Controllo degli accessi in base al ruolo in Automazione di AzureRole-based access control in Azure Automation

Controllo degli accessi in base al ruoloRole-based access control

Il controllo degli accessi in base al ruolo consente di gestire gli accessi per le risorse di Azure.Role-based access control (RBAC) enables access management for Azure resources. Con il Controllo degli accessi in base al ruoloè possibile separare i compiti all'interno del team e concedere a utenti, gruppi e applicazioni solo il livello di accesso necessario per svolgere le proprie attività.Using RBAC, you can segregate duties within your team and grant only the amount of access to users, groups and applications that they need to perform their jobs. È possibile concedere l'accesso in base al ruolo agli utenti tramite il portale di Azure, gli strumenti da riga di comando di Azure o le API di gestione di Azure.Role-based access can be granted to users using the Azure portal, Azure Command-Line tools, or Azure Management APIs.

Controllo degli accessi in base al ruolo negli account di automazioneRBAC in Automation Accounts

In Automazione di Azure l'accesso viene concesso assegnando il ruolo Controllo degli accessi in base al ruolo appropriato a utenti, gruppi e applicazioni nell'ambito dell'account di automazione.In Azure Automation, access is granted by assigning the appropriate RBAC role to users, groups, and applications at the Automation account scope. Di seguito sono elencati i ruoli predefiniti supportati da un account di automazione:Following are the built-in roles supported by an Automation account:

RuoloRole DescrizioneDescription
ProprietarioOwner Il ruolo Proprietario consente l'accesso a tutte le risorse e le azioni in un account di automazione, inclusa la possibilità di concedere l'accesso ad altri utenti e gruppi e ad altre applicazioni per gestire l'account di automazione.The Owner role allows access to all resources and actions within an Automation account including providing access to other users, groups and applications to manage the Automation account.
CollaboratoreContributor Il ruolo Collaboratore consente di gestire tutto, tranne la modifica delle autorizzazioni di accesso di altri utenti a un account di automazione.The Contributor role allows you to manage everything except modifying other user’s access permissions to an Automation account.
LettoreReader Il ruolo Lettore consente di visualizzare tutte le risorse in un account di automazione, ma non di apportare modifiche.The Reader role allows you to view all the resources in an Automation account but cannot make any changes.
Operatore di automazioneAutomation Operator Il ruolo Operatore di automazione permette di eseguire attività operative, tra cui l'avvio, l'arresto, la sospensione, la ripresa e la pianificazione di processi.The Automation Operator role allows you to perform operational tasks such as start, stop, suspend, resume, and schedule jobs. Questo ruolo è utile per proteggere le risorse dell'account di automazione, come asset delle credenziali e runbook, dalla visualizzazione o dalla modifica, consentendo però ai membri dell'organizzazione di eseguire i runbook.This role is helpful if you want to protect your Automation Account resources like credentials assets and runbooks from being viewed or modified but still allow members of your organization to execute these runbooks.
Amministratore accessi utenteUser Access Administrator Il ruolo Amministratore Accesso utenti consente di gestire l'accesso utente agli account di automazione di Azure.The User Access Administrator role allows you to manage user access to Azure Automation accounts.

Nota

Non è possibile concedere diritti di accesso a uno o più runbook specifici, ma solo alle risorse e le azioni all'interno dell'account di automazione.You cannot grant access rights to a specific runbook or runbooks, only to the resources and actions within the Automation account.

Questo articolo descrive in modo dettagliato come configurare il controllo degli accessi in base al ruolo in Automazione di Azure.In this article we walk through how to set up RBAC in Azure Automation. Prima di tutto, tuttavia, vengono esaminate le singole autorizzazioni concesse ai ruoli Collaboratore, Lettore, Operatore di automazione e Amministratore accessi utente per offrire una buona comprensione prima di iniziare a concedere diritti per l'account di Automazione agli utenti.But first, let's take a closer look at the individual permissions granted to the Contributor, Reader, Automation Operator, and User Access Administrator so that we gain a good understanding before granting anyone rights to the Automation account. In caso contrario potrebbero verificarsi conseguenze impreviste o indesiderate.Otherwise it could result in unintended or undesirable consequences.

Autorizzazioni del ruolo CollaboratoreContributor role permissions

La tabella seguente illustra le azioni specifiche che possono essere eseguite dal ruolo Collaboratore in Automazione.The following table presents the specific actions that can be performed by the Contributor role in Automation.

