Een uitvoeren Azure Automation Uitvoeren als-account beheren

Uitvoeren als-accounts in Azure Automation voor het beheren van resources op het Azure Resource Manager of het klassieke Azure-implementatiemodel met behulp van Automation-runbooks en andere Automation-functies.

In dit artikel wordt beschreven hoe u een Uitvoeren als- of Klassiek Uitvoeren als-account kunt beheren, waaronder:

  • Een zelf-ondertekend certificaat vernieuwen
  • Een certificaat van een onderneming of externe certificeringsinstantie (CA) vernieuwen
  • Machtigingen voor het Uitvoeren als-account beheren

Zie Automation Account authentication overview (Overzicht van automation Azure Automation accountverificatie voor meer informatie over verificatie van uw account, machtigingen die zijn vereist voor het beheren van het Uitvoeren als-account en richtlijnen met betrekking tot procesautomatiseringsscenario's.

Een zelf-ondertekend certificaat vernieuwen

Het zelf-ondertekende certificaat dat u hebt gemaakt voor het Uitvoeren als-account, verloopt één jaar na de aanmaakdatum. Op een bepaald moment voordat uw Uitvoeren als-account verloopt, moet u het certificaat vernieuwen. U kunt deze op elk moment vernieuwen voordat deze verloopt.

Wanneer u het zelf-ondertekende certificaat vernieuwt, wordt het huidige geldige certificaat bewaard om ervoor te zorgen dat runbooks die in de wachtrij staan of actief worden uitgevoerd en die worden geverifieerd met het Uitvoeren als-account, niet negatief worden beïnvloed. Het certificaat blijft geldig tot de vervaldatum.

Notitie

Als u denkt dat het Uitvoeren als-account is aangetast, kunt u het zelf-ondertekende certificaat verwijderen en opnieuw maken.

Notitie

Als u uw Uitvoeren als-account hebt geconfigureerd voor het gebruik van een certificaat dat is uitgegeven door uw onderneming of externe CERTIFICERINGsinstantie en u de optie gebruikt om een zelf-ondertekend certificaat te vernieuwen, wordt het ondernemingscertificaat vervangen door een zelf-ondertekend certificaat. Zie Renew an enterprise or third-party certificate(Een ondernemingscertificaat of een certificaat van derden vernieuwen) als u uw certificaat in dit geval wilt vernieuwen.

Gebruik de volgende stappen om het zelf-ondertekende certificaat te vernieuwen.

  1. Meld u aan bij Azure Portal.

  2. Ga naar uw Automation-account en selecteer Uitvoeren als-accounts in de sectie accountinstellingen.

    Deelvenster Eigenschappen van Automation-account.

  3. Selecteer op de eigenschappenpagina Uitvoeren als-accounts de optie Uitvoeren als-account of Klassiek Uitvoeren als-account, afhankelijk van het account waarvoor u het certificaat moet vernieuwen.

  4. Selecteer op de pagina Eigenschappen voor het geselecteerde account de optie Certificaat vernieuwen.

    Certificaat vernieuwen voor Uitvoeren als-account.

  5. Terwijl het certificaat wordt gemaakt, kunt u in het menu onder Meldingen de voortgang hiervan volgen.

Een ondernemingscertificaat of certificaat van derden vernieuwen

Elk certificaat heeft een ingebouwde vervaldatum. Als het certificaat dat u hebt toegewezen aan het Uitvoeren als-account is uitgegeven door een certificeringsinstantie (CA), moet u een andere set stappen uitvoeren om het Uitvoeren als-account te configureren met het nieuwe certificaat voordat het verloopt. U kunt deze op elk moment vernieuwen voordat deze verloopt.

  1. Importeer het vernieuwde certificaat door de stappen voor Een nieuw certificaat maken te volgen. Automatisering vereist dat het certificaat de volgende configuratie heeft:

    • Geef de provider Microsoft Enhanced RSA en AES Cryptographic Provider op
    • Gemarkeerd als exporteerbaar
    • Geconfigureerd voor het gebruik van het SHA256-algoritme
    • Opgeslagen in de *.pfx indeling *.cer of .

    Nadat u het certificaat hebt geïmporteerd, noteert of kopieert u de waarde van vingerafdruk van het certificaat. Deze waarde wordt gebruikt om de Run As-verbindingseigenschappen bij te werken met het nieuwe certificaat.

  2. Meld u aan bij de Azure-portal.

  3. Zoek en selecteer Automation-accounts.

  4. Selecteer op de pagina Automation-accounts uw Automation-account in de lijst.

  5. Selecteer verbindingen in het linkerdeelvenster.

  6. Selecteer op de pagina Verbindingen de optie AzureRunAsConnection en werk de vingerafdruk van het certificaat bij met de nieuwe vingerafdruk van het certificaat.

  7. Selecteer Opslaan om uw wijzigingen door te voeren.

Machtigingen voor Uitvoeren als-account verlenen in andere abonnementen

Azure Automation ondersteunt het gebruik van één Automation-account uit één abonnement en het uitvoeren van runbooks op Azure Resource Manager resources in meerdere abonnementen. Deze configuratie biedt geen ondersteuning voor het klassieke Azure-implementatiemodel.

U wijst de service-principal van het Uitvoeren als-account de rol Inzender toe in het andere abonnement, of meer beperkende machtigingen. Zie Op rollen gebaseerd toegangsbeheer in Azure Automation. Als u het Uitvoeren als-account wilt toewijzen aan de rol in het andere abonnement, moet het gebruikersaccount dat deze taak moet uitvoeren, lid zijn van de rol Eigenaar in dat abonnement.

