Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Rollbaserad åtkomstkontroll i Azure (Azure RBAC) möjliggör åtkomsthantering för Azure-resurser. Med Hjälp av Azure RBAC kan du separera uppgifter inom ditt team och endast bevilja den mängd åtkomst till användare, grupper och program som de behöver för att utföra sina jobb. Du kan ge rollbaserad åtkomst till användare som använder Azure-portalen, Azure-kommandoradsverktygen eller Azure Management-API:er.
Roller i Automation-konton
I Azure Automation beviljas åtkomst genom att lämplig Azure-roll tilldelas till användare, grupper och program i Automation-kontoomfånget. Följande är de inbyggda roller som stöds av ett Automation-konto:
| Roll | Beskrivning |
|---|---|
| Ägare | Rollen Ägare ger tillgång till alla resurser och åtgärder i ett Automation-konto, inklusive möjligheten att ge andra användare, grupper och program hanteringsåtkomst till Automation-kontot. |
| Deltagare | Med deltagarrollen kan du hantera allt, men du kan inte ändra andra användares åtkomstbehörighet till ett Automation-konto. |
| Läsare | Med rollen Läsare kan du visa alla resurser i ett Automation-konto men inte göra några ändringar. |
| Automation-bidragsgivare | Med rollen Automation-deltagare kan du hantera alla resurser som finns i Automation-kontot, förutom att ändra andra användares åtkomstbehörigheter till ett Automation-konto. |
| Automation-operatör | Med rollen Automation-operatör kan du visa namn och egenskaper för runbook och skapa och hantera jobb för alla runbooks i ett Automation-konto. Denna roll är användbar om du vill skydda dina Automation-kontoresurser, t.ex. autentiseringstillgångar och runbooks, så att de inte kan visas eller ändras men fortfarande vill att medlemmar i din organisation ska kunna köra dessa runbooks. |
| Automation Job Operatör | Med rollen Automation-jobboperatör kan du skapa och hantera jobb för alla runbooks som finns i ett Automation-konto. |
| Automationsrunbok-operatör | Med rollen Runbook-operatör för Automation kan du visa namn och egenskaper för en runbook. |
| Bidragsgivare för Logganalys | Med rollen Log Analytics-deltagare kan du läsa all övervakningsdata och redigera övervakningsinställningar. Redigering av övervakningsinställningar inkluderar att lägga till VM-tillägget till virtuella datorer, läsa lagringskontonycklar för att konfigurera insamling av loggar från Azure Storage, skapa och konfigurera Automation-konton, lägga till Azure Automation-funktioner och konfigurera Azure Diagnostics i alla Azure-resurser. |
| Log Analytics-läsare | Med rollen Log Analytics-läsare kan du visa och söka i all övervakningsdata och även visa övervakningsinställningar. Detta inkluderar att visa konfigurationen av Azure Diagnostics på alla Azure-resurser. |
| Bidragsgivare för övervakning | Med rollen Övervakningsdeltagare kan du läsa all övervakningsdata och uppdatera övervakningsinställningarna. |
| Övervakningsläsare | Med rollen Övervakningsläsare kan du läsa all övervakningsdata. |
| Administratör för användaråtkomst | Med rollen Administratör för användaråtkomst kan du hantera användaråtkomsten till Azure Automation-konton. |
Rollbehörigheter
I följande tabeller beskrivs de specifika behörigheter som ges till varje roll. Detta kan omfatta åtgärder som ger behörigheter och inte åtgärder som begränsar dem.
