Mengelola izin dan keamanan peran di Automation

Kontrol akses berbasis peran Azure (Azure RBAC) memungkinkan manajemen akses untuk sumber daya Azure. Dengan menggunakan Azure RBAC, Anda dapat memisahkan tugas dalam tim dan hanya memberikan jumlah akses ke pengguna, grup, dan aplikasi yang dibutuhkan untuk melakukan pekerjaan mereka. Anda dapat memberikan akses berbasis peran kepada pengguna menggunakan portal Microsoft Azure, alat Azure Command-Line, atau Azure Management API.

Peran dalam akun Automation

Di Azure Automation, akses diberikan dengan menetapkan peran Azure yang sesuai untuk pengguna, grup, dan aplikasi di cakupan akun Automation. Berikut adalah peran bawaan yang didukung oleh akun Automation:

Peran Deskripsi
Pemilik Peran Pemilik memungkinkan akses ke semua sumber daya dan tindakan dalam akun Automation termasuk menyediakan akses ke pengguna, grup, dan aplikasi lain untuk mengelola akun Automation.
Kontributor Peran Kontributor memungkinkan Anda mengelola semuanya kecuali memodifikasi izin akses pengguna lain ke akun Automation.
Pembaca Peran Pembaca memungkinkan Anda untuk melihat semua sumber daya di akun Automation tetapi tidak dapat membuat perubahan apa pun.
Kontributor Automation Peran Kontributor Azure Automation mengizinkan Anda mengelola semua sumber daya di akun Azure Automation kecuali mengubah izin akses pengguna lain ke akun Azure Automation.
Operator Automation Peran Operator Automation memungkinkan Anda melihat nama dan properti runbook, serta untuk membuat dan mengelola pekerjaan untuk semua runbook dalam akun Automation. Peran ini berguna jika Anda ingin melindungi sumber daya akun Automation Anda seperti aset info masuk dan runbook agar tidak dilihat atau dimodifikasi, tetapi masih memungkinkan anggota organisasi Anda menjalankan runbook ini.
Operator Pekerjaan Automation Peran Operator Pekerjaan Automation memungkinkan Anda membuat dan mengelola pekerjaan untuk semua runbook di akun Automation.
Operator Runbook Automation Peran Operator Runbook Automation memungkinkan Anda melihat nama dan properti runbook.
Kontributor Analitik Log Peran Kontributor Analitik Log memungkinkan Anda membaca semua data pemantauan dan mengedit pengaturan pemantauan. Pengeditan pengaturan pemantauan mencakup menambahkan ekstensi komputer virtual ke komputer virtual, membaca kunci akun penyimpanan agar dapat mengonfigurasi kumpulan log dari penyimpanan Azure, membuat dan mengonfigurasi akun Automation, menambahkan fitur Azure Automation, dan mengonfigurasi diagnostik Azure pada semua sumber daya Azure.
Pembaca Log Analitik Peran Pembaca Analitik Log memungkinkan Anda melihat dan mencari semua data pemantauan serta melihat pengaturan pemantauan. Hal ini termasuk melihat konfigurasi diagnostik Azure pada semua sumber daya Azure.
Kontributor Pemantauan Peran Kontributor Pemantauan memungkinkan Anda membaca semua data pemantauan dan memperbarui pengaturan pemantauan.
Pembaca Pemantauan Peran Pembaca Pemantauan memungkinkan Anda membaca semua data pemantauan.
Administrator Akses Pengguna Peran Administrator Akses Pengguna memungkinkan Anda mengelola akses pengguna ke akun Azure Automation.

Izin peran

Tabel berikut menguraikan izin khusus yang diberikan untuk setiap peran. Ini dapat mencakup Tindakan, yang memberikan izin, dan NotActions, yang membatasinya.

Pemilik

Pemilik dapat mengelola semuanya, termasuk akses. Tabel berikut ini menampilkan izin yang diberikan untuk peran tersebut:

Tindakan Deskripsi
Microsoft.Automation/automationAccounts/ Membuat dan mengelola sumber daya dari semua jenis.

Kontributor

Kontributor dapat mengelola semuanya kecuali akses. Tabel berikut ini menampilkan izin yang diberikan dan ditolak untuk peran tersebut:

Tindakan Deskripsi
Microsoft.Automation/automationAccounts/ Membuat dan mengelola sumber daya dari semua jenis
Not Actions
Microsoft.Authorization/*/Delete Menghapus peran dan penetapan peran.
Microsoft.Authorization/*/Write Membuat peran dan penetapan peran.
Microsoft.Authorization/elevateAccess/Action Menolak kemampuan untuk membuat Administrator Akses Pengguna.

