创建独立的 Azure 自动化帐户
本文介绍如何使用 Azure 门户创建 Azure 自动化帐户。 可使用自动化帐户来评估和了解自动化,无需使用其他管理功能,也无需与 Azure Monitor 日志集成。 可在以后随时添加管理功能或者与 Azure Monitor 日志集成,对 Runbook 作业进行高级监视。
使用自动化帐户,可以对在 Azure 资源管理器部署或经典部署中管理资源的 Runbook 进行身份验证。 一个自动化帐户可以跨所有区域和订阅管理给定租户的资源。
使用系统创建的此帐户,可以快速开始构建和部署 Runbook 来支持自动化需求。
创建自动化帐户所需的权限
若要创建或更新自动化帐户,并完成本文所述的任务,必须具有以下特权和权限:
若要创建自动化帐户,必须将你的 Microsoft Entra 用户帐户添加到权限与 Microsoft.Automation 资源的“所有者”角色相当的角色。 有关详细信息,请参阅 Azure 自动化中基于角色的访问控制。
在 Azure 门户中创建新的自动化帐户
若要在 Azure 门户中创建 Azure 自动化帐户,请完成以下步骤:
使用帐户登录到 Azure 门户,该帐户应为订阅管理员角色的成员,并且是订阅的共同管理员。
选择“+ 创建资源”。
搜索“自动化”。 在搜索结果中,选择“自动化”。
新自动化帐户的选项都被组织到创建自动化帐户页面中的各个选项卡内。 以下各部分介绍了每个选项卡及其选项。
基础
“基本信息”选项卡上提供了自动化帐户的基本信息。 完成基本信息选项卡后,可选择设置其他选项卡上的选项来进一步自定义你的新自动化帐户,也可以选择查看 + 创建以接受默认选项,然后继续验证并创建帐户。
注意
默认情况下,已为自动化帐户启用系统分配的托管标识。
下表描述了“基本信息”选项卡上的字段。
| 字段 | 必需 or (可选) |
说明 |
|---|---|---|
| 订阅 | 必须 | 从下拉列表中,选择帐户的 Azure 订阅。 |
| 资源组 | 必须 | 从下拉列表中选择现有资源组,或选择新建。 |
| 自动化帐户名称 | 必须 | 为其位置和资源组输入唯一的名称。 已删除的自动化帐户的名称可能无法立即可用。 在用户界面中输入帐户名称后,无法对其进行更改。 |
| 区域 | 必须 | 从下拉列表中,选择帐户的区域。 有关可将自动化帐户部署到的位置的更新列表,请参阅各区域的产品可用性。 |
下图显示了新自动化帐户的标准配置。
高级
在“高级”选项卡上,可以为新自动化帐户配置托管标识选项。 创建自动化帐户后,还可以配置用户分配的托管标识选项。
有关如何创建用户分配的托管标识的说明,请参阅创建用户分配的托管标识。
下表描述了高级选项卡上的字段。
| 字段 | 必需 or (可选) |
说明 |
|---|---|---|
| 系统分配 | 可选 | 与自动化帐户生命周期关联的 Microsoft Entra 标识。 |
| 用户分配 | 可选 | 表示为独立 Azure 资源的托管标识,与使用它的资源分开管理。 |
你可以选择在以后启用托管标识,创建自动化帐户时不会使用托管标识。 要在创建帐户后启用托管标识,请参阅启用托管标识。 如果同时选择这两个选项,对于用户分配的标识,请选择添加用户分配的标识选项。 在“选择用户分配的托管标识”页上,选择一个订阅,然后添加在该订阅中创建的一个或多个用户分配的标识以分配给自动化帐户。
下图显示了新自动化帐户的标准配置。
网络
在“网络”选项卡上,可通过公共 IP 地址以公开方式,或者使用 Azure 自动化专用链接以私密方式配置与自动化帐户的连接。 Azure 自动化专用链接可将一个或多个专用终结点(及其包含的虚拟网络)连接到你的自动化帐户资源。
下图显示了新自动化帐户的标准配置。
Tags
在“标记”选项卡上,可以指定资源管理器标记以帮助整理 Azure 资源。 有关详细信息,请参阅标记资源、资源组和订阅以合理进行整理。
查看 + 创建
导航到“查看 + 创建”选项卡时,Azure 会对你选择的自动化帐户设置运行验证。 如果验证通过,则可以继续创建自动化帐户。
如果验证失败,门户将指示需要修改哪些设置。
查看新的自动化帐户。
成功创建自动化帐户后,系统会自动创建几个资源。 创建后,如果不想保留这些 runbook,可以放心地将其删除。 托管标识可用于对 runbook 中的帐户进行身份验证,除非创建其他托管标识或不需要它们,否则应将其保留。 创建自动化帐户时还会创建自动化访问密钥。 下表汇总了该帐户的资源。
| 资源 | 说明 |
|---|---|
| AzureAutomationTutorialWithIdentityGraphical | 一个示例图形 Runbook,演示如何使用托管标识进行身份验证。 该 Runbook 获取所有资源管理器资源。 |
| AzureAutomationTutorialWithIdentity | 一个示例 PowerShell Runbook,演示如何使用托管标识进行身份验证。 该 Runbook 获取所有资源管理器资源。 |
注意
教程 runbook 尚未更新为使用托管标识进行身份验证。 查看使用系统分配的标识或使用用户分配的标识,了解如何授予托管标识对资源的访问权限及如何配置 runbook 以使用任意类型的托管标识进行身份验证。
管理自动化帐户密钥
当你创建自动化帐户时,Azure 会为该帐户生成两个 512 位自动化帐户访问密钥。 这些密钥是共享访问密钥,用作注册 DSC 节点以及 Windows 和 Linux 混合 runbook 辅助角色的注册密钥。 仅在注册 DSC 节点和混合辅助角色时才使用这些密钥。 配置为 DSC 节点或混合辅助角色的现有计算机不受这些密钥轮换的影响。
查看自动化帐户密钥
若要查看和复制自动化帐户访问密钥,请执行以下步骤:
在 Azure 门户中,转到自动化帐户。
在“帐户设置”下,选择“密钥”以查看自动化帐户的主访问密钥和辅助访问密钥。 可以使用这两个密钥中的任意一个来访问自动化帐户。 但是,我们建议使用第一个密钥,并保留第二个密钥的使用权。
手动轮换访问密钥
建议定期轮换访问密钥,以保护自动化帐户的安全。 由于有两个访问密钥,可以使用 Azure 门户或 Azure PowerShell cmdlet 来轮换它们。
选择客户端
执行以下步骤:
- 在 Azure 门户中,转到你的自动化帐户。
- 在“帐户设置”下选择“密钥”。
- 选择“再生成主密钥”,以再生成自动化帐户的主访问密钥。
- 选择“再生成辅助访问密钥”,以再生成辅助访问密钥。
查看注册 URL
DSC 节点使用注册 URL 向 State Configuration 服务注册,并使用注册访问密钥和自动化账户访问密钥进行身份验证。
后续步骤
- 若要开始使用 PowerShell Runbook,请参阅教程:创建 PowerShell Runbook。
- 若要开始使用 PowerShell 工作流 Runbook,请参阅教程:创建 PowerShell 工作流 Runbook。
- 若要开始使用 Python 3 Runbook,请参阅教程:创建 Python 3 Runbook。
- 有关 PowerShell cmdlet 参考,请参阅 Az.Automation。