Tipo di risorsaResource Type LetturaRead ScritturaWrite EliminazioneDelete Altre azioniOther Actions
Account di automazione di AzureAzure Automation Account Stato verde Stato verde Stato verde
Asset di certificato di AutomazioneAutomation Certificate Asset Stato verde Stato verde Stato verde
Asset di connessione di AutomazioneAutomation Connection Asset Stato verde Stato verde Stato verde
Asset del tipo di connessione di AutomazioneAutomation Connection Type Asset Stato verde Stato verde Stato verde
Asset credenziali di AutomazioneAutomation Credential Asset Stato verde Stato verde Stato verde
Asset di pianificazione di AutomazioneAutomation Schedule Asset Stato verde Stato verde Stato verde
Asset di tipo variabile di AutomazioneAutomation Variable Asset Stato verde Stato verde Stato verde
Configurazione dello stato desiderato di AutomazioneAutomation Desired State Configuration Stato verde
Tipo di risorsa del ruolo di lavoro ibrido per runbookHybrid Runbook Worker Resource Type Stato verde Stato verde
Processo di automazione di AzureAzure Automation Job Stato verde Stato verde Stato verde
Flusso del processo di automazioneAutomation Job Stream Stato verde
Pianificazione del processo di automazioneAutomation Job Schedule Stato verde Stato verde Stato verde
Modulo di automazioneAutomation Module Stato verde Stato verde Stato verde
Runbook di Automazione di AzureAzure Automation Runbook Stato verde Stato verde Stato verde Stato verde
Bozza di runbook di AutomazioneAutomation Runbook Draft Stato verde Stato verde
Processo di test della bozza di runbook di AutomazioneAutomation Runbook Draft Test Job Stato verde Stato verde Stato verde
Webhook di automazioneAutomation Webhook Stato verde Stato verde Stato verde Stato verde

Autorizzazioni del ruolo LettoreReader role permissions

La tabella seguente illustra le azioni specifiche che possono essere eseguite dal ruolo Lettore in Automazione.The following table presents the specific actions that can be performed by the Reader role in Automation.

Tipo di risorsaResource Type LetturaRead ScritturaWrite EliminazioneDelete Altre azioniOther Actions
Amministratore sottoscrizione classicoClassic subscription administrator Stato verde
Blocco di gestioneManagement lock Stato verde
AutorizzazionePermission Stato verde
Operazioni del providerProvider operations Stato verde
Assegnazione di ruoloRole assignment Stato verde
Definizione di ruoloRole definition Stato verde

Autorizzazioni del ruolo Automation OperatorAutomation Operator role permissions

La tabella seguente illustra le azioni specifiche che possono essere eseguite dal ruolo Automation Operator in Automazione.The following table presents the specific actions that can be performed by the Automation Operator role in Automation.

Tipo di risorsaResource Type LetturaRead ScritturaWrite EliminazioneDelete Altre azioniOther Actions
Account di automazione di AzureAzure Automation Account Stato verde
Asset di certificato di AutomazioneAutomation Certificate Asset
Asset di connessione di AutomazioneAutomation Connection Asset
Asset del tipo di connessione di AutomazioneAutomation Connection Type Asset
Asset credenziali di AutomazioneAutomation Credential Asset
Asset di pianificazione di AutomazioneAutomation Schedule Asset Stato verde Stato verde
Asset di tipo variabile di AutomazioneAutomation Variable Asset
Configurazione dello stato desiderato di AutomazioneAutomation Desired State Configuration
Tipo di risorsa del ruolo di lavoro ibrido per runbookHybrid Runbook Worker Resource Type
Processo di automazione di AzureAzure Automation Job Stato verde Stato verde Stato verde
Flusso del processo di automazioneAutomation Job Stream Stato verde
Pianificazione del processo di automazioneAutomation Job Schedule Stato verde Stato verde
Modulo di automazioneAutomation Module
Runbook di Automazione di AzureAzure Automation Runbook Stato verde
Bozza di runbook di AutomazioneAutomation Runbook Draft
Processo di test della bozza di runbook di AutomazioneAutomation Runbook Draft Test Job
Webhook di automazioneAutomation Webhook

Per altre informazioni, vedere l'elenco delle azioni supportate dal ruolo Automation Operator nell'account di automazione e nelle relative risorse.For further details, the Automation operator actions lists the actions supported by the Automation operator role on the Automation account and its resources.

Autorizzazioni del ruolo Amministratore Accesso utentiUser Access Administrator role permissions

La tabella seguente illustra le azioni specifiche che possono essere eseguite dal ruolo Amministratore Accesso utenti in Automazione.The following table presents the specific actions that can be performed by the User Access Administrator role in Automation.