Ägare
En ägare kan hantera allt, inklusive åtkomst. Följande tabell visar de behörigheter som beviljats för rollen:
| Åtgärder | Beskrivning |
|---|---|
| Microsoft.Automation/automationAccounts/* | Skapa och hantera alla typer av resurser. |
Deltagare
En medarbetare kan hantera allt förutom åtkomst. Följande tabell visar de behörigheter som beviljats och nekats för rollen:
| Åtgärder | Beskrivning |
|---|---|
| Microsoft.Automation/automationAccounts/* | Skapa och hantera alla typer av resurser |
| Inte åtgärder | |
| Microsoft.Authorization/*/Ta bort | Ta bort roller och rolltilldelningar. |
| Microsoft.Authorization/*/Write | Skapa roller och rolltilldelningar. |
| Microsoft.Authorization/höjaÅtkomst/Action | Förnekar möjligheten att skapa en administratör för användaråtkomst. |
Läsare
Kommentar
Vi har nyligen gjort en ändring i inbyggda behörigheten i rollen Läsare för Automation-kontot. Läs mer
En läsare kan visa alla resurser i ett Automation-konto men inte göra några ändringar.
| Åtgärder | Beskrivning |
|---|---|
| Microsoft.Automation/automationAccounts/läsa | Visa alla resurser i ett Automation-konto. |
Automation-bidragsgivare
En Automation-deltagare kan hantera alla resurser i Automation-kontot förutom åtkomst. Följande tabell visar de behörigheter som beviljats för rollen:
| Åtgärder | Beskrivning |
|---|---|
| Microsoft.Automation/automationAccounts/* | Skapa och hantera alla typer av resurser. |
| Microsoft.Authorization/*/read | Läsa roller och rolltilldelningar. |
| Microsoft.Resources/deployments/* | Skapa och hantera distributioner över resursgrupper. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Läsa distributioner för resursgrupper. |
| Microsoft.Support/* | Skapa och hantera supportbegäran. |
| Microsoft.Insights/ActionGroups/* | Läsa/skriva/ta bort åtgärdsgrupper. |
| Microsoft.Insights/ActivityLogAlerts/* | Läsa/skriva/ta bort aktivitetsloggaviseringar. |
| Microsoft.Insights/diagnosticSettings/* | Läsa/skriva/ta bort diagnostikinställningar. |
| Microsoft.Insights/MetricAlerts/* | Läsa/skriva/ta bort måttaviseringar som nästan är i realtid. |
| Microsoft.Insights/ScheduledQueryRules/* | Läsa/skriva/ta bort loggaviseringar i Azure Monitor. |
| Microsoft.OperationalInsights/workspaces/sharedKeys/action | Visa nycklar för en Log Analytics-arbetsyta |
Kommentar
Rollen Automation-deltagare kan användas för att komma åt alla resurser med hjälp av den hanterade identiteten, om lämpliga behörigheter har angetts för målresursen eller genom att använda ett Run As-konto. Automation Kör som-konton är som standard konfigurerade med deltagarrättigheter för prenumerationen. Följ principen om lägsta behörighet och tilldela endast de behörigheter som krävs för att köra din runbook. Om Automation-kontot till exempel bara behövs för att starta eller stoppa en virtuell Azure-dator, ska du endast tilldela behörigheter för att starta eller stoppa den virtuella datorn till Kör som-kontot eller den hanterade identiteten. På samma sätt, om en runbook läser från bloblagring, ska du tilldela skrivskyddade behörigheter.
När du tilldelar behörigheter rekommenderas du använder rollbaserad åtkomstkontroll i Azure (RBAC) som tilldelats till en hanterad identitet. Läs våra rekommendationer för bästa metod för att använda ett system eller en användartilldelad hanterad identitet, inklusive hantering och styrning under dess livstid.
Automation-operatör
En Automation-operatör kan skapa och hantera jobb och läsa namn och egenskaper för alla runbooks i ett Automation-konto.
Kommentar
Om du vill styra operatoråtkomsten till enskilda runbooks ska du inte ange den här rollen. Använd i stället rollerna Automation Job Operator och Automation Runbook Operator i kombination.
