Condividi tramite

Azure 自动化帐户身份验证概述

Azure 自动化允许您自动化针对 Azure 资源、本地资源以及其他云提供商(例如 Amazon Web Services (AWS))的任务。 如果您想在 Azure 外部管理业务或操作流程,可以使用 Runbook 来自动化您的任务,或者使用混合 Runbook 作业员。 在上述任一环境中工作都需要权限,以使用所需的最小权限安全地访问资源。

本文介绍了 Azure 自动化支持的身份验证方案,以及如何基于你需要管理的一个或多个环境开始操作。

自动化帐户

首次启动 Azure 自动化时,必须创建至少一个自动化帐户。 使用 Azure 自动化帐户,你可以将 Azure 自动化资源、Runbook、资产、配置与其他帐户的资源相隔离。 可以使用 Azure 自动化帐户将资源分成单独的逻辑环境,并明确职责分配。 例如,可以使用一个帐户进行开发,另一个帐户用于生产环境,另一个帐户用于本地环境。

Azure 自动化账户不同于你的 Azure 账户或在你的 Azure 订阅中创建的账户。 有关创建自动化帐户的介绍,请参阅创建自动化帐户

自动化资源

每个自动化帐户的自动化资源都与单个 Azure 区域相关联,但该帐户可以管理 Azure 订阅中的所有资源。 如果你的策略要求将数据和资源隔离到特定的区域,则这是在不同区域中创建自动化帐户的主要原因。

在 Azure 自动化中,使用 Azure 资源管理器和 PowerShell cmdlet 针对资源创建的所有任务必须使用基于 Microsoft Entra 组织身份凭据的身份验证进行 Azure 认证。

托管标识

借助 Microsoft Entra ID 的托管标识,runbook 可以轻松访问其他受 Microsoft Entra 保护的资源。 标识由 Azure 平台托管,无需预配或轮换任何机密。 有关 Microsoft Entra ID 中的托管标识的详细信息,请参阅 Azure 资源的托管标识

建议在运行手册中使用托管标识进行身份验证,这是自动化帐户的默认身份验证方法。

下面是使用托管标识的一些好处:

  • 使用托管标识无需承担任何额外费用。

  • 可以使用自动化账户的托管身份,从 runbook 中访问资源,而无需创建证书、连接等。

自动化帐户可以使用两种类型的托管标识进行身份验证:

  • 系统分配的标识与你的应用程序相绑定,如果删除应用,标识也会被删除。 一个应用只能具有一个系统分配的标识。

  • 用户分配的身份是一个独立的 Azure 资源,可以分配给您的应用。 一个应用可以具有多个用户分配的标识。

注释

仅云作业支持用户分配的标识。 若要详细了解不同的托管标识,请参阅管理标识类型

有关使用托管标识的详细信息,请参阅为 Azure 自动化启用托管标识

订阅权限

你需要 Microsoft.Authorization/*/Write 权限。 此权限是通过以下 Azure 内置角色之一的成员资格获得的:

若要详细了解经典订阅权限,请参阅 Azure 经典订阅管理员

Microsoft Entra 权限

若要续订服务主体,你需要成为以下 Microsoft Entra 内置角色之一的成员:

可在目录级别将成员资格分配给租户中的所有用户,这是默认行为。 你可在目录级别向任一角色授予成员资格。 有关详细信息,请参阅 谁有权将应用程序添加到我的Microsoft Entra 实例?

自动化帐户权限

若要更新自动化帐户,你需要成为以下自动化帐户角色之一的成员:

若要了解有关 Azure 资源管理器和经典部署模型的详细信息,请参阅资源管理器与经典部署

使用 Hybrid Runbook Worker 的 Runbook 身份验证

在数据中心的混合 Runbook 辅助角色上运行的或针对其他云环境(如 AWS)中的计算服务运行的 Runbook 不能使用通常用于向 Azure 资源进行Runbook 身份验证的方法。 这是因为这些资源在 Azure 外部运行,因此,它们需要在自动化中定义自己的安全凭据,以便向需要在本地访问的资源进行身份验证。 有关使用 Runbook 工作器进行身份验证的更多信息,请参阅在混合 Runbook 工作器上运行 Runbook

对于在 Azure VM 上使用混合 Runbook 辅助角色的 Runbook,可以将 Runbook 身份验证与托管标识配合使用 ,向 Azure 资源进行身份验证。

后续步骤

  • Last updated on