Tipo di risorsaResource Type LetturaRead ScritturaWrite EliminazioneDelete Altre azioniOther Actions
Account di automazione di AzureAzure Automation Account Stato verde
Asset di certificato di AutomazioneAutomation Certificate Asset Stato verde
Asset di connessione di AutomazioneAutomation Connection Asset Stato verde
Asset del tipo di connessione di AutomazioneAutomation Connection Type Asset Stato verde
Asset credenziali di AutomazioneAutomation Credential Asset Stato verde
Asset di pianificazione di AutomazioneAutomation Schedule Asset Stato verde
Asset di tipo variabile di AutomazioneAutomation Variable Asset Stato verde
Configurazione dello stato desiderato di AutomazioneAutomation Desired State Configuration
Tipo di risorsa del ruolo di lavoro ibrido per runbookHybrid Runbook Worker Resource Type Stato verde
Processo di automazione di AzureAzure Automation Job Stato verde
Flusso del processo di automazioneAutomation Job Stream Stato verde
Pianificazione del processo di automazioneAutomation Job Schedule Stato verde
Modulo di automazioneAutomation Module Stato verde
Runbook di Automazione di AzureAzure Automation Runbook Stato verde
Bozza di runbook di AutomazioneAutomation Runbook Draft Stato verde
Processo di test della bozza di runbook di AutomazioneAutomation Runbook Draft Test Job Stato verde
Webhook di automazioneAutomation Webhook Stato verde

Configurare il controllo degli accessi in base al ruolo per l'account di Automazione tramite il portale di AzureConfigure RBAC for your Automation Account using Azure portal

  1. Accedere al portale di Azure e aprire l'account di Automazione nella pagina Account di automazione.Log in to the Azure portal and open your Automation account from the Automation Accounts page.
  2. Fare clic sul comando Accesso nell'angolo superiore destro.Click on the Access control at the top right corner. Verrà visualizzata la pagina Utenti, in cui è possibile aggiungere nuovi utenti, gruppi e applicazioni per gestire il proprio account di Automazione e visualizzare i ruoli esistenti che possono essere configurati per l'account di Automazione.This opens the Users page where you can add new users, groups and applications to manage your Automation account and view existing roles that can be configured for the Automation Account.

    Pulsante Accesso

Nota

Amministratori della sottoscrizione è già presente come utente predefinito.Subscription admins already exists as the default user. Il gruppo di Active Directory Amministratori della sottoscrizione include gli amministratori e i coamministratori del servizio per la sottoscrizione di Azure.The subscription admins active directory group includes the service administrator(s) and co-administrator(s) for your Azure subscription. L'amministratore del servizio è il proprietario della sottoscrizione di Azure e delle relative risorse ed eredita anche il ruolo Proprietario per gli account di automazione.The Service admin is the owner of your Azure subscription and its resources, and will have the owner role inherited for the automation accounts too. Ciò significa che l'accesso è Ereditato per gli amministratori e coamministratori del servizio di una sottoscrizione ed è Assegnato per tutti gli altri utenti.This means that the access is Inherited for service administrators and co-admins of a subscription and it’s Assigned for all the other users. Fare clic su Amministratori della sottoscrizione per visualizzare altri dettagli sulle relative autorizzazioni.Click Subscription admins to view more details about their permissions.

Aggiungere un nuovo utente e assegnare un ruoloAdd a new user and assign a role

  1. Nella pagina Utenti fare clic su Aggiungi per aprire la pagina Aggiungi accesso, in cui è possibile aggiungere un utente, un gruppo o un'applicazione cui assegnare un ruolo.From the Users page, click Add to open the Add access page where you can add a user, group, or application, and assign a role to them.

    Add user

  2. Selezionare un ruolo dall'elenco di ruoli disponibili.Select a role from the list of available roles. Qui si sceglierà il ruolo Lettore , ma è possibile scegliere uno qualsiasi dei ruoli predefiniti disponibili supportati da un account di automazione oppure un ruolo personalizzato definito dall'utente.We will choose the Reader role, but you can choose any of the available built-in roles that an Automation Account supports or any custom role you may have defined.

