Faser i en skissdistribution
När en skiss distribueras vidtas en serie åtgärder av Azure Blueprints tjänsten för att distribuera de resurser som definierats i skissen. Den här artikeln innehåller information om vad varje steg omfattar.
Skissdistribution utlöses genom att tilldela en skiss till en prenumeration eller uppdatera en befintlig tilldelning. Under distributionen Azure Blueprints följande avancerade steg:
- Azure Blueprints beviljas ägarrättigheter
- Skisstilldelningsobjektet skapas
- Valfritt – Azure Blueprints skapar system tilldelad hanterad identitet
- Den hanterade identiteten distribuerar skissartefakter
- Azure Blueprints och system tilldelade hanterade identitetsrättigheter återkallas
Azure Blueprints beviljas ägarrättigheter
Tjänstens Azure Blueprints beviljas ägarrättigheter till den tilldelade prenumerationen eller prenumerationerna när en system tilldelad hanterad identitet används. Den tilldelade rollen gör Azure Blueprints kan skapa och senare återkalla den system tilldelade hanterade identiteten. Om du använder en användar tilldelad hanterad identitet Azure Blueprints tjänstens huvudnamn inte och behöver inte ägarrättigheter för prenumerationen.
Behörigheterna beviljas automatiskt om tilldelningen görs via portalen. Men om tilldelningen görs via REST API måste du bevilja rättigheter med ett separat API-anrop. Den Azure Blueprints AppId är f71766dc-90d9-4b7d-bd9d-4499c4331c3f , men tjänstens huvudnamn varierar beroende på klientorganisation. Använd Azure Active Directory Graph API och REST endpoint servicePrincipals för att hämta tjänstens huvudnamn. Bevilja sedan Azure Blueprints rollen Ägare via portalen, Azure CLI, Azure PowerShell, REST APIeller en Azure Resource Manager mall.
Tjänsten Azure Blueprints distribuerar inte resurserna direkt.
Skisstilldelningsobjektet skapas
En användare, grupp eller tjänstens huvudnamn tilldelar en skiss till en prenumeration. Tilldelningsobjektet finns på prenumerationsnivån där skissen tilldelades. Resurser som skapas av distributionen görs inte i kontexten för den distribuerande entiteten.
När du skapar skisstilldelningen väljs typen av hanterad identitet. Standardvärdet är en system tilldelad hanterad identitet. En användar tilldelad hanterad identitet kan väljas. När du använder en användardefinierad hanterad identitet måste den definieras och beviljas behörigheter innan skisstilldelningen skapas. Både de inbyggda rollerna Ägare och Skissoperatör har nödvändig behörighet för att skapa en blueprintAssignment/write tilldelning som använder en användar tilldelad hanterad identitet.
Valfritt – Azure Blueprints skapar system tilldelad hanterad identitet
När en system tilldelad hanterad identitet väljs under tilldelningen Azure Blueprints skapar identiteten och ger den hanterade identiteten ägarrollen. Om en befintlig tilldelning uppgraderas använder Azure Blueprintsden tidigare skapade hanterade identiteten.
Den hanterade identiteten som är relaterad till skisstilldelningen används för att distribuera eller distribuera om de resurser som definierats i skissen. Den här designen förhindrar att tilldelningar oavsiktligt stör varandra. Den här designen stöder även funktionen för resurslåsning genom att kontrollera säkerheten för varje distribuerad resurs från skissen.
Den hanterade identiteten distribuerar skissartefakter
Den hanterade identiteten utlöser sedan Resource Manager distributioner av artefakterna i skissen i den definierade sekvensordningen. Ordningen kan justeras för att säkerställa att artefakter som är beroende av andra artefakter distribueras i rätt ordning.
Ett åtkomstfel i en distribution beror ofta på den åtkomstnivå som beviljas till den hanterade identiteten. Tjänsten Azure Blueprints hanterar säkerhetslivscykeln för den system tilldelade hanterade identiteten. Användaren ansvarar dock för att hantera rättigheter och livscykel för en användar tilldelad hanterad identitet.
Skisstjänsten och systemtilldelningen av hanterade identitetsrättigheter återkallas
När distributionerna är klara Azure Blueprints återkallar rättigheterna för den system tilldelade hanterade identiteten från prenumerationen. Sedan återkallar Azure Blueprints tjänsten sina rättigheter från prenumerationen. Borttagning av rättigheter Azure Blueprints från att bli permanent ägare i en prenumeration.
Nästa steg
- Förstå hur du använder statiska och dynamiska parametrar.
- Lär dig hur du anpassar sekvensordningen för en skiss.
- Lär dig hur du använder resurslåsning för en skiss.
- Lär dig hur du uppdaterar befintliga tilldelningar.
- Lös problem som kan uppstå vid tilldelningen av en skiss med allmän felsökning.