Pembaca

Pembaca dapat melihat semua sumber daya di akun Automation tetapi tidak dapat membuat perubahan apa pun.

Tindakan Deskripsi
Microsoft.Automation/automationAccounts/read Melihat semua sumber daya dalam akun Automation.

Kontributor Automation

Kontributor Azure Automation dapat mengelola semua sumber daya di akun Azure Automation kecuali akses. Tabel berikut ini menampilkan izin yang diberikan untuk peran tersebut:

Tindakan Deskripsi
Microsoft.Automation/automationAccounts/* Membuat dan mengelola sumber daya dari semua jenis di bawah akun Azure Automation.
Microsoft.Authorization/*/read Membaca peran dan penetapan peran.
Microsoft.Resources/deployments/* Membuat dan mengelola penyebaran grup sumber daya.
Microsoft.Resources/subscriptions/resourceGroups/read Baca penyebaran grup sumber daya.
Microsoft.Support/* Membuat dan mengelola tiket dukungan.
Microsoft.Insights/ActionGroups/* Baca/tulis/hapus grup tindakan.
Microsoft.Insights/ActivityLogAlerts/* Baca/tulis/hapus pemberitahuan log aktivitas.
Microsoft.Insights/diagnosticSettings/* Membaca/menulis/menghapus pengaturan diagnostik.
Microsoft.Insights/MetricAlerts/* Baca/tulis/hapus pemberitahuan metrik mendekati real-time.
Microsoft.Insights/ScheduledQueryRules/* Baca/tulis/hapus pemberitahuan log di Azure Monitor.
Microsoft.OperationalInsights/workspaces/sharedKeys/action Cantumkan kunci untuk ruang kerja Log Analytics

Catatan

Peran Kontributor Azure Automation dapat digunakan untuk mengakses sumber daya apa pun menggunakan identitas terkelola, jika izin yang sesuai ditetapkan pada sumber daya target, atau menggunakan akun Run As. Akun Automation Run As secara default, dikonfigurasi dengan hak Kontributor pada langganan. Ikuti keutamaan dari hak istimewa paling sedikit dan dengan hati-hati tetapkan izin yang hanya diperlukan untuk menjalankan runbook Anda. Misalnya, jika akun Azure Automation hanya diperlukan untuk memulai atau menghentikan Azure VM, maka izin yang ditetapkan ke akun Run As atau identitas terkelola hanya untuk memulai atau menghentikan mesin virtual. Demikian pula, jika runbook sedang membaca dari penyimpanan blob, maka tetapkan izin hanya-baca.

Saat menetapkan izin, disarankan untuk menggunakan kontrol akses berbasis peran (RBAC) Azure yang ditetapkan untuk identitas terkelola. Tinjau rekomendasi pendekatan terbaik kami untuk menggunakan sistem atau identitas terkelola yang ditetapkan pengguna, termasuk manajemen dan tata kelola selama masa pakainya.

Operator Automation

Operator Automation dapat membuat dan mengelola pekerjaan, serta membaca nama dan properti runbook untuk semua runbook di akun Automation.

Catatan

Jika Anda ingin mengontrol akses operator ke masing-masing runbook, jangan atur peran ini. Sebagai gantinya, gunakan peran Operator Pekerjaan Automation dan Operator Runbook Automation dalam kombinasi.

Tabel berikut ini menampilkan izin yang diberikan untuk peran tersebut:

Tindakan Deskripsi
Microsoft.Authorization/*/read Membaca otorisasi.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read Membaca Sumber Daya Hybrid Runbook Worker.
Microsoft.Automation/automationAccounts/jobs/read Mencantumkan pekerjaan runbook.
Microsoft.Automation/automationAccounts/jobs/resume/action Melanjutkan pekerjaan yang dijeda.
Microsoft.Automation/automationAccounts/jobs/stop/action Membatalkan pekerjaan yang sedang berlangsung.
Microsoft.Automation/automationAccounts/jobs/streams/read Membaca Aliran dan Output Pekerjaan.
Microsoft.Automation/automationAccounts/jobs/output/read Mendapatkan Output pekerjaan.
Microsoft.Automation/automationAccounts/jobs/suspend/action Menjeda pekerjaan yang sedang berlangsung.
Microsoft.Automation/automationAccounts/jobs/write Membuat pekerjaan.
Microsoft.Automation/automationAccounts/jobSchedules/read Mendapatkan jadwal pekerjaan Azure Automation.
Microsoft.Automation/automationAccounts/jobSchedules/write Membuat jadwal pekerjaan Azure Automation.
Microsoft.Automation/automationAccounts/linkedWorkspace/read Mendapatkan ruang kerja yang ditautkan ke akun Automation.
Microsoft.Automation/automationAccounts/read Mendapatkan akun Azure Automation.
Microsoft.Automation/automationAccounts/runbooks/read Mendapatkan runbook Azure Automation.
Microsoft.Automation/automationAccounts/schedules/read Mendapatkan aset jadwal Azure Automation.
Microsoft.Automation/automationAccounts/schedules/write Membuat atau memperbarui aset jadwal Azure Automation.
Microsoft.Resources/subscriptions/resourceGroups/read Membaca peran dan penetapan peran.
Microsoft.Resources/deployments/* Membuat dan mengelola penyebaran grup sumber daya.
Microsoft.Insights/alertRules/* Membuat atau mengelola aturan pemberitahuan.
Microsoft.Support/* Membuat dan mengelola tiket dukungan.