    Selezionare il ruolo

  3. Fare clic su Aggiungi utenti per aprire la pagina Aggiungi utenti.Click on Add users to open the Add users page. Se sono stati aggiunti utenti, gruppi o applicazioni per gestire la sottoscrizione, questi saranno elencati e si potranno selezionare per aggiungere l'accesso.If you have added any users, groups, or applications to manage your subscription then those users are listed and you can select them to add access. Se non è elencato alcun utente o se l'utente che si vuole aggiungere non è nell'elenco, fare clic su Invita per aprire la pagina Invitare un utente guest, in cui è possibile invitare un utente con un indirizzo di posta elettronica di un account Microsoft valido, ad esempio Outlook.com, OneDrive o ID Xbox Live.If there aren’t any users listed, or if the user you are interested in adding is not listed then click invite to open the Invite a guest page, where you can invite a user with a valid Microsoft account email address such as Outlook.com, OneDrive, or Xbox Live Ids. Dopo aver immesso l'indirizzo di posta elettronica dell'utente, fare clic su Seleziona per aggiungere l'utente e quindi fare clic su OK.Once you have entered the email address of the user, click Select to add the user, and then click OK.

    Aggiungi utenti

    L'utente aggiunto verrà ora visualizzato nella pagina Utenti con il ruolo Lettore assegnato.Now you should see the user added to the Users page with the Reader role assigned.

    Elencare gli utenti

    È anche possibile assegnare un ruolo all'utente dalla pagina Ruoli .You can also assign a role to the user from the Roles page.

  4. Fare clic su Ruoli nella pagina Utenti per aprire la pagina Ruoli.Click Roles from the Users page to open the Roles page. Da qui è possibile visualizzare il nome del ruolo e il numero di utenti e gruppi assegnati al ruolo.From here, you can view the name of the role, the number of users and groups assigned to that role.

    Assegnare un ruolo dalla pagina Utenti

    Nota

    Il controllo degli accessi in base al ruolo può essere impostato solo a livello di account di automazione e in nessun'altra risorsa al di sotto dell'account di automazione.Role-based access control can only be set at the Automation Account level and not at any resource below the Automation Account.

    È possibile assegnare più di un ruolo a un utente, un gruppo o un'applicazione.You can assign more than one role to a user, group, or application. Se ad esempio si aggiunge il ruolo Automation Operator oltre al ruolo Lettore per un utente, quest'ultimo potrà visualizzare tutte le risorse di automazione ed eseguire i processi del runbook.For example, if we add the Automation Operator role along with the Reader role to the user, then they can view all the Automation resources, as well as execute the runbook jobs. È possibile espandere l'elenco a discesa per visualizzare un elenco dei ruoli assegnati all'utente.You can expand the dropdown to view a list of roles assigned to the user.

    Visualizzare più ruoli

Rimuovere un utenteRemove a user

È possibile rimuovere l'autorizzazione di accesso per un utente che non gestisce l'account di automazione o che non lavora più per l'organizzazione.You can remove the access permission for a user who is not managing the Automation Account, or who no longer works for the organization. Ecco la procedura da seguire per rimuovere un utente:Following are the steps to remove a user:

  1. Nella pagina Utenti selezionare l'assegnazione di ruolo che si vuole rimuovere.From the Users page, select the role assignment that you wish to remove.
  2. Fare clic sul pulsante Rimuovi nel pannello dei dettagli dell'assegnazione.Click the Remove button in the assignment details pane.
  3. Fare clic su per confermare la rimozione.Click Yes to confirm removal.

    Rimuovere utenti

Utente assegnato a un ruoloRole Assigned User

Quando un utente assegnato a un ruolo accede con l'account di automazione, può visualizzare l'account del proprietario nell'elenco delle directory predefinite.When a user assigned to a role logs in to their Automation account, they can now see the owner’s account listed in the list of Default Directories. Per visualizzare l'account di automazione a cui è stato aggiunto, l'utente deve passare dalla directory predefinita alla directory predefinita del proprietario.In order to view the Automation account that they have been added to, they must switch the default directory to the owner’s default directory.

Directory predefinita

Esperienza utente per il ruolo Automation OperatorUser experience for Automation operator role

Quando un utente assegnato al ruolo Automation Operator visualizza l'account di automazione a cui è stato assegnato, può vedere solo l'elenco delle pianificazioni, dei runbook e dei processi di runbook creati nell'account di automazione, ma non le relative definizioni.When a user, who is assigned to the Automation Operator role views the Automation account they are assigned to, they can only view the list of runbooks, runbook jobs and schedules created in the Automation account but can’t view their definition. L'utente può avviare, arrestare, sospendere, riprendere o pianificare il processo del runbook,They can start, stop, suspend, resume, or schedule the runbook job. ma non avrà accesso ad altre risorse di Automazione, tra cui configurazioni, gruppi di lavoro ibridi o nodi DSC.The user does not have access to other Automation resources such as configurations, hybrid worker groups or DSC nodes.