Följande tabell visar de behörigheter som beviljats för rollen:
| Åtgärder | Beskrivning |
|---|---|
| Microsoft.Authorization/*/read | Läsbehörighet. |
| Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/läs | Läs Hybrid Runbook Worker-resurser. |
| Microsoft.Automation/automatiseringsKonton/jobb/läs | Lista jobb för runbook |
| Microsoft.Automation/automationAccounts/jobs/resume/action | Återuppta ett pausat jobb. |
| Microsoft.Automation/automationAccounts/uppdrag/stoppa/åtgärd | Avbryta ett pågående jobb. |
| Microsoft.Automation/automationAccounts/jobs/streams/read | Läs jobbflöden och utdata. |
| Microsoft.Automation/automatiseringskonton/jobb/utdata/läsa | Hämta utdata för ett jobb. |
| Microsoft.Automation/automationAccounts/jobs/suspend/action | Pausa ett arbete som pågår. |
| Microsoft.Automation/automationAccounts/jobs/write | Skapa jobb. |
| Microsoft.Automation/automationAccounts/jobSchedules/read | Hämta ett jobbschema för Azure Automation. |
| Microsoft.Automation/automationAccounts/jobSchedules/skriv | Skapa ett jobbschema för Azure Automation. |
| Microsoft.Automation/automationskonton/länkatArbetsutrymme/läsa | Hämta arbetsytan som är kopplad till Automation-kontot. |
| Microsoft.Automation/automationAccounts/läsa | Skaffa ett Azure Automation-konto. |
| Microsoft.Automation/automationAccounts/runbooks/read | Skaffa en Azure Automation-runbook. |
| Microsoft.Automation/automationAccounts/schedules/read | Hämta ett schemalagt objekt för Azure Automation. |
| Microsoft.Automation/automationAccounts/schedules/skapa eller ändra | Skapa eller uppdatera en Azure Automation-schematillgång. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Läsa roller och rolltilldelningar. |
| Microsoft.Resources/deployments/* | Skapa och hantera distributioner över resursgrupper. |
| Microsoft.Insights/alertRules/* | Skapa och hantera varningsregler. |
| Microsoft.Support/* | Skapa och hantera supportbegäran. |
| Microsoft.ResourceHealth/tillgänglighetsstatusar/läs | Hämtar tillgänglighetsstatus för alla resurser i angivet omfång. |
Automation Job Operatör
En roll för Automation-jobboperatör beviljas i Automation-kontoomfånget. Därmed kan operatören skapa och hantera jobb för alla runbooks i kontot. Om rollen Jobboperatör beviljas läsbehörighet för resursgruppen som innehåller Automation-kontot kan rollmedlemmarna starta runbooks. De har emellertid inte möjlighet att skapa, redigera eller ta bort dem.
Följande tabell visar de behörigheter som beviljats för rollen:
| Åtgärder | Beskrivning |
|---|---|
| Microsoft.Authorization/*/read | Läsbehörighet. |
| Microsoft.Automation/automatiseringsKonton/jobb/läs | Lista jobb för runbook |
| Microsoft.Automation/automationAccounts/jobs/resume/action | Återuppta ett pausat jobb. |
| Microsoft.Automation/automationAccounts/uppdrag/stoppa/åtgärd | Avbryta ett pågående jobb. |
| Microsoft.Automation/automationAccounts/jobs/streams/read | Läs jobbflöden och utdata. |
| Microsoft.Automation/automationAccounts/jobs/suspend/action | Pausa ett arbete som pågår. |
| Microsoft.Automation/automationAccounts/jobs/write | Skapa jobb. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Läsa roller och rolltilldelningar. |
| Microsoft.Resources/deployments/* | Skapa och hantera distributioner över resursgrupper. |
| Microsoft.Insights/alertRules/* | Skapa och hantera varningsregler. |
| Microsoft.Support/* | Skapa och hantera supportbegäran. |
| Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/läs | Läser in en Hybrid Runbook Worker-grupp. |
