你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
为蓝图操作员配置环境
重要
2026 年 7 月 11 日,蓝图(预览版)将弃用。 将现有蓝图定义和分配迁移到模板规格和部署堆栈。 蓝图项目将转换为 ARM JSON 模板或用于定义部署堆栈的 Bicep 文件。 若要了解如何将项目创作为 ARM 资源,请参阅:
可以将蓝图定义管理和蓝图分配管理分配到不同的团队。 通常,架构师或治理团队负责蓝图定义的生命周期管理,而运营团队则负责管理那些集中控制的蓝图定义的分配。
蓝图操作员内置角色是专门为在此类方案中使用而设计的。 运营类型的团队可以通过该角色管理组织蓝图定义的分配,但不可修改这些定义。 执行此操作需要在 Azure 环境中进行一些配置,本文介绍了必要的步骤。
向蓝图操作员授予权限
第一步是向将要为其分配蓝图的帐户或安全组(建议)授予蓝图操作员角色。 应在管理组层次结构中的最高级别完成此操作,该级别包含运营团队应具有其蓝图分配访问权限的所有管理组和订阅。 建议在授予这些权限时遵循最低权限原则。
(建议)创建安全组并添加成员
将蓝图操作员 Azure 角色分配到帐户或安全组
用户分配的托管标识
蓝图定义可以使用系统分配的或用户分配的托管标识。 但是,在使用蓝图操作员角色时,需要将蓝图定义配置为使用用户分配的托管标识。 此外,对于被授予蓝图操作员角色的帐户或安全组,需要针对用户分配的托管标识向它们授予托管标识操作员角色 。 如果没有此权限,蓝图分配会由于缺少权限而失败。
创建用户分配的托管标识,供分配的蓝图使用。
向用户分配的托管标识授予指定范围的蓝图定义所需的任何角色或权限。
将托管标识操作员 Azure 角色分配到帐户或安全组。 将角色分配的范围限定为用户分配的新托管标识。
作为蓝图操作员,分配使用用户分配的新托管标识的蓝图。