Migrálás meglévő futtató fiókból felügyelt identitásba

Cikk
10/24/2023

Fontos

2023. szeptember 30-án megszüntették az Azure Automation futtató fiókokat, beleértve a klasszikus futtató fiókokat is, és a felügyelt identitásokra cserélték. A továbbiakban nem hozhat létre vagy újíthat meg futtató fiókokat az Azure Portalon.

A futtató fiókok létrehozásának és tanúsítványmegújításának migrálási ütemezésével és támogatási ütemtervével kapcsolatos további információkért tekintse meg a gyakori kérdéseket.

Run As accounts in Azure Automation provide authentication for managing resources deployed through Azure Resource Manager or the classic deployment model. Futtató fiók létrehozásakor a rendszer regisztrál egy Microsoft Entra-alkalmazást, és létrehoz egy önaláírt tanúsítványt. A tanúsítvány egy hónapig érvényes. A tanúsítvány lejárata előtt havonta megújítva az Automation-fiók működik, de többletterhelést okoz.

You can now configure Automation accounts to use a managed identity, which is the default option when you create an Automation account. With this feature, an Automation account can authenticate to Azure resources without the need to exchange any credentials. A managed identity removes the overhead of renewing the certificate or managing the service principal.

A felügyelt identitások hozzárendelhetők rendszerhez vagy felhasználóhoz. When a new Automation account is created, a system-assigned managed identity is enabled.

Előfeltételek

Mielőtt futtató fiókból vagy klasszikus futtató fiókból felügyelt identitásba migrálna:

Create a system-assigned or user-assigned managed identity, or create both types. To learn more about the differences between them, see Managed identity types.
Megjegyzés:
- A felhasználó által hozzárendelt identitások csak a felhőbeli feladatok esetében támogatottak. Az Automation-fiók felhasználó által felügyelt identitása nem használható hibrid runbook-feldolgozón. A hibrid feladatok használatához rendszer által hozzárendelt identitásokat kell létrehoznia.
- A felügyelt identitások kétféleképpen használhatók a hibrid runbook-feldolgozó szkriptekben: vagy az Automation-fiók rendszer által hozzárendelt felügyelt identitása, vagy egy hibrid runbook-feldolgozóként futó Azure-beli virtuális gép (VM) felügyelt identitása.
- A virtuális gép felhasználó által hozzárendelt felügyelt identitása és a virtuális gép rendszer által hozzárendelt felügyelt identitása nem fog működni egy Automation-fiók felügyelt identitásával konfigurált Automation-fiókban. Az Automation-fiók felügyelt identitásának engedélyezésekor csak az Automation-fiók rendszer által hozzárendelt felügyelt identitását használhatja, a virtuális gép által felügyelt identitást nem. További információ: Runbook-hitelesítés használata felügyelt identitásokkal.
Assign the same role to the managed identity to access the Azure resources that match the Run As account. Ezzel a szkripttel engedélyezheti a rendszer által hozzárendelt identitást egy Automation-fiókban, és hozzárendelheti az Azure Automation-futtató fiókban található engedélyeket az Automation-fiók rendszer által hozzárendelt identitásához.

For example, if the Automation account is required only to start or stop an Azure VM, then the permissions assigned to the Run As account need to be only for starting or stopping the VM. Similarly, assign read-only permissions if a runbook is reading from Azure Blob Storage. For more information, see Azure Automation security guidelines.
Ha klasszikus futtató fiókokat használ, győződjön meg arról, hogy a klasszikus üzemi modellen keresztül üzembe helyezett erőforrásokat migrálta az Azure Resource Managerbe.
Ezzel a szkripttel megtudhatja, hogy mely Automation-fiókok használnak futtató fiókot. Ha az Azure Automation-fiókok futtató fiókot tartalmaznak, alapértelmezés szerint hozzá van rendelve a beépített közreműködői szerepkör. A szkripttel ellenőrizheti az Azure Automation futtató fiókokat, és megállapíthatja, hogy a szerepkör-hozzárendelés az alapértelmezett, vagy egy másik szerepkördefinícióra lett-e módosítva.
Ezzel a szkripttel megállapíthatja, hogy az Automation-fiók összes runbookja használja-e a futtató fiókot.