| Microsoft.Automation/automatiseringskonton/jobb/utdata/läsa | Hämtar utdata för ett jobb. |
Automationsrunbok-operatör
En roll som Automation Runbook-operatör beviljas på Runbook-nivå. En Automation-runbookoperatör kan visa runbokens namn och egenskaper. Med den här rollen, i kombination med rollen som Automation Job Operator, kan operatören även skapa och hantera jobb för runbooken. Följande tabell visar de behörigheter som beviljats för rollen:
| Åtgärder | Beskrivning |
|---|---|
| Microsoft.Automation/automationAccounts/runbooks/read | Visa en lista över runbooks. |
| Microsoft.Authorization/*/read | Läsbehörighet. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Läsa roller och rolltilldelningar. |
| Microsoft.Resources/deployments/* | Skapa och hantera distributioner över resursgrupper. |
| Microsoft.Insights/alertRules/* | Skapa och hantera varningsregler. |
| Microsoft.Support/* | Skapa och hantera supportbegäran. |
Bidragsgivare för Logganalys
En Log Analytics-deltagare kan läsa all övervakningsdata och redigera övervakningsinställningar. Redigering av övervakningsinställningar inkluderar att lägga till VM-tillägget till virtuella datorer, läsa lagringskontonycklar för att konfigurera insamling av loggar från Azure Storage, skapa och konfigurera Automation-konton, lägga till Azure Automation-funktioner samt konfigurera Azure Diagnostics i alla Azure-resurser. Följande tabell visar de behörigheter som beviljats för rollen:
| Åtgärder | Beskrivning |
|---|---|
| */läsa | Läsa resurser av alla typer, förutom hemligheter. |
| Microsoft.ClassicCompute/virtualMachines/extensions/* | Skapa och hantera tillägg för virtuella datorer. |
| Microsoft.ClassicStorage/lagringskonton/listaNycklar/aktion | Visa klassiska nycklar för lagringskonto. |
| Microsoft.Compute/virtualMachines/extensions/* | Skapa och hantera klassiska tillägg för virtuella datorer. |
| Microsoft.Insights/alertRules/* | Läsa/skriva/ta bort aviseringsregler. |
| Microsoft.Insights/diagnosticSettings/* | Läsa/skriva/ta bort diagnostikinställningar. |
| Microsoft.OperationalInsights/* | Hantera loggar för Azure Monitor. |
| Microsoft.OperationsManagement/* | Hantera Azure Automation-funktioner på arbetsytor. |
| Microsoft.Resources/deployments/* | Skapa och hantera distributioner över resursgrupper. |
| Microsoft.Resources/subscriptions/resourcegroups/deployments/* | Skapa och hantera distributioner över resursgrupper. |
| Microsoft.Storage/storageAccounts/listKeys/action | Lista lagringskontonycklar. |
| Microsoft.Support/* | Skapa och hantera supportbegäran. |
| Microsoft.HybridCompute/machines/extensions/write | Installerar eller uppdaterar Azure Arc-tillägg. |
Log Analytics-läsare
En Log Analytics-läsare kan visa och söka i all övervakningsdata och även visa övervakningsinställningar, inklusive att visa konfigurationen av Azure-diagnostik i alla Azure-resurser. Följande tabell visar de behörigheter som beviljats eller nekats för rollen:
| Åtgärder | Beskrivning |
|---|---|
| */läsa | Läsa resurser av alla typer, förutom hemligheter. |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Hantera frågor i Azure Monitor-loggar. |
| Microsoft.OperationalInsights/workspaces/sök/åtgärd | Sök Azure Monitor-loggdata. |
| Microsoft.Support/* | Skapa och hantera supportbegäran. |
| Inte åtgärder | |
| Microsoft.OperationalInsights/workspaces/sharedKeys/read | Det går inte att läsa delade åtkomstnycklar. |
Bidragsgivare för övervakning
