Migrálás meglévő futtató fiókból felügyelt identitásba
Fontos
2023. szeptember 30-án megszüntették az Azure Automation futtató fiókokat, beleértve a klasszikus futtató fiókokat is, és a felügyelt identitásokra cserélték. A továbbiakban nem hozhat létre vagy újíthat meg futtató fiókokat az Azure Portalon.
A futtató fiókok létrehozásának és tanúsítványmegújításának migrálási ütemezésével és támogatási ütemtervével kapcsolatos további információkért tekintse meg a gyakori kérdéseket.
Run As accounts in Azure Automation provide authentication for managing resources deployed through Azure Resource Manager or the classic deployment model. Futtató fiók létrehozásakor a rendszer regisztrál egy Microsoft Entra-alkalmazást, és létrehoz egy önaláírt tanúsítványt. A tanúsítvány egy hónapig érvényes. A tanúsítvány lejárata előtt havonta megújítva az Automation-fiók működik, de többletterhelést okoz.
You can now configure Automation accounts to use a managed identity, which is the default option when you create an Automation account. With this feature, an Automation account can authenticate to Azure resources without the need to exchange any credentials. A managed identity removes the overhead of renewing the certificate or managing the service principal.
A felügyelt identitások hozzárendelhetők rendszerhez vagy felhasználóhoz. When a new Automation account is created, a system-assigned managed identity is enabled.
Előfeltételek
Mielőtt futtató fiókból vagy klasszikus futtató fiókból felügyelt identitásba migrálna:
Create a system-assigned or user-assigned managed identity, or create both types. To learn more about the differences between them, see Managed identity types.
Megjegyzés:
- A felhasználó által hozzárendelt identitások csak a felhőbeli feladatok esetében támogatottak. Az Automation-fiók felhasználó által felügyelt identitása nem használható hibrid runbook-feldolgozón. A hibrid feladatok használatához rendszer által hozzárendelt identitásokat kell létrehoznia.
- A felügyelt identitások kétféleképpen használhatók a hibrid runbook-feldolgozó szkriptekben: vagy az Automation-fiók rendszer által hozzárendelt felügyelt identitása, vagy egy hibrid runbook-feldolgozóként futó Azure-beli virtuális gép (VM) felügyelt identitása.
- A virtuális gép felhasználó által hozzárendelt felügyelt identitása és a virtuális gép rendszer által hozzárendelt felügyelt identitása nem fog működni egy Automation-fiók felügyelt identitásával konfigurált Automation-fiókban. Az Automation-fiók felügyelt identitásának engedélyezésekor csak az Automation-fiók rendszer által hozzárendelt felügyelt identitását használhatja, a virtuális gép által felügyelt identitást nem. További információ: Runbook-hitelesítés használata felügyelt identitásokkal.
Assign the same role to the managed identity to access the Azure resources that match the Run As account. Ezzel a szkripttel engedélyezheti a rendszer által hozzárendelt identitást egy Automation-fiókban, és hozzárendelheti az Azure Automation-futtató fiókban található engedélyeket az Automation-fiók rendszer által hozzárendelt identitásához.
For example, if the Automation account is required only to start or stop an Azure VM, then the permissions assigned to the Run As account need to be only for starting or stopping the VM. Similarly, assign read-only permissions if a runbook is reading from Azure Blob Storage. For more information, see Azure Automation security guidelines.
Ha klasszikus futtató fiókokat használ, győződjön meg arról, hogy a klasszikus üzemi modellen keresztül üzembe helyezett erőforrásokat migrálta az Azure Resource Managerbe.
Ezzel a szkripttel megtudhatja, hogy mely Automation-fiókok használnak futtató fiókot. Ha az Azure Automation-fiókok futtató fiókot tartalmaznak, alapértelmezés szerint hozzá van rendelve a beépített közreműködői szerepkör. A szkripttel ellenőrizheti az Azure Automation futtató fiókokat, és megállapíthatja, hogy a szerepkör-hozzárendelés az alapértelmezett, vagy egy másik szerepkördefinícióra lett-e módosítva.
Ezzel a szkripttel megállapíthatja, hogy az Automation-fiók összes runbookja használja-e a futtató fiókot.
Migrálás automation futtató fiókból felügyelt identitásba
Ha automation futtató fiókról vagy klasszikus futtató fiókról szeretne áttelepülni egy felügyelt identitásra a runbook-hitelesítéshez, kövesse az alábbi lépéseket:
Change the runbook code to use a managed identity.
We recommend that you test the managed identity to verify if the runbook works as expected by creating a copy of your production runbook. Update your test runbook code to authenticate by using the managed identity. Ez a módszer biztosítja, hogy ne bírálja felül
AzureRunAsConnection
az éles runbookot, és ne törje meg a meglévő Automation-példányt. After you're sure that the runbook code runs as expected via the managed identity, update your production runbook to use the managed identity.For managed identity support, use the
Connect-AzAccount
cmdlet. To learn more about this cmdlet, see Connect-AzAccount in the PowerShell reference.- Ha modulokat használ
Az
, frissítsen a legújabb verzióra az Azure PowerShell-modulok frissítése című cikk lépéseit követve. - If you're using AzureRM modules, update
AzureRM.Profile
to the latest version and replace it by using theAdd-AzureRMAccount
cmdlet withConnect-AzureRMAccount –Identity
.
To understand the changes to the runbook code that are required before you can use managed identities, use the sample scripts.
- Ha modulokat használ
Ha biztos abban, hogy a runbook sikeresen fut felügyelt identitások használatával, biztonságosan törölheti a futtató fiókot , ha más runbook nem használja ezt a fiókot.