Operator Pekerjaan Automation

Peran Operator Pekerjaan Automation diberikan di cakupan akun Automation.Peran ini memungkinkan operator membuat dan mengelola pekerjaan untuk semua runbook di akun. Jika peran Operator Pekerjaan diberikan izin baca pada grup sumber daya yang berisi akun Automation, anggota peran memiliki kemampuan untuk memulai runbook. Namun, mereka tidak memiliki kemampuan untuk membuat, mengedit, atau menghapusnya.

Tabel berikut ini menampilkan izin yang diberikan untuk peran tersebut:

Tindakan Deskripsi
Microsoft.Authorization/*/read Membaca otorisasi.
Microsoft.Automation/automationAccounts/jobs/read Mencantumkan pekerjaan runbook.
Microsoft.Automation/automationAccounts/jobs/resume/action Melanjutkan pekerjaan yang dijeda.
Microsoft.Automation/automationAccounts/jobs/stop/action Membatalkan pekerjaan yang sedang berlangsung.
Microsoft.Automation/automationAccounts/jobs/streams/read Membaca Aliran dan Output Pekerjaan.
Microsoft.Automation/automationAccounts/jobs/suspend/action Menjeda pekerjaan yang sedang berlangsung.
Microsoft.Automation/automationAccounts/jobs/write Membuat pekerjaan.
Microsoft.Resources/subscriptions/resourceGroups/read Membaca peran dan penetapan peran.
Microsoft.Resources/deployments/* Membuat dan mengelola penyebaran grup sumber daya.
Microsoft.Insights/alertRules/* Membuat atau mengelola aturan pemberitahuan.
Microsoft.Support/* Membuat dan mengelola tiket dukungan.

Operator Runbook Automation

Peran Operator Runbook Automation diberikan di cakupan Runbook. Operator Runbook Automation dapat melihat nama dan properti runbook.Peran ini dikombinasikan dengan peran Operator Pekerjaan Automation yang juga memungkinkan operator membuat dan mengelola pekerjaan untuk runbook. Tabel berikut ini menampilkan izin yang diberikan untuk peran tersebut:

Tindakan Deskripsi
Microsoft.Automation/automationAccounts/runbooks/read Mencantumkan runbook.
Microsoft.Authorization/*/read Membaca otorisasi.
Microsoft.Resources/subscriptions/resourceGroups/read Membaca peran dan penetapan peran.
Microsoft.Resources/deployments/* Membuat dan mengelola penyebaran grup sumber daya.
Microsoft.Insights/alertRules/* Membuat atau mengelola aturan pemberitahuan.
Microsoft.Support/* Membuat dan mengelola tiket dukungan.

Kontributor Analitik Log

Kontributor Analitik Log dapat membaca semua data pemantauan dan mengedit pengaturan pemantauan. Pengeditan pengaturan pemantauan mencakup menambahkan ekstensi komputer virtual ke komputer virtual; membaca kunci akun penyimpanan agar dapat mengonfigurasi kumpulan log dari Azure Storage; membuat dan mengonfigurasi akun Automation; menambahkan fitur; dan mengonfigurasi diagnostik Azure pada semua sumber daya Azure. Tabel berikut ini menampilkan izin yang diberikan untuk peran tersebut:

Tindakan Deskripsi
*/read Membaca sumber daya dari semua jenis, kecuali rahasia.
Microsoft.Automation/automationAccounts/* Mengelola akun Automation.
Microsoft.ClassicCompute/virtualMachines/extensions/* Membuat dan mengelola ekstensi komputer virtual.
Microsoft.ClassicStorage/storageAccounts/listKeys/action Mencantumkan kunci akun penyimpanan klasik.
Microsoft.Compute/virtualMachines/extensions/* Membuat dan mengelola ekstensi komputer virtual klasik.
Microsoft.Insights/alertRules/* Membaca/menulis/menghapus aturan pemberitahuan.
Microsoft.Insights/diagnosticSettings/* Membaca/menulis/menghapus pengaturan diagnostik.
Microsoft.OperationalInsights/* Mengelola log Azure Monitor.
Microsoft.OperationsManagement/* Mengelola fitur Azure Automation di ruang kerja.
Microsoft.Resources/deployments/* Membuat dan mengelola penyebaran grup sumber daya.
Microsoft.Resources/subscriptions/resourcegroups/deployments/* Membuat dan mengelola penyebaran grup sumber daya.
Microsoft.Storage/storageAccounts/listKeys/action Mencantumkan kunci akun penyimpanan.
Microsoft.Support/* Membuat dan mengelola tiket dukungan.