Migrálás automation futtató fiókból felügyelt identitásba

Ha automation futtató fiókról vagy klasszikus futtató fiókról szeretne áttelepülni egy felügyelt identitásra a runbook-hitelesítéshez, kövesse az alábbi lépéseket:

Change the runbook code to use a managed identity.

We recommend that you test the managed identity to verify if the runbook works as expected by creating a copy of your production runbook. Update your test runbook code to authenticate by using the managed identity. Ez a módszer biztosítja, hogy ne bírálja felül AzureRunAsConnection az éles runbookot, és ne törje meg a meglévő Automation-példányt. After you're sure that the runbook code runs as expected via the managed identity, update your production runbook to use the managed identity.

For managed identity support, use the Connect-AzAccount cmdlet. To learn more about this cmdlet, see Connect-AzAccount in the PowerShell reference.
- Ha modulokat használ Az , frissítsen a legújabb verzióra az Azure PowerShell-modulok frissítése című cikk lépéseit követve.
- If you're using AzureRM modules, update AzureRM.Profile to the latest version and replace it by using the Add-AzureRMAccount cmdlet with Connect-AzureRMAccount –Identity.
To understand the changes to the runbook code that are required before you can use managed identities, use the sample scripts.
Ha biztos abban, hogy a runbook sikeresen fut felügyelt identitások használatával, biztonságosan törölheti a futtató fiókot , ha más runbook nem használja ezt a fiókot.

Mintaszkriptek

A runbook-szkriptek alábbi példái lekérik a Resource Manager-erőforrásokat a futtató fiók (szolgáltatásnév) és a felügyelt identitás használatával. A runbook kódjának különbsége a runbook elején jelenik meg, ahol az erőforráson hitelesít.

Megjegyzés:

Engedélyezze a megfelelő RBAC-engedélyeket az Automation-fiók rendszeridentitásához. Ellenkező esetben előfordulhat, hogy a runbook meghiúsul.

try
{
    "Logging in to Azure..."
    Connect-AzAccount -Identity
}
catch {
    Write-Error -Message $_.Exception
    throw $_.Exception
}

#Get all Resource Manager resources from all resource groups
$ResourceGroups = Get-AzResourceGroup

foreach ($ResourceGroup in $ResourceGroups)
{    
    Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName)
    $Resources = Get-AzResource -ResourceGroupName $ResourceGroup.ResourceGroupName
    foreach ($Resource in $Resources)
    {
        Write-Output ($Resource.Name + " of type " +  $Resource.ResourceType)
    }
    Write-Output ("")
}

try
{ 

    "Logging in to Azure..." 
    Connect-AzAccount -Identity -AccountId <Client Id of myUserAssignedIdentity>
} 
catch { 
    Write-Error -Message $_.Exception 
    throw $_.Exception 
} 
#Get all Resource Manager resources from all resource groups 
$ResourceGroups = Get-AzResourceGroup 
foreach ($ResourceGroup in $ResourceGroups) 
{     
    Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName) 
    $Resources = Get-AzResource -ResourceGroupName $ResourceGroup.ResourceGroupName 
    foreach ($Resource in $Resources) 
    { 
        Write-Output ($Resource.Name + " of type " +  $Resource.ResourceType) 
    } 
    Write-Output ("") 
}

  $connectionName = "AzureRunAsConnection"
  try
  {
      # Get the connection "AzureRunAsConnection"
      $servicePrincipalConnection=Get-AutomationConnection -Name $connectionName         

      "Logging in to Azure..."
      Add-AzureRmAccount `
          -ServicePrincipal `
          -TenantId $servicePrincipalConnection.TenantId `
          -ApplicationId $servicePrincipalConnection.ApplicationId `
          -CertificateThumbprint $servicePrincipalConnection.CertificateThumbprint 
  }
  catch {
      if (!$servicePrincipalConnection)
      {
          $ErrorMessage = "Connection $connectionName not found."
          throw $ErrorMessage
      } else{
          Write-Error -Message $_.Exception
          throw $_.Exception
      }
  }

