Migrasi dari akun Jalankan Sebagai yang sudah ada ke Identitas terkelola

Artikel
10/24/2023

Penting

Akun Azure Automation Run as, termasuk Classic Run as telah dihentikan pada 30 September 2023 dan diganti dengan Identitas Terkelola. Anda tidak akan lagi dapat membuat atau memperbarui Jalankan sebagai akun melalui portal Azure.

Untuk informasi selengkapnya tentang irama migrasi dan garis waktu dukungan untuk pembuatan akun Run As dan perpanjangan sertifikat, lihat pertanyaan yang sering diajukan.

Akun Jalankan Sebagai di Azure Automation menyediakan autentikasi untuk mengelola sumber daya yang disebarkan melalui Azure Resource Manager atau model penyebaran klasik. Setiap kali akun Jalankan Sebagai dibuat, aplikasi Microsoft Entra terdaftar, dan sertifikat yang ditandatangani sendiri dibuat. Sertifikat berlaku selama satu bulan. Memperbarui sertifikat setiap bulan sebelum kedaluwarsa membuat akun Automation tetap berfungsi tetapi menambahkan overhead.

Anda dapat mengonfigurasi Akun Automation untuk menggunakan identitas terkelola, yang merupakan opsi default saat Anda membuat akun Automation. Dengan fitur ini, akun Automation dapat mengautentikasi ke sumber daya Azure tanpa perlu bertukar kredensial apa pun. Identitas terkelola menghapus overhead perpanjangan sertifikat atau mengelola perwakilan layanan.

Identitas terkelola dapat ditetapkan sistem atau ditetapkan pengguna. Saat akun Automation baru dibuat, identitas terkelola yang ditetapkan sistem diaktifkan.

Prasyarat

Sebelum Anda bermigrasi dari akun Jalankan Sebagai atau akun Jalankan Sebagai Klasik ke identitas terkelola:

Buat identitas terkelola yang ditetapkan sistem atau ditetapkan pengguna, atau buat kedua jenis tersebut. Untuk mempelajari selengkapnya tentang perbedaan antara kedua jenis tersebut, lihat Jenis identitas terkelola.
Catatan
- Identitas yang ditetapkan pengguna hanya didukung untuk pekerjaan cloud. Tidak dimungkinkan untuk menggunakan identitas yang dikelola pengguna akun Automation pada pekerja runbook hibrid. Untuk menggunakan pekerjaan hibrid, Anda harus membuat identitas yang ditetapkan sistem.
- Ada dua cara untuk menggunakan identitas terkelola dalam skrip pekerja runbook hibrid: baik identitas terkelola yang ditetapkan sistem untuk akun Automation atau identitas terkelola komputer virtual (VM) untuk Azure VM yang berjalan sebagai pekerja runbook hibrid.
- Identitas terkelola yang ditetapkan pengguna VM dan identitas terkelola yang ditetapkan sistem VM tidak akan berfungsi di akun Automation yang dikonfigurasi dengan identitas terkelola akun Automation. Saat mengaktifkan identitas terkelola akun Automation, Anda hanya dapat menggunakan identitas terkelola yang ditetapkan sistem akun Automation dan bukan identitas terkelola VM. Untuk informasi selengkapnya, lihat Menggunakan autentikasi runbook dengan identitas terkelola.
Tetapkan peran yang sama ke identitas terkelola untuk mengakses sumber daya Azure yang cocok dengan akun Run As. Gunakan skrip ini untuk mengaktifkan Identitas yang ditetapkan Sistem di akun Automation dan tetapkan sekumpulan izin yang sama yang ada di Azure Automation Run sebagai akun ke identitas Yang Ditetapkan Sistem dari akun Automation.

Misalnya, jika akun Automation hanya diperlukan untuk memulai atau menghentikan VM Azure, maka izin yang ditetapkan ke akun Jalankan Sebagai hanya perlu untuk memulai atau menghentikan VM tersebut. Demikian pula, tetapkan izin baca-saja jika runbook membaca dari Azure Blob Storage. Untuk mengetahui informasi selengkapnya, lihat panduan keamanan Azure Automation.
Jika Anda menggunakan akun Jalankan Sebagai Klasik, pastikan Anda telah memigrasikan sumber daya yang disebarkan melalui model penyebaran klasik ke Azure Resource Manager.
Gunakan skrip ini untuk mengetahui akun Automation mana yang menggunakan akun Jalankan Sebagai. Jika akun Azure Automation Anda berisi akun Jalankan Sebagai, akun tersebut memiliki peran kontributor bawaan yang ditetapkan untuk akun tersebut secara default. Anda dapat menggunakan skrip untuk memeriksa akun Azure Automation Run As dan menentukan apakah penetapan peran mereka adalah yang default atau apakah telah diubah ke definisi peran yang berbeda.
Gunakan skrip ini untuk mengetahui apakah semua runbook di akun Automation Anda menggunakan akun Jalankan Sebagai.