Pembaca Log Analitik

Pembaca Analitik Log dapat melihat dan mencari semua data pemantauan serta melihat pengaturan pemantauan, termasuk melihat konfigurasi diagnostik Azure di semua sumber daya Azure. Tabel berikut ini menampilkan izin yang diberikan atau ditolak untuk peran tersebut:

Tindakan Deskripsi
*/read Membaca sumber daya dari semua jenis, kecuali rahasia.
Microsoft.OperationalInsights/workspaces/analytics/query/action Mengelola kueri di log Azure Monitor.
Microsoft.OperationalInsights/workspaces/search/action Mencari data log Azure Monitor.
Microsoft.Support/* Membuat dan mengelola tiket dukungan.
Not Actions
Microsoft.OperationalInsights/workspaces/sharedKeys/read Tidak dapat membaca kunci akses yang dibagikan.

Kontributor Pemantauan

Kontributor Pemantauan dapat membaca semua data pemantauan dan memperbarui pengaturan pemantauan. Tabel berikut ini menampilkan izin yang diberikan untuk peran tersebut:

Tindakan Deskripsi
*/read Membaca sumber daya dari semua jenis, kecuali rahasia.
Microsoft.AlertsManagement/alerts/* Mengelola Pemberitahuan.
Microsoft.AlertsManagement/alertsSummary/* Mengelola dasbor Pemberitahuan.
Microsoft.Insights/AlertRules/* Mengelola aturan pemberitahuan.
Microsoft.Insights/components/* Mengelola komponen Application Insights.
Microsoft.Insights/DiagnosticSettings/* Mengelola pengaturan diagnostik.
Microsoft.Insights/eventtypes/* Mencantumkan peristiwa Log Aktivitas (peristiwa manajemen) dalam langganan. Izin ini berlaku untuk akses terprogram dan portal ke Log Aktivitas.
Microsoft.Insights/LogDefinitions/* Izin ini diperlukan bagi pengguna yang membutuhkan akses ke Log Aktivitas melalui portal. Mencantumkan kategori log di Log Aktivitas.
Microsoft.Insights/MetricDefinitions/* Membaca definisi metrik (daftar tipe metrik yang tersedia untuk sumber daya).
Microsoft.Insights/Metrics/* Membaca metrik untuk sumber daya.
Microsoft.Insights/Register/Action Mendaftarkan penyedia Microsoft.Insights.
Microsoft.Insights/webtests/* Mengelola pengujian web Application Insights.
Microsoft.OperationalInsights/workspaces/intelligencepacks/* Mengelola paket solusi log Azure Monitor.
Microsoft.OperationalInsights/workspaces/savedSearches/* Mengelola pencarian yang disimpan log Azure Monitor.
Microsoft.OperationalInsights/workspaces/search/action Mencari ruang kerja Analitik Log.
Microsoft.OperationalInsights/workspaces/sharedKeys/action Mencantumkan kunci untuk ruang kerja Analitik Log.
Microsoft.OperationalInsights/workspaces/storageinsightconfigs/* Mengelola konfigurasi wawasan penyimpanan log Azure Monitor.
Microsoft.Support/* Membuat dan mengelola tiket dukungan.
Microsoft.WorkloadMonitor/workloads/* Mengelola Beban Kerja.

Pembaca Pemantauan

Pembaca Pemantauan dapat membaca semua data pemantauan. Tabel berikut ini menampilkan izin yang diberikan untuk peran tersebut:

Tindakan Deskripsi
*/read Membaca sumber daya dari semua jenis, kecuali rahasia.
Microsoft.OperationalInsights/workspaces/search/action Mencari ruang kerja Analitik Log.
Microsoft.Support/* Membuat dan mengelola tiket dukungan

Administrator Akses Pengguna

Administrator Akses Pengguna dapat mengelola akses pengguna ke sumber daya Azure. Tabel berikut ini menampilkan izin yang diberikan untuk peran tersebut:

Tindakan Deskripsi
*/read Membaca semua sumber daya
Microsoft.Authorization/* Mengelola otorisasi
Microsoft.Support/* Membuat dan mengelola tiket dukungan

Izin penyiapan fitur

Bagian berikut ini menjelaskan izin minimum yang diperlukan untuk mengaktifkan fitur Manajemen Pembaruan dan Pelacakan Perubahan dan Inventaris.