Nessun accesso alle risorse

Quando l'utente fa clic sul runbook, i comandi per visualizzare l'origine o modificare il runbook non sono disponibili, perché il ruolo Automation Operator non ne consente l'accesso.When the user clicks on the runbook, the commands to view the source or edit the runbook are not provided as the Automation operator role doesn’t allow access to them.

Nessun accesso per modificare i runbook

L'utente può accedere per visualizzare e creare pianificazioni, ma non avrà accesso ad altri tipi di asset.The user has access to view and to create schedules, but does not have access to any other asset type.

Nessun accesso agli asset

L'utente non può accedere nemmeno per visualizzare i webhook associati a un runbook.This user also doesn’t have access to view the webhooks associated with a runbook

Nessun accesso ai webhook

Configurare il controllo degli accessi in base al ruolo per l'account di automazione tramite Azure PowerShellConfigure RBAC for your Automation Account using Azure PowerShell

L'accesso in base al ruolo per un account di automazione può essere configurato anche con i cmdlet di Azure PowerShellseguenti.Role-based access can also be configured to an Automation Account using the following Azure PowerShell cmdlets.

Get-AzureRmRoleDefinition elenca tutti i ruoli del controllo degli accessi in base al ruolo disponibili in Azure Active Directory.Get-AzureRmRoleDefinition lists all RBAC roles that are available in Azure Active Directory. È possibile usare questo comando con la proprietà Name per elencare tutte le azioni che possono essere eseguite da un ruolo specifico.You can use this command along with the Name property to list all the actions that can be performed by a specific role.
Esempio:Example:
Ottenere la definizione del ruoloGet role definition

Get-AzureRmRoleAssignment elenca le assegnazioni di ruolo del controllo degli accessi in base al ruolo di Azure AD nell'ambito specificato.Get-AzureRmRoleAssignment lists Azure AD RBAC role assignments at the specified scope. Senza parametri, questo comando restituisce tutte le assegnazioni del ruolo eseguite nell'ambito della sottoscrizione.Without any parameters, this command returns all the role assignments made under the subscription. Usare il parametro ExpandPrincipalGroups per elencare le assegnazioni di accesso per l'utente specificato e per i gruppi di cui l'utente è membro.Use the ExpandPrincipalGroups parameter to list access assignments for the specified user as well as the groups the user is a member of.
Esempio: usare il comando seguente per elencare tutti gli utenti e i relativi ruoli all'interno di un account di automazione.Example: Use the following command to list all the users and their roles within an automation account.

Get-AzureRMRoleAssignment -scope “/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation Account Name>” 

Ottenere l'assegnazione del ruolo

• Usare New-AzureRmRoleAssignment per assegnare l'accesso a utenti, gruppi e applicazioni in un determinato ambito.New-AzureRmRoleAssignment to assign access to users, groups and applications to a particular scope.
Esempio: usare il comando seguente per assegnare il ruolo "Automation Operator" a un utente nell'ambito dell'account di automazione.Example: Use the following command to assign the “Automation Operator” role for a user in the Automation Account scope.

New-AzureRmRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName "Automation operator" -Scope “/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation Account Name>”  

Nuova assegnazione del ruolo

• Usare Remove-AzureRmRoleAssignment per rimuovere l'accesso di un utente, un gruppo o un'applicazione specificata da un determinato ambito.• Use Remove-AzureRmRoleAssignment to remove access of a specified user, group or application from a particular scope.
Esempio: usare il comando seguente per rimuovere l'utente dal ruolo "Automation Operator" nell'ambito dell'account di automazione.Example: Use the following command to remove the user from the “Automation Operator” role in the Automation Account scope.

Remove-AzureRmRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName "Automation Operator" -Scope “/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation Account Name>”

Negli esempi precedenti sostituire l'ID di accesso, l'ID sottoscrizione, il nome del gruppo di risorse e il nome dell'account di automazione con i dettagli del proprio account.In the above examples, replace sign in Id, subscription Id, resource group name and Automation account name with your account details. Scegliere quando viene richiesto di confermare se si vuole rimuovere un'assegnazione di ruolo per un utente.Choose yes when prompted to confirm before continuing to remove user role assignment.

Passaggi successiviNext Steps