  #Get all Resource Manager resources from all resource groups
  $ResourceGroups = Get-AzureRmResourceGroup 

  foreach ($ResourceGroup in $ResourceGroups)
  {    
      Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName)
      $Resources = Find-AzureRmResource -ResourceGroupNameContains $ResourceGroup.ResourceGroupName | Select ResourceName, ResourceType
      ForEach ($Resource in $Resources)
      {
          Write-Output ($Resource.ResourceName + " of type " +  $Resource.ResourceType)
      }
      Write-Output ("")
  }

A felhasználó által hozzárendelt identitás ügyfélazonosítójának megtekintése

Az Automation-fiók Fiók Gépház területén válassza az Identitás lehetőséget.
A Felhasználó által hozzárendelt lapon válassza ki a felhasználó által hozzárendelt identitást.
Nyissa meg az Overview>Essentials webhelyet az ügyfélazonosító megtekintéséhez.

Grafikus runbookok

Annak ellenőrzése, hogy a rendszer használ-e futtató fiókot grafikus runbookokban

Ellenőrizze a runbookon belüli összes tevékenységet, hogy használja-e a futtató fiókot, amikor bármilyen bejelentkezési parancsmagot vagy aliast, például Add-AzRmAccount/Connect-AzRmAccount/Add-AzAccount/Connect-AzAccount.
Vizsgálja meg a parancsmag által használt paramétereket.

A futtató fiókkal való használathoz a parancsmag a ServicePrinicipalCertificate következő paramétert ApplicationIdhasználja: . CertificateThumbprint lesz a RunAsAccountConnection.

Grafikus runbook szerkesztése felügyelt identitás használatához

A felügyelt identitás tesztelésével ellenőriznie kell, hogy a grafikus runbook a várt módon működik-e. Hozzon létre egy másolatot az éles runbookról a felügyelt identitás használatához, majd frissítse a teszt grafikus runbook kódját a felügyelt identitás használatával történő hitelesítéshez. Ezt a funkciót hozzáadhatja egy grafikus runbookhoz a Connect-AzAccount parancsmag hozzáadásával.

Az alábbi lépések egy példát tartalmaznak, amely bemutatja, hogyan használhat felügyelt identitásokat egy futtató fiókot használó grafikus runbook:

Jelentkezzen be az Azure Portalra.
Nyissa meg az Automation-fiókot, majd válassza a Folyamatautomatizálási>runbookok lehetőséget.
Válasszon ki egy runbookot. Válassza például az Azure V2 virtuális gépek indítása runbookot a listából, majd válassza a Szerkesztés vagy a Tallózás a katalógusban lehetőséget, és válassza az Azure V2 virtuális gépek indítása lehetőséget.
Cserélje le a használt AzureRunAsConnection futtató kapcsolatot és a PowerShell-parancsmagot Get-AutomationConnection belsőleg használó kapcsolati objektumot a Connect-AzAccount parancsmagra.
A Törlés gombra kattintva törölheti a tevékenységeket és Connect to Azure a Get Run As Connection tevékenységeket.
A bal oldali panel RUNBOOK CONTROL területén válassza a Kód elemet, majd a Hozzáadás a vászonhoz lehetőséget.
Szerkessze a kódtevékenységet, rendelje hozzá a megfelelő címkenevet, és válassza a Szerző tevékenység logikáját.

A Kódszerkesztő lapon adja meg a következő PowerShell-kódot, és válassza az OK gombot.

try 
{ 
   Write-Output ("Logging in to Azure...") 
   Connect-AzAccount -Identity 
} 
catch { 
   Write-Error -Message $_.Exception 
   throw $_.Exception 
}

Csatlakozás az új tevékenységet azokhoz a tevékenységekhez, amelyeket Csatlakozás korábban az Azure-hoz kapcsolt, és mentse a runbookot.

A runbook Start Azure V2 virtuális gépeinek runbookgalériában például a fenti parancsmagot használó Connect-AzAccount kódtevékenységre kell cserélnie azokat Get Run As Connection és Connect to Azure a tevékenységeket. További információkért tekintse meg az Automation-fiókkal létrehozott AzureAutomationTutorialWithIdentityGraphical minta runbooknevet.