Izin untuk mengaktifkan Manajemen Pembaruan dan Pelacakan Perubahan dan Inventaris dari komputer virtual

Aksi Izin Cakupan minimum
Menulis penyebaran baru Microsoft.Resources/deployments/* Langganan
Menulis grup sumber daya baru Microsoft.Resources/subscriptions/resourceGroups/write Langganan
Membuat Ruang Kerja default baru Microsoft.OperationalInsights/workspaces/write Grup sumber daya
Membuat Akun baru Microsoft.Automation/automationAccounts/write Grup sumber daya
Menautkan ruang kerja dan akun Microsoft.OperationalInsights/workspaces/write
Microsoft.Automation/automationAccounts/read
Ruang kerja
Akun Automation
Membuat ekstensi MMA Microsoft.Compute/virtualMachines/write Komputer Virtual
Membuat pencarian tersimpan Microsoft.OperationalInsights/workspaces/write Ruang kerja
Membuat konfigurasi cakupan Microsoft.OperationalInsights/workspaces/write Ruang kerja
Pemeriksaan status onboarding - Membaca ruang kerja Microsoft.OperationalInsights/workspaces/read Ruang kerja
Pemeriksaan status onboarding - Membaca properti ruang kerja akun yang ditautkan Microsoft.Automation/automationAccounts/read Akun Automation
Pemeriksaan status onboarding - Membaca solusi Microsoft.OperationalInsights/workspaces/intelligencepacks/read Solusi
Pemeriksaan status onboarding - Membaca komputer virtual Microsoft.Compute/virtualMachines/read Komputer Virtual
Pemeriksaan status onboarding - Membaca akun Microsoft.Automation/automationAccounts/read Akun Automation
Pemeriksaan ruang kerja onboarding untuk komputer virtual1 Microsoft.OperationalInsights/workspaces/read Langganan
Mendaftarkan penyedia Analitik Log Microsoft.Insights/register/action Langganan

1 Izin ini diperlukan untuk mengaktifkan fitur melalui pengalaman portal komputer virtual.

Izin untuk mengaktifkan Manajemen Pembaruan dan Pelacakan Perubahan dan Inventaris dari akun Automation

Aksi Izin Cakupan Minimum
Membuat penyebaran baru Microsoft.Resources/deployments/* Langganan
Membuat grup sumber daya baru Microsoft.Resources/subscriptions/resourceGroups/write Langganan
Bilah AutomationOnboarding - Membuat ruang kerja baru Microsoft.OperationalInsights/workspaces/write Grup sumber daya
Bilah AutomationOnboarding - membaca ruang kerja yang ditautkan Microsoft.Automation/automationAccounts/read Akun Automation
Bilah AutomationOnboarding - membaca solusi Microsoft.OperationalInsights/workspaces/intelligencepacks/read Solusi
Bilah AutomationOnboarding - membaca ruang kerja Microsoft.OperationalInsights/workspaces/intelligencepacks/read Ruang kerja
Membuat tautan untuk ruang kerja dan Akun Microsoft.OperationalInsights/workspaces/write Ruang kerja
Menulis akun untuk shoebox Microsoft.Automation/automationAccounts/write Akun
Membuat/mengedit pencarian tersimpan Microsoft.OperationalInsights/workspaces/write Ruang kerja
Membuat/mengedit konfigurasi cakupan Microsoft.OperationalInsights/workspaces/write Ruang kerja
Mendaftarkan penyedia Analitik Log Microsoft.Insights/register/action Langganan
Langkah 2 - Aktifkan Beberapa komputer virtual
Bilah VMOnboarding - Membuat ekstensi MMA Microsoft.Compute/virtualMachines/write Komputer Virtual
Membuat/mengedit pencarian tersimpan Microsoft.OperationalInsights/workspaces/write Ruang kerja
Membuat/mengedit konfigurasi cakupan Microsoft.OperationalInsights/workspaces/write Ruang kerja

Peran Kontributor Azure Automation Kustom

Microsoft bermaksud untuk menghapus hak akun Automation dari peran Kontributor Analitik Log. Saat ini, peran Kontributor Analitik Log bawaan yang dijelaskan di atas dapat meningkatkan hak istimewa ke peran Kontributor langganan. Karena akun Automation, akun Run As awalnya dikonfigurasi dengan hak Kontributor pada langganan, akun tersebut dapat digunakan oleh penyerang untuk membuat runbook baru dan menjalankan kode sebagai Kontributor pada langganan.

