Пошаговое руководство. Проверка учетных записей запуска от имени Azure в Microsoft Azure

При использовании учетных записей автоматизации переход к в Microsoft Azure почти неизбежен. Они создаются, когда мы создаем , и они отвечают за аутентификацию и доступ к ресурсам через Runbook.
Существует два типа учетных записей запуска от имени: учетная запись запуска от имени Azure и классическая учетная запись запуска от имени Azure. Azure Resource Manager существует уже некоторое время, и, скорее всего, мы не будем использовать классический Azure Service Manager (ASM).
Оценка использования учетных записей запуска от имени во время создания
Первым шагом является создание учетной записи автоматизации. Учетная запись службы автоматизации может быть связана с рабочей областью OMS, и с ней могут быть связаны две учетные записи запуска от имени ( и ). Чтобы создать такой ресурс, нажмите «Создать ресурс» при входе на портал Azure и введите «Автоматизация». В списке выберите Автоматизация от Microsoft и Инструменты разработчика в категории.
В новой колонке будет отображаться краткая информация о том, что такое учетная запись автоматизации, нажмите «Создать».
В новой колонке укажите имя учетной записи службы автоматизации, группу ресурсов, в которой она будет создана, и расположение. Самое главное в этом учебнике — создать учетную запись Azure Run As, где мы можем сказать «Да» или «Нет».
Что произойдет, если я скажу «да» на создание учетных записей запуска от имени Azure?
В этом разделе мы сосредоточимся на некоторых различиях между созданием или отказом от создания при создании . Имейте в виду, что мы всегда можем создать субъект-службу и связать его с учетной записью автоматизации позже. На самом деле, у нас будет целая статья, показывающая этот процесс, и мы также создадим скрипт для ускорения этого процесса.
Первое, что мы могли бы изучить, — это создание нового приложения Azure Active Directory. Мы можем найти это, щелкнув Azure Active Directory, Регистрация приложений, а затем щелкнув Просмотреть все приложения. Будет создано новое приложение, фактически являющееся учетной записью субъекта-службы. Имя будет , добавленной случайным числом.
В рамках процесса создания сертификат будет создан и связан с субъектом-службой. Мы можем проверить это, нажав на приложение на предыдущем снимке экрана. В новой колонке нажмите кнопку «Настройки», а затем в пункте «Ключи». С правой стороны отобразится отпечаток сертификата и дата истечения срока действия.
Мы также можем видеть субъект-службу в корпоративных приложениях в службе Azure Active Directory, и с этого момента мы можем отслеживать действия, управлять некоторыми параметрами, связанными с этим объектом, и разрешениями.
Поскольку мы затронули тему сертификата, мы будем использовать сертификат для проверки подлинности с учетной записью субъекта-службы в наших будущих модулях Runbook. Получив свойства , мы видим, что пара сертификатов указана. У нас есть по одному для каждой среды (ASM и ARM), когда мы проверяем свойства AzureRunAsCertificate, например, мы сможем увидеть отпечаток, срок действия и возможность экспорта.
В разделе «Учетные записи запуска от имени Azure» у нас будет зеленая галочка для учетной записи и а также дата истечения срока действия.
Если вы ищете некоторую информацию о какой-либо учетной записи запуска от имени Azure, это место. Щелкните нужную учетную запись запуска от имени в списке, и справа у нас будут все сведения, относящиеся к этой учетной записи, включая имя приложения Azure AD, отпечаток сертификата, идентификатор объекта субъекта-службы и даже роли, назначенные учетной записи.
В разделе Connections у нас будет два подключения: AzureClassicRunAsConnection и AzureRunAsConnection, которые были созданы во время развертывания учетной записи автоматизации. В каждой из этих записей предварительно заполнены ApplicationID, TenantID, отпечаток сертификата и SubscriptionID.
В разделе Runbook мы увидим пять Runbook, которые представляют собой простые учебные пособия и объясняют, как использовать учетную запись автоматизации с использованием разных языков (Phyton, PowerShell, Graphical Runbook и т. д.).
Вам может быть интересно, как все эти параметры, добавленные в , помогут мне с модулями Runbook, верно? Вы можете просмотреть код Runbook AzureAutomationTutorialScript, и мы выделили точки, в которых сценарий извлекает , и эта информация будет использоваться для аутентификации.
Примечание. При использовании гибридных рабочих ролей (часть виртуальных машин вашей подписки) для выполнения Runbook мы экспортируем сертификат на ту же виртуальную машину.
Также есть изменения на уровне подписки. Новый субъект-служба получил разрешения участника, как показано на рисунке ниже. Может быть хорошей идеей заблокировать разрешения в соответствии с требованиями учетной записи автоматизации.
Что если я скажу «нет» учетным записям запуска от имени Azure?
Процесс прост. По сути, вы не будете добавлять эти элементы в свою среду:
- Учетные записи субъекта-службы не создаются, и поэтому нет сертификатов.
- Нет разрешения на уровне подписки
- Нет модулей Runbook в
- Нет элементов Connections в
- Учетные записи запуска от имени будут пустыми в
Есть ли способ создать все недостающие компоненты?
Вы всегда можете вручную создать учетную запись службы автоматизации и связать ее с ней, но существует более простой способ при использовании портала Azure. Откройте нужную , щелкните пункт Запуск от имени учетных записей и с правой стороны щелкните Создать (в этом примере мы будем использовать Создать для учетной записи запуска от имени Azure ). Новый блейд, информирующий о создании новой учетной записи субъекта-службы и разрешений на уровне подписки. Нажмите «Создать», чтобы начать процесс.
Каков будет результат? Новый субъект-служба со связанным сертификатом. Даже модули Runbook будут отображаться в вашей учетной записи службы автоматизации! Жизнь хороша!!!