Migrasi dari akun Automation Run As ke identitas terkelola

Untuk bermigrasi dari akun Automation Run As atau akun Jalankan Sebagai Klasik ke identitas terkelola untuk autentikasi runbook Anda, ikuti langkah-langkah berikut:

Ubah kode runbook untuk menggunakan identitas terkelola.

Sebaiknya uji identitas terkelola untuk memverifikasi apakah runbook berfungsi seperti yang diharapkan dengan membuat salinan runbook produksi Anda. Perbarui kode runbook pengujian Anda untuk mengautentikasi dengan menggunakan identitas terkelola. Metode ini memastikan bahwa Anda tidak mengambil alih AzureRunAsConnection dalam runbook produksi Anda dan merusak instans Automation yang ada. Setelah yakin kode runbook berjalan seperti yang diharapkan melalui identitas terkelola, perbarui runbook produksi Anda untuk menggunakan identitas terkelola.

Untuk dukungan identitas terkelola, gunakan cmdlet Connect-AzAccount. Untuk mempelajari selengkapnya tentang cmdlet ini, lihat Connect-AzAccount di referensi PowerShell.
- Jika Anda menggunakan Az modul, perbarui ke versi terbaru dengan mengikuti langkah-langkah dalam artikel Memperbarui modul Azure PowerShell.
- Jika Anda menggunakan modul AzureRM, perbarui AzureRM.Profile ke versi terbaru dan ganti dengan menggunakan cmdlet Add-AzureRMAccount dengan Connect-AzureRMAccount –Identity.
Untuk memahami perubahan pada kode runbook yang diperlukan sebelum Anda dapat menggunakan identitas terkelola, gunakan skrip sampel.
Ketika Anda yakin bahwa runbook berhasil berjalan dengan menggunakan identitas terkelola, Anda dapat dengan aman menghapus akun Jalankan Sebagai jika tidak ada runbook lain yang menggunakan akun tersebut.

Skrip sampel

Contoh skrip runbook berikut mengambil sumber daya Resource Manager dengan menggunakan akun Jalankan Sebagai (perwakilan layanan) dan identitas terkelola. Anda akan melihat perbedaan kode runbook di awal runbook, di mana ia mengautentikasi terhadap sumber daya.

Catatan

Aktifkan izin RBAC yang sesuai untuk identitas sistem akun Automation ini. Jika tidak, runbook mungkin gagal.

try
{
    "Logging in to Azure..."
    Connect-AzAccount -Identity
}
catch {
    Write-Error -Message $_.Exception
    throw $_.Exception
}

#Get all Resource Manager resources from all resource groups
$ResourceGroups = Get-AzResourceGroup

foreach ($ResourceGroup in $ResourceGroups)
{    
    Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName)
    $Resources = Get-AzResource -ResourceGroupName $ResourceGroup.ResourceGroupName
    foreach ($Resource in $Resources)
    {
        Write-Output ($Resource.Name + " of type " +  $Resource.ResourceType)
    }
    Write-Output ("")
}

try
{ 

    "Logging in to Azure..." 
    Connect-AzAccount -Identity -AccountId <Client Id of myUserAssignedIdentity>
} 
catch { 
    Write-Error -Message $_.Exception 
    throw $_.Exception 
} 
#Get all Resource Manager resources from all resource groups 
$ResourceGroups = Get-AzResourceGroup 
foreach ($ResourceGroup in $ResourceGroups) 
{     
    Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName) 
    $Resources = Get-AzResource -ResourceGroupName $ResourceGroup.ResourceGroupName 
    foreach ($Resource in $Resources) 
    { 
        Write-Output ($Resource.Name + " of type " +  $Resource.ResourceType) 
    } 
    Write-Output ("") 
}

  $connectionName = "AzureRunAsConnection"
  try
  {
      # Get the connection "AzureRunAsConnection"
      $servicePrincipalConnection=Get-AutomationConnection -Name $connectionName         