Karena menghasilkan risiko keamanan ini, sebaiknya jangan gunakan peran Kontributor Analitik Log untuk menjalankan pekerjaan Automation. Sebagai gantinya, buat peran kustom Azure Automation Contributor dan gunakan peran tersebut untuk tindakan yang terkait dengan akun Automation. Lakukan langkah-langkah berikut untuk membuat peran kustom ini.

Membuat portal Microsoft Azure

Lakukan langkah-langkah berikut ini untuk membuat peran kustom Azure Automation di portal Microsoft Azure. Jika Anda ingin mempelajari lebih lanjut, lihat Peran kustom Azure.

  1. Salin dan tempel sintaks JSON berikut ke dalam file. Simpan file di komputer lokal Anda atau di akun penyimpanan Azure. Di file JSON, ganti nilai untuk properti assignableScopes dengan GUID langganan.

    {
     "properties": {
         "roleName": "Automation Account Contributor (Custom)",
         "description": "Allows access to manage Azure Automation and its resources",
         "assignableScopes": [
             "/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXX"
         ],
         "permissions": [
             {
                 "actions": [
                     "Microsoft.Authorization/*/read",
                     "Microsoft.Insights/alertRules/*",
                     "Microsoft.Insights/metrics/read",
                     "Microsoft.Insights/diagnosticSettings/*",
                     "Microsoft.Resources/deployments/*",
                     "Microsoft.Resources/subscriptions/resourceGroups/read",
                     "Microsoft.Automation/automationAccounts/*",
                     "Microsoft.Support/*"
                 ],
                 "notActions": [],
                 "dataActions": [],
                 "notDataActions": []
             }
         ]
       }
    }
    
  2. Selesaikan langkah-langkah selanjutnya sebagaimana diuraikan dalam Membuat atau memperbarui peran kustom Azure menggunakan portal Microsoft Azure. Untuk Langkah 3:Dasar, perhatikan hal berikut:

    • Di bidang Nama peran kustom, masukkan Kontributor akun Automation (khusus) atau nama yang cocok dengan standar penamaan Anda.
    • Untuk Izin garis besar, pilih Mulai dari JSON. Kemudian pilih file JSON khusus yang Anda simpan sebelumnya.
  3. Selesaikan langkah-langkah yang tersisa, lalu ulas dan buat peran kustom. Ini bisa membutuhkan waktu beberapa menit agar peran kustom Anda muncul di mana-mana.

Buat menggunakan PowerShell

Lakukan langkah-langkah berikut untuk membuat peran kustom Azure Automation dengan PowerShell. Jika Anda ingin mempelajari lebih lanjut, lihat Peran kustom Azure.

  1. Salin dan tempel sintaks JSON berikut ke dalam file. Simpan file di komputer lokal Anda atau di akun penyimpanan Azure. Di file JSON, ganti nilai untuk properti AssignableScopes dengan GUID langganan.

    { 
        "Name": "Automation account Contributor (custom)",
        "Id": "",
        "IsCustom": true,
        "Description": "Allows access to manage Azure Automation and its resources",
        "Actions": [
            "Microsoft.Authorization/*/read",
            "Microsoft.Insights/alertRules/*",
            "Microsoft.Insights/metrics/read",
            "Microsoft.Insights/diagnosticSettings/*",
            "Microsoft.Resources/deployments/*",
            "Microsoft.Resources/subscriptions/resourceGroups/read",
            "Microsoft.Automation/automationAccounts/*",
            "Microsoft.Support/*"
        ],
        "NotActions": [],
        "AssignableScopes": [
            "/subscriptions/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXX"
        ] 
    } 
    
  2. Selesaikan langkah-langkah selanjutnya sebagaimana diuraikan dalam Membuat atau memperbarui peran kustom Azure menggunakan Azure PowerShell. Ini bisa membutuhkan waktu beberapa menit agar peran kustom Anda muncul di mana-mana.

Izin Manajemen Pembaruan

Manajemen Pembaruan dapat digunakan untuk menilai dan menjadwalkan penyebaran pembaruan ke komputer pada beberapa langganan di penyewa Azure Active Directory (Microsoft Azure AD) yang sama, atau di seluruh penyewa menggunakan Azure Lighthouse. Tabel berikut mencantumkan izin yang diperlukan untuk mengelola penyebaran pembaruan.

