重要
2026 年 7 月 11 日,蓝图(预览版)将弃用。 将现有蓝图定义和分配迁移到 模板规格。 蓝图构件将被转换为 ARM JSON 模板或 Bicep 文件,以用于定义部署堆栈。 若要了解如何将工件创建为 ARM 资源,请参阅:
可以将蓝图定义和蓝图分配的管理分配给不同的团队。 架构师或治理团队通常负责蓝图定义的生命周期管理,而运营团队负责管理这些集中控制的蓝图定义的分配。
蓝图操作员内置角色专用于此类型的方案。 该角色允许运营类型团队管理组织蓝图定义的分配,但不允许修改这些定义。 这样做需要在 Azure 环境中进行一些配置,本文介绍了必要的步骤。
向蓝图操作员授予权限
第一步是向要分配蓝图的帐户或安全组(建议)授予 蓝图操作员 角色。 此操作应在涵盖所有管理组和订阅的管理组层次结构中的最高层级完成,运营团队应在这些管理组和订阅中具有蓝图分配访问权限。 建议在授予这些权限时遵循最低特权原则。
(推荐) 创建安全组并添加成员
将蓝图操作员的 Azure 角色分配给帐户或安全组
用户分配托管标识
蓝图定义可以使用系统分配的或用户分配的托管标识。 但是,使用 蓝图操作员 角色时,需要将蓝图定义配置为使用用户分配的托管标识。 此外,授予蓝图操作员角色的帐户或安全组还需要在用户分配的托管身份上授予托管身份操作员角色。 如果没有此权限,蓝图分配将失败,因为缺少权限。
创建用户分配的托管标识 ,供分配的蓝图使用。
向用户分配的托管标识授予蓝图定义在目标范围内所需的角色或权限。
将托管标识操作员的 Azure 角色分配给帐户或安全组。 将角色分配限定到新的用户分配托管标识。
作为蓝图操作员,分配一个使用新用户分配托管标识的蓝图。