Exception
          throw $_.Exception
      }
  }

  #Get all Resource Manager resources from all resource groups
  $ResourceGroups = Get-AzureRmResourceGroup 

  foreach ($ResourceGroup in $ResourceGroups)
  {    
      Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName)
      $Resources = Find-AzureRmResource -ResourceGroupNameContains $ResourceGroup.ResourceGroupName | Select ResourceName, ResourceType
      ForEach ($Resource in $Resources)
      {
          Write-Output ($Resource.ResourceName + " of type " +  $Resource.ResourceType)
      }
      Write-Output ("")
  }

Zobrazení ID klienta identity přiřazené uživatelem

V účtu Automation v části Účet Nastavení vyberte Identita.
Na kartě Přiřazení uživatele vyberte identitu přiřazenou uživatelem.
Pokud chcete zobrazit ID klienta, přejděte do části Základní informace o přehledu>.

Grafické runbooky

Kontrola, jestli se účet Spustit jako používá v grafických runboocích

Zkontrolujte všechny aktivity v rámci runbooku a zjistěte, jestli používá účet Spustit jako, když volá všechny přihlašovací rutiny nebo aliasy, například Add-AzRmAccount/Connect-AzRmAccount/Add-AzAccount/Connect-AzAccount.
Prozkoumejte parametry, které rutina používá.

Pro použití s účtem Spustit jako používá rutina ServicePrinicipalCertificate parametr nastavený na ApplicationId. CertificateThumbprint bude od RunAsAccountConnection.

Úprava grafického runbooku pro použití spravované identity

Spravovanou identitu musíte otestovat, abyste ověřili, že grafický runbook funguje podle očekávání. Vytvořte kopii produkčního runbooku pro použití spravované identity a pak aktualizujte testovací grafický kód runbooku, aby se ověřil pomocí spravované identity. Tuto funkci můžete přidat do grafického runbooku přidáním rutiny Connect-AzAccount .

Následující kroky obsahují příklad, který ukazuje, jak může grafický runbook, který používá účet Spustit jako, používat spravované identity:

Přihlaste se k portálu Azure.
Otevřete účet Automation a pak vyberte runbooky Process Automation>.
Vyberte runbook. Vyberte například runbook Spustit virtuální počítače Azure V2 ze seznamu a pak vyberte Upravit nebo přejděte do Galerie procházení a vyberte Spustit virtuální počítače Azure V2.
Nahraďte připojení Spustit jako, které používá AzureRunAsConnection , a prostředek připojení, který interně používá rutinu PowerShellu Get-AutomationConnection s rutinou Connect-AzAccount .
Chcete-li odstranit aktivityGet Run As Connection, Connect to Azure vyberte Odstranit.
V levém panelu v části RUNBOOK CONTROL vyberte Kód a pak vyberte Přidat na plátno.
Upravte aktivitu kódu, přiřaďte libovolný odpovídající název popisku a vyberte logiku aktivity Autor.

Na stránce Editor kódu zadejte následující kód PowerShellu a vyberte OK.

try 
{ 
   Write-Output ("Logging in to Azure...") 
   Connect-AzAccount -Identity 
} 
catch { 
   Write-Error -Message $_.Exception 
   throw $_.Exception 
}

Připojení novou aktivitu k aktivitám připojeným Připojení k Azure dříve a uložte runbook.

Například v runbooku Spustit virtuální počítače Azure V2 v galerii runbooků musíte nahradit Get Run As Connection a Connect to Azure aktivity aktivitou s kódem, která používá Connect-AzAccount rutinu, jak je popsáno výše. Další informace najdete v ukázkovém runbooku s názvem AzureAutomationTutorialWithIdentityGraphical , který je vytvořený pomocí účtu Automation.