En Övervakningsdeltagare kan läsa alla övervakningsdata och uppdatera övervakningsinställningarna. Följande tabell visar de behörigheter som beviljats för rollen:
| Åtgärder | Beskrivning |
|---|---|
| */läsa | Läsa resurser av alla typer, förutom hemligheter. |
| Microsoft.AlertsManagement/alerts/* | Hantera aviseringar. |
| Microsoft.AlertsManagement/alertsSummary/* | Hantera instrumentpanelen för aviseringar. |
| Microsoft.Insights/AlertRules/* | Hantera varningsregler. |
| Microsoft.Insights/components/* | Hantera Application Insights-komponenter. |
| Microsoft.Insights/DiagnosticSettings/* | Hantera diagnostikinställningar. |
| Microsoft.Insights/eventtypes/* | Visa en lista över aktivitetslogghändelser (hanteringshändelser) i en prenumeration. Denna behörighet gäller både programmatisk åtkomst och portalåtkomst till aktivitetsloggen. |
| Microsoft.Insights/LogDefinitions/* | Denna behörighet krävs för användare som behöver åtkomst till aktivitetsloggar via portalen. Visa loggkategorier i aktivitetsloggen. |
| Microsoft.Insights/MetricDefinitions/* | Läsa måttdefinitioner (lista över tillgängliga måttenhetstyper för en resurs). |
| Microsoft.Insights/Metrics/* | Läsa mätvärden för en resurs. |
| Microsoft.Insights/Register/Action | Registrera Microsoft.Insights-providern. |
| Microsoft.Insights/webtests/* | Hantera Application Insights-webbtester. |
| Microsoft.OperationalInsights/workspaces/intelligencepacks/* | Hantera Azure Monitor-lösningspaket för loggar. |
| Microsoft.OperationalInsights/workspaces/savedSearches/* | Hantera sparade sökningar i Azure Monitor. |
| Microsoft.OperationalInsights/workspaces/sök/åtgärd | Sök Log Analytics-arbetsytor. |
| Microsoft.OperationalInsights/workspaces/sharedKeys/action | Lista nycklar för en Log Analytics-arbetsyta. |
| Microsoft.OperationalInsights/workspaces/storageinsightconfigs/* | Hantera konfigurationer för logglagring i Azure Monitor. |
| Microsoft.Support/* | Skapa och hantera supportbegäran. |
| Microsoft.WorkloadMonitor/workloads/* | Hantera arbetsbelastningar. |
Övervakningsläsare
En Övervakningsläsare kan läsa all övervakningsdata. Följande tabell visar de behörigheter som beviljats för rollen:
| Åtgärder | Beskrivning |
|---|---|
| */läsa | Läsa resurser av alla typer, förutom hemligheter. |
| Microsoft.OperationalInsights/workspaces/sök/åtgärd | Sök Log Analytics-arbetsytor. |
| Microsoft.Support/* | Skapa och hantera supportbegäran |
Administratör för användaråtkomst
En administratör för användaråtkomst kan hantera användarnas åtkomst till Azure-resurser. Följande tabell visar de behörigheter som beviljats för rollen:
| Åtgärder | Beskrivning |
|---|---|
| */läsa | Läsa alla resurser |
| Microsoft.Authorization/* | Hantera auktorisering |
| Microsoft.Support/* | Skapa och hantera supportbegäran |
Läsarrollens åtkomstbehörigheter
Viktigt!
För att stärka den övergripande säkerhetspositionen i Azure Automation skulle den inbyggda RBAC-läsaren inte ha åtkomst till Automation-kontonycklar via API-anropet – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION.
Den inbyggda läsarrollen för Automation-kontot kan inte använda API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION för att hämta Automation-kontonycklarna. Detta är en åtgärd med höga privilegier som tillhandahåller känslig information som kan utgöra en säkerhetsrisk för en oönskad illvillig aktör med låg behörighet som kan få åtkomst till Automation-kontots nycklar och utföra åtgärder med förhöjd behörighetsnivå.
