Compartilhar via

Azure Automation帐户身份验证概述

Azure Automation使你能够针对Azure、本地和其他云提供商(如 Amazon Web Services)中的资源自动执行任务。 您可以使用 Runbook 来自动化您的任务,或者在 Azure 以外管理业务或操作流程时使用混合 Runbook 工作器。 在任一环境中工作都需要权限才能安全地access所需的最低权限的资源。

本文介绍了Azure Automation支持的身份验证场景,并说明如何根据您需要管理的环境开始使用。

自动化帐户

首次开始Azure Automation时,必须至少创建一个自动化帐户。 使用 Azure 自动化帐户,你可以将 Azure 自动化资源、Runbook、资产、配置与其他帐户的资源相隔离。 可以使用 Azure 自动化帐户将资源分成单独的逻辑环境,并明确职责分配。 例如,可以使用一个帐户进行开发,另一个帐户用于生产环境,另一个帐户用于本地环境。

Azure Automation 帐户不同于您的 Azure 帐户或在您的 Azure 订阅中创建的其他帐户。 有关创建自动化帐户的简介,请参阅 创建自动化帐户

自动化资源

每个自动化帐户的自动化资源都与单个Azure区域相关联,但该帐户可以管理Azure订阅中的所有资源。 如果你的策略要求将数据和资源隔离到特定的区域,则这是在不同区域中创建自动化帐户的主要原因。

使用 Azure Resource Manager 和 Azure Automation 中的 PowerShell cmdlet 针对资源创建的所有任务都必须使用基于 Microsoft Entra 组织标识凭据的身份验证对Azure进行身份验证。

托管标识

Microsoft Entra ID 中的托管身份允许运行手册轻松访问其他由 Microsoft Entra 保护的资源。 标识由Azure平台管理,不需要预配或轮换任何机密。 有关Microsoft Entra ID中的托管标识的详细信息,请参阅 Azure 资源的托管标识

建议在运行手册中使用托管标识进行身份验证,这是自动化帐户的默认身份验证方法。

下面是使用托管标识的一些好处:

  • 使用托管标识无需承担任何额外费用。

  • 可以使用托管标识的自动化帐户从 Runbook 访问资源,而无需创建证书、连接等内容。

自动化帐户可以使用两种类型的托管标识进行身份验证:

  • 系统分配的标识与你的应用程序相绑定,如果删除应用,标识也会被删除。 一个应用只能具有一个系统分配的标识。

  • 用户指定身份是一个可以分配给应用的独立 Azure 资源。 一个应用可以具有多个用户分配的标识。

注释

仅云作业支持用户分配的标识。 若要详细了解不同的托管标识,请参阅 管理标识类型

有关使用托管标识的详细信息,请参阅 启用 Azure Automation 的托管标识

订阅权限

你需要 Microsoft.Authorization/*/Write 权限。 此权限是通过以下Azure内置角色之一的成员身份获取的:

若要了解有关经典订阅权限的详细信息,请参阅 Azure 经典订阅管理员

Microsoft Entra 权限

若要续订服务主体,你需要成为以下 Microsoft Entra 内置角色之一的成员:

可在目录级别将成员资格分配给租户中的所有用户,这是默认行为。 你可在目录级别向任一角色授予成员资格。 有关详细信息,请参阅 谁有权限将应用程序添加到我的 Microsoft Entra 实例?

自动化帐户权限

若要更新自动化帐户,你需要成为以下自动化帐户角色之一的成员:

若要详细了解Azure Resource Manager和经典部署模型,请参阅 Resource Manager 和经典部署

使用 Hybrid Runbook Worker 的 Runbook 身份验证

在数据中心的混合 Runbook 辅助角色上运行或针对 AWS 等其他云环境中的计算服务运行的 Runbook 不能使用通常用于对 Azure 资源的 Runbook 进行身份验证的方法。 这是因为这些资源在Azure外部运行,因此,需要在自动化中定义自己的安全凭据,才能向本地access的资源进行身份验证。 有关使用 Runbook 工作器进行身份验证的更多信息,请参阅在混合 Runbook 工作器上运行 Runbook

对于在 Azure 虚拟机上使用混合 Runbook 工作器的 Runbook,可以使用带有托管标识的 Runbook 身份验证来对 Azure 资源进行身份验证。

后续步骤

  • Last updated on