Sumber daya Peran Cakupan
Akun Automation Peran Kontributor Azure Automation Kustom Akun Automation
Akun Automation Kontributor Komputer Virtual Grup Sumber Daya untuk akun
Ruang kerja Analitik Log, Kontributor Analitik Log Ruang kerja Analitik Log
Ruang kerja Analitik Log Pembaca Log Analitik Langganan
Solusi Kontributor Analitik Log Solusi
Komputer Virtual Kontributor Komputer Virtual Komputer Virtual
Tindakan pada Komputer Virtual
Lihat riwayat eksekusi jadwal pembaruan (Komputer Konfigurasi Pembaruan Perangkat Lunak Berjalan) Pembaca Akun Automation
Tindakan pada komputer virtual Izin
Membuat jadwal pembaruan (Konfigurasi Pembaruan Perangkat Lunak) Microsoft.Compute/virtualMachines/write Untuk daftar VM statis dan grup sumber daya
Membuat jadwal pembaruan (Konfigurasi Pembaruan Perangkat Lunak) Microsoft.OperationalInsights/workspaces/analytics/query/action Untuk ID sumber daya ruang kerja saat menggunakan daftar dinamis non-Azure.

Mengonfigurasi Azure RBAC untuk akun Automation Anda

Bagian berikut ini menampilkan cara mengonfigurasi Azure RBAC di akun Automation Anda melalui portal Microsoft Azure dan PowerShell.

Mengonfigurasi Azure RBAC menggunakan portal Microsoft Azure

  1. Masuk ke portal Microsoft Azure dan buka akun Automation Anda dari halaman Akun Automation.

  2. Klik Kontrol access (IAM) untuk membuka halaman Kontrol akses (IAM). Anda dapat menggunakan halaman ini untuk menambahkan pengguna, grup, dan aplikasi baru untuk mengelola akun Automation Anda dan melihat peran yang sudah ada, yang dapat dikonfigurasi untuk akun Automation.

  3. Klik tab Penetapan peran.

    Tombol akses

Menambahkan pengguna baru dan menetapkan peran

  1. Dari halaman Kontrol akses (IAM), klik + Tambahkan penetapan peran. Tindakan ini akan membuka halaman Menambahkan penetapan peran tempat Anda dapat menambahkan pengguna, grup, atau aplikasi, dan menetapkan peran terkait.

  2. Memilih peran dari daftar peran yang tersedia. Anda dapat memilih peran bawaan yang tersedia yang didukung akun Automation atau peran kustom apa pun yang mungkin telah Anda tentukan.

  3. Ketik nama pengguna yang ingin Anda beri izin di bidang Pilih. Pilih pengguna dari daftar dan klik Simpan.

    Menambahkan pengguna

    Kini Anda akan melihat pengguna yang ditambahkan ke halaman Pengguna, dengan peran yang dipilih ditetapkan.

    Mencantumkan pengguna

    Anda juga dapat menetapkan peran kepada pengguna dari halaman Peran.

  4. Klik Peran dari halaman Kontrol akses (IAM) untuk membuka halaman Peran. Anda dapat melihat nama peran dan jumlah pengguna dan grup yang ditetapkan ke peran tersebut.

    Menetapkan peran dari halaman pengguna

    Catatan

    Anda hanya dapat mengatur kontrol akses berbasis peran di cakupan akun Automation, bukan pada sumber daya apa pun di bawah akun Automation.

Menghapus pengguna

Anda dapat menghapus izin akses untuk pengguna yang tidak mengelola akun Automation, atau yang tidak lagi bekerja untuk organisasi. Berikut ini adalah langkah-langkah untuk menghapus pengguna:

  1. Dari halaman Kontrol akses (IAM), pilih pengguna yang akan dihapus dan klik Hapus.

  2. Klik tombol Hapus di panel detail penetapan.

  3. Klik Ya untuk mengonfirmasi penghapusan.

    Menghapus pengguna

Mengonfigurasi Azure RBAC menggunakan PowerShell

Anda juga dapat mengonfigurasi akses berbasis peran ke akun Automation menggunakan cmdlet Azure PowerShell berikut:

Get-AzRoleDefinition mencantumkan semua peran Azure yang tersedia di Azure Active Directory. Anda dapat menggunakan cmdlet ini dengan parameter Name untuk mencantumkan semua tindakan yang dapat dilakukan peran tertentu.

Get-AzRoleDefinition -Name 'Automation Operator'

Berikut ini adalah contoh output:

Name             : Automation Operator
Id               : d3881f73-407a-4167-8283-e981cbba0404
IsCustom         : False
Description      : Automation Operators are able to start, stop, suspend, and resume jobs
Actions          : {Microsoft.Authorization/*/read, Microsoft.Automation/automationAccounts/jobs/read, Microsoft.Automation/automationAccounts/jobs/resume/action,
                   Microsoft.Automation/automationAccounts/jobs/stop/action...}
NotActions       : {}
AssignableScopes : {/}

Get-AzRoleAssignment mencantumkan penetapan peran Azure pada cakupan yang ditentukan. Tanpa parameter apa pun, cmdlet ini akan mengembalikan semua penetapan peran yang dibuat di bagian langganan. Gunakan parameter ExpandPrincipalGroups untuk mencantumkan penetapan akses untuk pengguna yang ditentukan, serta grup tempat pengguna berada.