För att få åtkomst till API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATIONrekommenderar vi att du växlar till inbyggda roller som Ägare, Deltagare eller Automation-deltagare för att få åtkomst till Automation-kontonycklarna. Dessa roller har som standard behörigheten listKeys . Vi rekommenderar att du skapar en anpassad roll med begränsad behörighet för åtkomst till Automation-kontots nycklar. För en anpassad roll måste du lägga till behörigheten Microsoft.Automation/automationAccounts/listKeys/action i rolldefinitionen.
Läs mer om hur du skapar en anpassad roll från Azure Portal.
Behörigheter för funktionskonfiguration
I följande avsnitt beskrivs de minsta behörigheter som krävs för att aktivera funktionerna Uppdateringshantering och Ändringsspårning och Inventering.
Behörigheter för att aktivera uppdateringshantering och Ändringsspårning och inventering från en virtuell dator
| Åtgärd | Behörighet | Minsta omfång |
|---|---|---|
| Skriv ny driftsättning | Microsoft.Resources/deployments/* | Prenumeration |
| Skriva ny resursgrupp | Microsoft.Resources/abonnemang/resursgrupper/skapa | Prenumeration |
| Skapa ny standardarbetsyta | Microsoft.OperationalInsights/workspaces/write | Resursgrupp |
| Skapa nytt konto | Microsoft.Automation/automationAccounts/skapa | Resursgrupp |
| Länka arbetsyta och konto | Microsoft.OperationalInsights/workspaces/skriva Microsoft.Automation/automationAccounts/läsa |
Arbetsyta automatiseringskonto |
| Skapa MMA-tillägg | Microsoft.Compute/virtualMachines/write | Virtuell dator |
| Skapa sparad sökning | Microsoft.OperationalInsights/workspaces/write | Arbetsyta |
| Skapa omfångskonfiguration | Microsoft.OperationalInsights/workspaces/write | Arbetsyta |
| Introduktion statuskontroll – Läs arbetsyta | Microsoft.OperationalInsights/workspaces/read | Arbetsyta |
| Registrering av tillståndskontroll – Läsa kontots länkade arbetsyteegenskap | Microsoft.Automation/automationAccounts/läsa | Automation-konto |
| Kontroll av registreringstillstånd – Läs lösning | Microsoft.OperationalInsights/workspaces/intelligencepacks/read | Lösning |
| Kontrollera onboarding-tillstånd – Virtuell dator | microsoft.compute/virtualmachines/read | Virtuell dator |
| Kontroll av onboarding-status – Läs konto | Microsoft.Automation/automationAccounts/läsa | Automation-konto |
| Introduktion av arbetsplatskontroll för VM1 | Microsoft.OperationalInsights/workspaces/read | Prenumeration |
| Registrera Log Analytics-providern | Microsoft.Insights/register/action | Prenumeration |
1 Den här behörigheten krävs för att aktivera funktioner via VM-portalen.
Behörigheter för att aktivera uppdateringshantering och Ändringsspårning och inventering från ett Automation-konto
| Åtgärd | Behörighet | Minsta omfång |
|---|---|---|
| Skapa ny distribution | Microsoft.Resources/deployments/* | Prenumeration |
| Skapa ny resursgrupp | Microsoft.Resources/abonnemang/resursgrupper/skapa | Prenumeration |
| AutomationOnboarding-bladet – Skapa ny arbetsyta | Microsoft.OperationalInsights/workspaces/write | Resursgrupp |
| AutomationOnboarding-bladet – läs länkad arbetsyta | Microsoft.Automation/automationAccounts/läsa | Automation-konto |
| AutomationOnboarding-bladet – läslösning | Microsoft.OperationalInsights/workspaces/intelligencepacks/read | Lösning |
| AutomationOnboarding-bladet – läs arbetsyta | Microsoft.OperationalInsights/workspaces/intelligencepacks/read | Arbetsyta |
| Skapa länk för arbetsyta och konto | Microsoft.OperationalInsights/workspaces/write | Arbetsyta |
| Skriv konto för shoebox | Microsoft.Automation/automationAccounts/skapa | Konto |
| Skapa/redigera sparad sökning | Microsoft.OperationalInsights/workspaces/write | Arbetsyta |
| Skapa/redigera omfångskonfiguration | Microsoft.OperationalInsights/workspaces/write | Arbetsyta |
| Registrera Log Analytics-providern | Microsoft.Insights/register/action | Prenumeration |
| Steg 2 – Aktivera flera virtuella datorer | ||
| VMOnboarding-bladet – Skapa MMA-tillägg | Microsoft.Compute/virtualMachines/write | Virtuell dator |
| Skapa/redigera sparad sökning | Microsoft.OperationalInsights/workspaces/write | Arbetsyta |
| Skapa/redigera omfångskonfiguration | Microsoft.OperationalInsights/workspaces/write | Arbetsyta |
Hantera rollbehörigheter för Hybrid Worker-grupper och hybridarbetare
Du kan skapa anpassade Azure-roller i Automation och bevilja följande behörigheter till Hybrid Worker-grupper och hybridarbetare:
Konfigurera Azure RBAC för ditt Automation-konto
Följande avsnitt visar hur du konfigurerar Azure RBAC på ditt Automation-konto via Azure Portal och PowerShell.
