Stappen in een blauwdrukimplementatie
Wanneer een blauwdruk wordt geïmplementeerd, wordt er een reeks acties ondernomen door de Azure Blueprints-service om de resources te implementeren die in de blauwdruk zijn gedefinieerd. In dit artikel vindt u meer informatie over wat elke stap inhoudt.
Blauwdrukimplementatie wordt geactiveerd door een blauwdruk toe te wijzen aan een abonnement of een bestaande toewijzing bij te werken. Tijdens de implementatie Azure Blueprints de volgende stappen op hoog niveau:
- Azure Blueprints verleend eigendomsrechten
- Het blauwdruktoewijzingsobject wordt gemaakt
- Optioneel: Azure Blueprints maakt een door het systeem toegewezen beheerde identiteit
- De beheerde identiteit implementeert blauwdrukartefacten
- Azure Blueprints-service en door het systeem toegewezen beheerde identiteitsrechten worden ingetrokken
Azure Blueprints verleend eigendomsrechten
De Azure Blueprints service-principal krijgt eigendomsrechten voor het toegewezen abonnement of abonnementen wanneer een door het systeem toegewezen beheerde identiteit wordt gebruikt. Met de toegekende rol Azure Blueprints de door het systeem toegewezen beheerde identiteit maken en later intrekken. Als u een door de gebruiker toegewezen beheerde identiteit gebruikt, krijgt de Azure Blueprints-service-principal geen eigendomsrechten voor het abonnement en is deze niet nodig.
De rechten worden automatisch verleend als de toewijzing wordt uitgevoerd via de portal. Als de toewijzing echter wordt uitgevoerd via de REST API, moet het verlenen van de rechten worden uitgevoerd met een afzonderlijke API-aanroep. De Azure Blueprints AppId is f71766dc-90d9-4b7d-bd9d-4499c4331c3f , maar de service-principal varieert per tenant. Gebruik Azure Active Directory Graph API en REST-eindpunt servicePrincipals om de service-principal op te halen. Verleen vervolgens de Azure Blueprints de rol Eigenaar via de portal, Azure CLI, Azure PowerShell, REST APIof een Azure Resource Manager sjabloon.
De Azure Blueprints service implementeert de resources niet rechtstreeks.
Het blauwdruktoewijzingsobject wordt gemaakt
Een gebruiker, groep of service-principal wijst een blauwdruk toe aan een abonnement. Het toewijzingsobject bevindt zich op abonnementsniveau waar de blauwdruk is toegewezen. Resources die door de implementatie zijn gemaakt, worden niet uitgevoerd in de context van de implementatie-entiteit.
Tijdens het maken van de blauwdruktoewijzing wordt het type beheerde identiteit geselecteerd. De standaardwaarde is een door het systeem toegewezen beheerde identiteit. Er kan een door de gebruiker toegewezen beheerde identiteit worden gekozen. Wanneer u een door de gebruiker toegewezen beheerde identiteit gebruikt, moet deze worden gedefinieerd en machtigingen krijgen voordat de blauwdruktoewijzing wordt gemaakt. Zowel de ingebouwde rollen Eigenaar als Blauwdrukoperator hebben de benodigde machtiging om een toewijzing te maken die gebruikmaakt van een door de gebruiker blueprintAssignment/write toegewezen beheerde identiteit.
Optioneel: Azure Blueprints maakt een door het systeem toegewezen beheerde identiteit
Wanneer een door het systeem toegewezen beheerde identiteit wordt geselecteerd tijdens de toewijzing, maakt Azure Blueprints identiteit en verleent de eigenaar de beheerde identiteit de rol van eigenaar. Als een bestaande toewijzing wordt bijgewerkt,gebruikt Azure Blueprints de eerder gemaakte beheerde identiteit.
De beheerde identiteit met betrekking tot de blauwdruktoewijzing wordt gebruikt voor het implementeren of opnieuw implementeren van de resources die in de blauwdruk zijn gedefinieerd. Dit ontwerp voorkomt dat toewijzingen per ongeluk elkaar verstoren. Dit ontwerp ondersteunt ook de functie voor resourcevergrendeling door de beveiliging van elke geïmplementeerde resource vanuit de blauwdruk te beheren.
De beheerde identiteit implementeert blauwdrukartefacten
De beheerde identiteit activeert vervolgens de Resource Manager van de artefacten in de blauwdruk in de gedefinieerde volgorde van sequencing. De volgorde kan worden aangepast om ervoor te zorgen dat artefacten die afhankelijk zijn van andere artefacten in de juiste volgorde worden geïmplementeerd.
Een toegangsfout door een implementatie is vaak het resultaat van het toegangsniveau dat aan de beheerde identiteit wordt verleend. De Azure Blueprints beheert de beveiligingslevenscyclus van de door het systeem toegewezen beheerde identiteit. De gebruiker is echter verantwoordelijk voor het beheren van de rechten en levenscyclus van een door de gebruiker toegewezen beheerde identiteit.
Blauwdrukservice en door het systeem toegewezen beheerde identiteitsrechten worden ingetrokken
Zodra de implementaties zijn voltooid, Azure Blueprints de rechten van de door het systeem toegewezen beheerde identiteit uit het abonnement ingetrokken. Vervolgens trekt de Azure Blueprints de rechten van het abonnement in. Het verwijderen van rechten voorkomt Azure Blueprints een permanente eigenaar van een abonnement wordt.
Volgende stappen
- Meer informatie over hoe u statische en dynamische parameters gebruikt.
- Meer informatie over hoe u de blauwdrukvolgorde aanpast.
- Meer informatie over hoe u gebruikmaakt van resourcevergrendeling in blauwdrukken.
- Meer informatie over hoe u bestaande toewijzingen bijwerkt.
- Problemen oplossen tijdens de toewijzing van een blauwdruk met algemene probleemoplossing.