Notitie

Deze configuratie ondersteunt alleen meerdere abonnementen van een organisatie die een gemeenschappelijke Azure AD-tenant gebruiken.

Voordat u machtigingen voor het Uitvoeren als-account verleent, moet u eerst de weergavenaam noteren van de service-principal die u wilt toewijzen.

  1. Meld u aan bij de Azure-portal.
  2. Selecteer in uw Automation-account Uitvoeren als-accounts onder Account Instellingen.
  3. Selecteer Azure Uitvoeren als-account.
  4. Kopieer of noteer de waarde voor Weergavenaam op de pagina Uitvoeren als-account van Azure.

Raadpleeg de volgende artikelen, afhankelijk van de methode die u wilt gebruiken, voor gedetailleerde stappen voor het toevoegen van roltoewijzingen.

Nadat u het Uitvoeren als-account aan de rol hebt toegewezen, geeft u in uw runbook op dat de Set-AzContext -SubscriptionId "xxxx-xxxx-xxxx-xxxx" abonnementscontext moet worden ingesteld voor gebruik. Zie Set-AzContextvoor meer informatie.

Machtigingen voor Uitvoeren als-account beperken

Als u de targeting van Automation op resources in Azure wilt beheren, kunt u het Update-AutomationRunAsAccountRoleAssignments.ps1 uitvoeren. Met dit script wordt uw bestaande Service-principal voor het Uitvoeren als-account gewijzigd om een aangepaste roldefinitie te maken en te gebruiken. De rol heeft machtigingen voor alle resources, behalve Key Vault.

Belangrijk

Nadat u het script Update-AutomationRunAsAccountRoleAssignments.ps1 uitgevoerd, werken runbooks die toegang hebben tot Key Vault gebruik van Uitvoeren als-accounts niet meer. Voordat u het script gaat uitvoeren, moet u runbooks in uw account controleren op aanroepen naar Azure Key Vault. Als u toegang tot Key Vault runbooks Azure Automation wilt inschakelen, moet u het Uitvoeren als-account toevoegen aan Key Vault machtigingen van de gebruiker.

Als u verder wilt beperken wat de Run As-service-principal kan doen, kunt u andere resourcetypen toevoegen aan het element van de NotActions aangepaste roldefinitie. In het volgende voorbeeld wordt de toegang beperkt tot Microsoft.Compute/* . Als u dit resourcetype toevoegt aan voor de roldefinitie, heeft de rol geen toegang NotActions tot rekenresources. Zie Roldefinities voor Azure-resources begrijpen voor meer informatie over roldefinities.

$roleDefinition = Get-AzRoleDefinition -Name 'Automation RunAs Contributor'
$roleDefinition.NotActions.Add("Microsoft.Compute/*")
$roleDefinition | Set-AzRoleDefinition

U kunt bepalen of aan de service-principal die wordt gebruikt door uw Uitvoeren als-account de rol Inzender of een aangepaste rol is toegewezen.

  1. Meld u aan bij de Azure-portal.
  2. Ga naar uw Automation-account en selecteer Uitvoeren als-accounts in de sectie accountinstellingen.
  3. Selecteer Azure Uitvoeren als-account.
  4. Selecteer Rol om de roldefinitie te zoeken die wordt gebruikt.

Controleer de rol Uitvoeren als-account.

U kunt ook de roldefinitie bepalen die wordt gebruikt door de Uitvoeren als-accounts voor meerdere abonnementen of Automation-accounts. Doe dit met behulp van hetCheck-AutomationRunAsAccountRoleAssignments.ps1script in de PowerShell Gallery.

Machtigingen toevoegen aan Key Vault

U kunt toestaan Azure Automation te controleren of Key Vault en de service-principal van uw Uitvoeren als-account een aangepaste roldefinitie gebruiken. U moet:

  • Machtigingen verlenen aan Key Vault.
  • Stel het toegangsbeleid in.

U kunt het script Extend-AutomationRunAsAccountRoleAssignmentToKeyVault.ps1 in de PowerShell Gallery om uw Uitvoeren als-account machtigingen te verlenen voor Key Vault. Zie Een Key Vault-toegangsbeleid toewijzen voor meer informatie over het instellen van machtigingen op Key Vault.

Configuratieproblemen voor Uitvoeren als-accounts oplossen

Sommige configuratie-items die nodig zijn voor een Uitvoeren als- of Klassiek Uitvoeren als-account, zijn mogelijk verwijderd of onjuist gemaakt tijdens de eerste installatie. Mogelijke exemplaren van onjuiste configuratie zijn:

  • Certificaatasset
  • Verbindingsasset
  • Uitvoeren als-account verwijderd uit de rol Inzender
  • Service-principal of toepassing in Azure AD

Voor dergelijke onjuiste configuratie-exemplaren detecteert het Automation-account de wijzigingen en wordt de status Onvolledig weergegeven in het eigenschappenvenster Uitvoeren als-accounts voor het account.

Onvolledige Uitvoeren als-accountconfiguratie.

Wanneer u het Uitvoeren als-account selecteert, wordt in het deelvenster accounteigenschappen het volgende foutbericht weergegeven:

The Run As account is incomplete. Either one of these was deleted or not created - Azure Active Directory Application, Service Principal, Role, Automation Certificate asset, Automation Connect asset - or the Thumbprint is not identical between Certificate and Connection. Please delete and then re-create the Run As Account.

U kunt deze problemen met het Uitvoeren als-account snel oplossen door het Uitvoeren als-account te verwijderen en opnieuw te maken.

Volgende stappen