Contoh: Gunakan cmdlet berikut untuk mencantumkan semua pengguna dan peran mereka dalam akun Automation.

Get-AzRoleAssignment -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

Berikut ini adalah contoh output:

RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
                     ers/Microsoft.Authorization/roleAssignments/cc594d39-ac10-46c4-9505-f182a355c41f
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName        : admin@contoso.com
SignInName         : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId   : d3881f73-407a-4167-8283-e981cbba0404
ObjectId           : 15f26a47-812d-489a-8197-3d4853558347
ObjectType         : User

Gunakan New-AzRoleAssignment untuk menetapkan akses ke pengguna, grup, dan aplikasi ke cakupan tertentu.

Contoh: Gunakan perintah berikut untuk menetapkan peran "Operator Automation" untuk pengguna dalam cakupan akun Automation.

New-AzRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName 'Automation operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

Berikut ini adalah contoh output:

RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
                     ers/Microsoft.Authorization/roleAssignments/25377770-561e-4496-8b4f-7cba1d6fa346
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName        : admin@contoso.com
SignInName         : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId   : d3881f73-407a-4167-8283-e981cbba0404
ObjectId           : f5ecbe87-1181-43d2-88d5-a8f5e9d8014e
ObjectType         : User

Gunakan Remove-AzRoleAssignment untuk menghapus akses pengguna, grup, atau aplikasi tertentu dari cakupan tertentu.

Contoh: Gunakan perintah berikut untuk menghapus pengguna dari peran Operator Automation dalam cakupan akun Automation.

Remove-AzRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName 'Automation Operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

Dalam contoh sebelumnya, ganti sign-in ID of a user you wish to remove, SubscriptionID, Resource Group Name, dan Automation account name dengan detail akun Anda. Pilih ya ketika diminta untuk mengonfirmasi sebelum terus menghapus penetapan peran pengguna.

Pengalaman pengguna untuk peran Operator Automation - Akun Automation

Ketika pengguna yang ditetapkan ke peran Operator Automation pada cakupan akun Automation melihat akun Automation tempat pengguna ditugaskan, mereka hanya dapat melihat daftar runbook, pekerjaan runbook, dan jadwal yang dibuat di akun Automation. Pengguna ini tidak dapat melihat definisi item ini. Pengguna dapat memulai, menghentikan, menangguhkan, melanjutkan, atau menjadwalkan pekerjaan runbook. Namun, pengguna tidak memiliki akses ke sumber daya Automation lainnya, seperti konfigurasi, grup Pekerja Runbook Hibrid, atau simpul DSC.

Tidak ada akses ke sumber daya

Mengonfigurasi Azure RBAC untuk runbook

Azure Automation memungkinkan Anda menetapkan peran Azure ke runbook tertentu. Untuk melakukannya, jalankan skrip berikut untuk menambahkan pengguna ke runbook tertentu. Administrator Akun Automation atau Administrator Penyewa dapat menjalankan skrip ini.

$rgName = "<Resource Group Name>" # Resource Group name for the Automation account
$automationAccountName ="<Automation account name>" # Name of the Automation account
$rbName = "<Name of Runbook>" # Name of the runbook
$userId = "<User ObjectId>" # Azure Active Directory (AAD) user's ObjectId from the directory

# Gets the Automation account resource
$aa = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts" -ResourceName $automationAccountName

# Get the Runbook resource
$rb = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts/runbooks" -ResourceName "$rbName"

# The Automation Job Operator role only needs to be run once per user.
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Job Operator" -Scope $aa.ResourceId

# Adds the user to the Automation Runbook Operator role to the Runbook scope
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Runbook Operator" -Scope $rb.ResourceId

Setelah skrip berjalan, minta pengguna masuk ke portal Microsoft Azure dan pilih Semua Sumber Daya. Dalam daftar, pengguna dapat melihat runbook yang telah ditambahkan sebagai Operator Automation Runbook.

Runbook Azure RBAC di portal

Pengalaman pengguna untuk peran operator Automation - Runbook

Ketika pengguna yang ditetapkan ke peran Operator Automation pada cakupan Runbook melihat runbook yang ditetapkan, pengguna hanya dapat memulai runbook dan melihat pekerjaan runbook.

Hanya memiliki akses untuk memulai

Langkah berikutnya