Mintaszkriptek
A runbook-szkriptek alábbi példái lekérik a Resource Manager-erőforrásokat a futtató fiók (szolgáltatásnév) és a felügyelt identitás használatával. A runbook kódjának különbsége a runbook elején jelenik meg, ahol az erőforráson hitelesít.
- Rendszer által hozzárendelt felügyelt identitás
- Felhasználó által hozzárendelt felügyelt identitás
- Futtató fiók
Megjegyzés:
Engedélyezze a megfelelő RBAC-engedélyeket az Automation-fiók rendszeridentitásához. Ellenkező esetben előfordulhat, hogy a runbook meghiúsul.
try
{
"Logging in to Azure..."
Connect-AzAccount -Identity
}
catch {
Write-Error -Message $_.Exception
throw $_.Exception
}
#Get all Resource Manager resources from all resource groups
$ResourceGroups = Get-AzResourceGroup
foreach ($ResourceGroup in $ResourceGroups)
{
Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName)
$Resources = Get-AzResource -ResourceGroupName $ResourceGroup.ResourceGroupName
foreach ($Resource in $Resources)
{
Write-Output ($Resource.Name + " of type " + $Resource.ResourceType)
}
Write-Output ("")
}
A felhasználó által hozzárendelt identitás ügyfélazonosítójának megtekintése
Az Automation-fiók Fiók Gépház területén válassza az Identitás lehetőséget.
A Felhasználó által hozzárendelt lapon válassza ki a felhasználó által hozzárendelt identitást.
Nyissa meg az Overview>Essentials webhelyet az ügyfélazonosító megtekintéséhez.
Grafikus runbookok
Annak ellenőrzése, hogy a rendszer használ-e futtató fiókot grafikus runbookokban
Ellenőrizze a runbookon belüli összes tevékenységet, hogy használja-e a futtató fiókot, amikor bármilyen bejelentkezési parancsmagot vagy aliast, például
Add-AzRmAccount/Connect-AzRmAccount/Add-AzAccount/Connect-AzAccount
.Vizsgálja meg a parancsmag által használt paramétereket.
A futtató fiókkal való használathoz a parancsmag a
ServicePrinicipalCertificate
következő paramétertApplicationId
használja: .CertificateThumbprint
lesz aRunAsAccountConnection
.
Grafikus runbook szerkesztése felügyelt identitás használatához
A felügyelt identitás tesztelésével ellenőriznie kell, hogy a grafikus runbook a várt módon működik-e. Hozzon létre egy másolatot az éles runbookról a felügyelt identitás használatához, majd frissítse a teszt grafikus runbook kódját a felügyelt identitás használatával történő hitelesítéshez. Ezt a funkciót hozzáadhatja egy grafikus runbookhoz a Connect-AzAccount
parancsmag hozzáadásával.
Az alábbi lépések egy példát tartalmaznak, amely bemutatja, hogyan használhat felügyelt identitásokat egy futtató fiókot használó grafikus runbook:
Jelentkezzen be az Azure Portalra.
Nyissa meg az Automation-fiókot, majd válassza a Folyamatautomatizálási>runbookok lehetőséget.
Válasszon ki egy runbookot. Válassza például az Azure V2 virtuális gépek indítása runbookot a listából, majd válassza a Szerkesztés vagy a Tallózás a katalógusban lehetőséget, és válassza az Azure V2 virtuális gépek indítása lehetőséget.
Cserélje le a használt
AzureRunAsConnection
futtató kapcsolatot és a PowerShell-parancsmagotGet-AutomationConnection
belsőleg használó kapcsolati objektumot aConnect-AzAccount
parancsmagra.A Törlés gombra kattintva törölheti a tevékenységeket és
Connect to Azure
aGet Run As Connection
tevékenységeket.A bal oldali panel RUNBOOK CONTROL területén válassza a Kód elemet, majd a Hozzáadás a vászonhoz lehetőséget.
Szerkessze a kódtevékenységet, rendelje hozzá a megfelelő címkenevet, és válassza a Szerző tevékenység logikáját.
A Kódszerkesztő lapon adja meg a következő PowerShell-kódot, és válassza az OK gombot.
try { Write-Output ("Logging in to Azure...") Connect-AzAccount -Identity } catch { Write-Error -Message $_.Exception throw $_.Exception }
Csatlakozás az új tevékenységet azokhoz a tevékenységekhez, amelyeket Csatlakozás korábban az Azure-hoz kapcsolt, és mentse a runbookot.
A runbook Start Azure V2 virtuális gépeinek runbookgalériában például a fenti parancsmagot használó Connect-AzAccount
kódtevékenységre kell cserélnie azokat Get Run As Connection
és Connect to Azure
a tevékenységeket.
További információkért tekintse meg az Automation-fiókkal létrehozott AzureAutomationTutorialWithIdentityGraphical minta runbooknevet.
Megjegyzés:
Az AzureRM PowerShell-modulok 2024. február 29-én visszavonulnak. Ha AzureRM PowerShell-modulokat használ grafikus runbookokban, frissítenie kell őket az Az PowerShell-modulok használatára. További információ.
Következő lépések
Tekintse át a felügyelt identitásokra való migrálással kapcsolatos gyakori kérdéseket
Ha a runbookok nem fejeződnek be sikeresen, tekintse át az Azure Automation által felügyelt identitásokkal kapcsolatos problémák hibaelhárítását.
A rendszer által hozzárendelt felügyelt identitásokról további információt az Azure Automation-fiók rendszer által hozzárendelt felügyelt identitásának használata című témakörben talál.
A felhasználó által hozzárendelt felügyelt identitásokkal kapcsolatos további információkért lásd : Felhasználó által hozzárendelt felügyelt identitás használata egy Azure Automation-fiókhoz.
Az Azure Automation-fiók biztonságáról további információt az Azure Automation-fiókhitelesítés áttekintésében talál.