Konfigurera Azure RBAC med hjälp av Azure Portal
Logga in på Azure Portal och öppna ditt Automation-konto från sidan Automation-konton.
Välj Åtkomstkontroll (IAM) och välj en roll i listan över tillgängliga roller. Du kan välja någon av de tillgängliga inbyggda roller som ett Automation-konto stöder eller vilken anpassad roll som helst som du kan ha definierat. Tilldela rollen till en användare som du vill ge behörigheter till.
Läs mer om att tilldela roller i Tilldela Azure-roller via Azure Portal.
Kommentar
Du kan bara ange rollbaserad åtkomstkontroll i Automation-kontoomfånget och inte på någon resurs under Automation-kontot.
Ta bort rolltilldelningar från en användare
Du kan ta bort åtkomstbehörigheten för en användare som inte hanterar Automation-kontot eller som inte längre arbetar för organisationen. Följande steg visar hur du tar bort rolltilldelningarna från en användare. Detaljerade steg finns i Ta bort Azure-rolltilldelningar:
Öppna Åtkomstkontroll (IAM) i ett omfång, till exempel hanteringsgrupp, prenumeration, resursgrupp eller resurs, där du vill ta bort åtkomsten.
Välj fliken Rolltilldelningar om du vill visa rolltilldelningarna i det här omfånget.
I listan över rolltilldelningar lägger du till en bockmarkering bredvid användaren med den rolltilldelning som du vill ta bort.
Välj Ta bort.
Konfigurera Azure RBAC med PowerShell
Du kan också konfigurera rollbaserad åtkomst till ett Automation-konto med hjälp av följande Azure PowerShell-cmdletar:
Get-AzRoleDefinition visar en lista över alla Azure-roller som är tillgängliga i Microsoft Entra ID. Du kan använda den här cmdleten med parametern Name för att visa en lista över alla åtgärder som en specifik roll kan utföra.
Get-AzRoleDefinition -Name 'Automation Operator'
Följande är exempelutdata:
Name : Automation Operator
Id : d3881f73-407a-4167-8283-e981cbba0404
IsCustom : False
Description : Automation Operators are able to start, stop, suspend, and resume jobs
Actions : {Microsoft.Authorization/*/read, Microsoft.Automation/automationAccounts/jobs/read, Microsoft.Automation/automationAccounts/jobs/resume/action,
Microsoft.Automation/automationAccounts/jobs/stop/action...}
NotActions : {}
AssignableScopes : {/}
Get-AzRoleAssignment listar Azure-rolltilldelningar i det angivna omfånget. Utan några parametrar returnerar den här cmdleten alla rolltilldelningar som gjorts under prenumerationen. Använd parametern ExpandPrincipalGroups för att lista åtkomsttilldelningar för den angivna användaren samt de grupper som användaren tillhör.