      "Logging in to Azure..."
      Add-AzureRmAccount `
          -ServicePrincipal `
          -TenantId $servicePrincipalConnection.TenantId `
          -ApplicationId $servicePrincipalConnection.ApplicationId `
          -CertificateThumbprint $servicePrincipalConnection.CertificateThumbprint 
  }
  catch {
      if (!$servicePrincipalConnection)
      {
          $ErrorMessage = "Connection $connectionName not found."
          throw $ErrorMessage
      } else{
          Write-Error -Message $_.Exception
          throw $_.Exception
      }
  }

  #Get all Resource Manager resources from all resource groups
  $ResourceGroups = Get-AzureRmResourceGroup 

  foreach ($ResourceGroup in $ResourceGroups)
  {    
      Write-Output ("Showing resources in resource group " + $ResourceGroup.ResourceGroupName)
      $Resources = Find-AzureRmResource -ResourceGroupNameContains $ResourceGroup.ResourceGroupName | Select ResourceName, ResourceType
      ForEach ($Resource in $Resources)
      {
          Write-Output ($Resource.ResourceName + " of type " +  $Resource.ResourceType)
      }
      Write-Output ("")
  }

Lihat ID klien identitas yang ditetapkan pengguna

Di akun Automation Anda, di bawah Pengaturan Akun, pilih Identitas.
Di tab Ditetapkan pengguna, pilih identitas yang ditetapkan pengguna.
Buka Ringkasan>Esensial, untuk melihat ID Klien.

Runbook grafis

Periksa apakah akun Jalankan Sebagai digunakan dalam runbook grafis

Periksa setiap aktivitas dalam runbook untuk melihat apakah menggunakan akun Jalankan Sebagai saat memanggil cmdlet atau alias masuk apa pun, seperti Add-AzRmAccount/Connect-AzRmAccount/Add-AzAccount/Connect-AzAccount.
Periksa parameter yang digunakan cmdlet.

Untuk digunakan dengan akun Jalankan Sebagai, cmdlet menggunakan parameter yang ServicePrinicipalCertificate diatur ke ApplicationId. CertificateThumbprint akan berasal dari RunAsAccountConnection.

Mengedit runbook grafis untuk menggunakan identitas terkelola

Anda harus menguji identitas terkelola untuk memverifikasi bahwa runbook grafis berfungsi seperti yang diharapkan. Buat salinan runbook produksi Anda untuk menggunakan identitas terkelola, lalu perbarui kode runbook grafis pengujian Anda untuk mengautentikasi dengan menggunakan identitas terkelola. Anda dapat menambahkan fungsionalitas ini ke runbook grafis dengan menambahkan Connect-AzAccount cmdlet.

Langkah-langkah berikut menyertakan contoh untuk menunjukkan bagaimana runbook grafis yang menggunakan akun Jalankan Sebagai dapat menggunakan identitas terkelola:

Masuk ke portal Azure.
Buka akun Automation, lalu pilih Runbook Automation>Proses.
Pilih runbook. Misalnya, pilih runbook Mulai VM Azure V2 dari daftar, lalu pilih Edit atau buka Telusuri Galeri dan pilih Mulai VM Azure V2.
Ganti koneksi Jalankan Sebagai yang menggunakan AzureRunAsConnection dan aset koneksi yang secara internal menggunakan cmdlet PowerShell Get-AutomationConnection dengan Connect-AzAccount cmdlet.
Pilih Hapus untuk menghapus Get Run As Connection aktivitas dan Connect to Azure .
Di panel kiri, di bawah RUNBOOK CONTROL, pilih Kode lalu pilih Tambahkan ke kanvas.
Edit aktivitas kode, tetapkan nama label yang sesuai, dan pilih Logika aktivitas penulis.

Di halaman Editor Kode, masukkan kode PowerShell berikut dan pilih OK.

try 
{ 
   Write-Output ("Logging in to Azure...") 
   Connect-AzAccount -Identity 
} 
catch { 
   Write-Error -Message $_.Exception 
   throw $_.Exception 
}

Koneksi aktivitas baru ke aktivitas yang disambungkan oleh Koneksi ke Azure sebelumnya dan simpan runbook.

Misalnya, dalam runbook Mulai Azure V2 VM di galeri runbook, Anda harus mengganti Get Run As Connection aktivitas dan Connect to Azure dengan aktivitas kode yang menggunakan Connect-AzAccount cmdlet seperti yang dijelaskan di atas. Untuk informasi selengkapnya, lihat contoh nama runbook AzureAutomationTutorialWithIdentityGraphical yang dibuat dengan akun Automation.