Configurare l'ambiente per un operatore di Blueprint

Importante

Il 11 luglio 2026 Blueprints (anteprima) sarà deprecato. Eseguire la migrazione delle definizioni e delle assegnazioni di progetto esistenti a specifiche di modello e stack di distribuzione. Gli artefatti del progetto devono essere convertiti in modelli JSON ARM o file Bicep usati per definire gli stack di distribuzione. Per informazioni su come creare un artefatto come risorsa arm, vedere:

• Criteri
• RBAC
• Deployments

La gestione delle definizioni del progetto e delle assegnazioni di progetto può essere assegnata a team diversi. È comune che un architetto o un team di governance sia responsabile della gestione del ciclo di vita delle definizioni di progetto, mentre un team operativo è responsabile della gestione delle assegnazioni di tali definizioni di progetto controllate centralmente.

Il ruolo predefinito Operatore progetto è progettato in modo specifico per l'uso in questo tipo di scenario. Il ruolo consente ai team del tipo di operazioni di gestire l'assegnazione delle definizioni di progetto delle organizzazioni, ma non la possibilità di modificarle. In questo modo è necessaria una configurazione nell'ambiente Azure e questo articolo illustra i passaggi necessari.

Concedere l'autorizzazione all'operatore blueprint

Il primo passaggio consiste nel concedere il ruolo Operatore progetto all'account o al gruppo di sicurezza (scelta consigliata) che assegnerà i progetti. Questa azione deve essere eseguita al livello più alto nella gerarchia dei gruppi di gestione che comprende tutti i gruppi di gestione e le sottoscrizioni a cui il team operativo deve avere accesso all'assegnazione del progetto. È consigliabile seguire il principio dei privilegi minimi quando si concedono queste autorizzazioni.

1. (Scelta consigliata) Creare un gruppo di sicurezza e aggiungere membri

2. Assegnare il ruolo di Azure dell'operatore blueprint all'account o al gruppo di sicurezza

Identità gestita assegnata dall'utente

Una definizione di progetto può usare identità gestite assegnate dal sistema o assegnate dall'utente. Tuttavia, quando si usa il ruolo Operatore progetto , la definizione del progetto deve essere configurata per usare un'identità gestita assegnata dall'utente. Inoltre, all'account o al gruppo di sicurezza a cui viene concesso il ruolo Operatore progetto deve essere concesso il ruolo Operatore identità gestita nell'identità gestita assegnata dall'utente. Senza questa autorizzazione, le assegnazioni del progetto hanno esito negativo a causa della mancanza di autorizzazioni.

1. Creare un'identità gestita assegnata dall'utente per l'uso da parte di un progetto assegnato.

2. Concedere all'identità gestita assegnata dall'utente tutti i ruoli o le autorizzazioni richieste dalla definizione del progetto per l'ambito previsto.

3. Assegnare il ruolo di Azuredell'operatore identità gestita all'account o al gruppo di sicurezza. Definire l'ambito dell'assegnazione di ruolo alla nuova identità gestita assegnata dall'utente.

4. Come Operatore progettoassegnare un progetto che usa la nuova identità gestita assegnata dall'utente.

Passaggi successivi

• Informazioni sul ciclo di vita del progetto.
• Informazioni su come usare parametri statici e dinamici.
• Informazioni su come personalizzare l'ordine di sequenziazione del progetto.
• Informazioni su come usare in modo ottimale il blocco delle risorse del progetto.
• Risolvere i problemi durante l'assegnazione di un progetto con la risoluzione generale dei problemi.