Exempel: Använd följande cmdlet för att visa en lista över alla användare och deras roller i ett Automation-konto.
Get-AzRoleAssignment -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'
Följande är exempelutdata:
RoleAssignmentId : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
ers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName : admin@contoso.com
SignInName : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId : d3881f73-407a-4167-8283-e981cbba0404
ObjectId : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType : User
Använd New-AzRoleAssignment för att tilldela åtkomst till användare, grupper och program till ett visst omfång.
Exempel: Använd följande kommando för att tilldela rollen "Automation-operatör" för en användare i Automation-kontoomfånget.
New-AzRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName 'Automation operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'
Följande är exempelutdata:
RoleAssignmentId : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
ers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName : admin@contoso.com
SignInName : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId : d3881f73-407a-4167-8283-e981cbba0404
ObjectId : bbbbbbbb-1111-2222-3333-cccccccccccc
ObjectType : User
Använd Remove-AzRoleAssignment för att ta bort åtkomsten för en angiven användare, grupp eller ett visst program från ett visst omfång.
Exempel: Använd följande kommando för att ta bort användaren från rollen Automation-operatör i Automation-kontoomfånget.
Remove-AzRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName 'Automation Operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'
I föregående exempel ersätter du sign-in ID of a user you wish to remove, SubscriptionID, Resource Group Nameoch Automation account name med din kontoinformation. Välj Ja när du uppmanas att bekräfta innan du fortsätter att ta bort användarrolltilldelningar.
Användarupplevelse för rollen Automation-operatör – Automation-konto
När en användare som har tilldelats rollen Automation-operatör i Automation-kontoomfånget visar det Automation-konto som han/hon har tilldelats, kan användaren bara visa listan över runbooks, runbook-jobb och scheman som skapats i Automation-kontot. Den här användaren kan inte visa definitionerna av dessa objekt. Användaren kan starta, stoppa, pausa, återuppta eller schemalägga runbook-jobbet. Användaren har dock inte åtkomst till andra Automation-resurser, till exempel konfigurationer, Hybrid Runbook Worker-grupper eller DSC-noder.
Konfigurera Azure RBAC för runbooks
Med Azure Automation kan du tilldela Azure-roller till specifika runbooks. Det gör du genom att köra följande skript för att lägga till en användare i en specifik runbook. En Automation-kontoadministratör eller en innehavaradministratör kan köra det här skriptet.
$rgName = "<Resource Group Name>" # Resource Group name for the Automation account
$automationAccountName ="<Automation account name>" # Name of the Automation account
$rbName = "<Name of Runbook>" # Name of the runbook
$userId = "<User ObjectId>" # Azure Active Directory (AAD) user's ObjectId from the directory
# Gets the Automation account resource
$aa = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts" -ResourceName $automationAccountName
# Get the Runbook resource
$rb = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts/runbooks" -ResourceName "$rbName"
# The Automation Job Operator role only needs to be run once per user.
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Job Operator" -Scope $aa.ResourceId
# Adds the user to the Automation Runbook Operator role to the Runbook scope
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Runbook Operator" -Scope $rb.ResourceId
När skriptet har körts måste användaren logga in på Azure Portal och välja Alla resurser. I listan kan användaren se runbooken som han/hon har lagts till som Automation Runbook Operator för.
Användarupplevelse för Automation-operatörsroll – Runbook
När en användare som tilldelats rollen Automation-operatör i Runbook-omfånget visar en tilldelad runbook kan användaren bara starta runbooken och visa runbook-jobben.
Nästa steg
- Mer information om säkerhetsriktlinjer finns i Metodtips för säkerhet i Azure Automation.
- Mer information om Azure RBAC med PowerShell finns i Lägga till eller ta bort Azure-rolltilldelningar med Azure PowerShell.
- Mer information om typer av runbooks finns i Azure Automation-runbooktyper.
- För att starta en runbook, se Starta en runbook i Azure Automation.