Azure：藍(lán)圖部署的階段

部署藍(lán)圖后，Azure藍(lán)圖服務(wù)將執(zhí)行一系列操作來部署藍(lán)圖中定義的資源。本文詳細(xì)介紹了每個(gè)步驟涉及的內(nèi)容。

通過向訂閱分配藍(lán)圖或更新現(xiàn)有分配來觸發(fā)藍(lán)圖部署。在部署期間，Azure藍(lán)圖會(huì)執(zhí)行以下高級(jí)步驟：

Azure藍(lán)圖已授予所有者權(quán)限

已創(chuàng)建藍(lán)圖賦值對(duì)象

可選-Azure藍(lán)圖創(chuàng)建系統(tǒng)分配的托管標(biāo)識(shí)

托管標(biāo)識(shí)部署藍(lán)圖項(xiàng)目

吊銷Azure藍(lán)圖服務(wù)和系統(tǒng)分配的托管標(biāo)識(shí)權(quán)限

Azure藍(lán)圖已授予所有者權(quán)限

使用系統(tǒng)分配的托管標(biāo)識(shí)托管標(biāo)識(shí)時(shí)，將向Azure藍(lán)圖服務(wù)主體授予對(duì)分配的訂閱或訂閱的所有者權(quán)限。授予的角色允許Azure藍(lán)圖創(chuàng)建并稍后撤消系統(tǒng)分配的托管標(biāo)識(shí)。如果使用用戶分配的托管標(biāo)識(shí)，Azure藍(lán)圖服務(wù)主體不會(huì)獲得訂閱的所有者權(quán)限，也不需要對(duì)訂閱擁有所有者權(quán)限。

如果分配是通過門戶完成的，則會(huì)自動(dòng)授予權(quán)限。但是，如果通過REST API完成分配，則需要使用單獨(dú)的API調(diào)用來授予權(quán)限。Azure藍(lán)圖AppId為f71766dc-90d9-4b7d-bd9d-4499c4331c3f，但服務(wù)主體因租戶而異。使用Azure Active Directory圖形API和REST終結(jié)點(diǎn)服務(wù)主體以獲取服務(wù)主體。然后，通過門戶、Azure CLI、Azure PowerShell、REST API或Azure資源管理器模板授予azure藍(lán)圖所有者角色。

Azure藍(lán)圖服務(wù)不會(huì)直接部署資源。

已創(chuàng)建藍(lán)圖賦值對(duì)象

用戶、組或服務(wù)主體將藍(lán)圖分配給訂閱。分配對(duì)象存在于指定了藍(lán)圖的訂閱級(jí)別。部署創(chuàng)建的資源不在部署實(shí)體的上下文中完成。

創(chuàng)建藍(lán)圖分配時(shí)，將選擇托管標(biāo)識(shí)的類型。默認(rèn)值為系統(tǒng)分配的托管標(biāo)識(shí)。可以選擇用戶分配的托管標(biāo)識(shí)。使用用戶分配的托管標(biāo)識(shí)時(shí)，必須在創(chuàng)建藍(lán)圖分配之前定義和授予權(quán)限。所有者和藍(lán)圖運(yùn)算符內(nèi)置角色都具有blueprintAssignment/write創(chuàng)建使用用戶分配的托管標(biāo)識(shí)的分配所必需的權(quán)限。

可選-Azure藍(lán)圖創(chuàng)建系統(tǒng)分配的托管標(biāo)識(shí)

在分配過程中選擇系統(tǒng)分配的托管標(biāo)識(shí)時(shí)，Azure藍(lán)圖會(huì)創(chuàng)建標(biāo)識(shí)，并向托管標(biāo)識(shí)授予所有者角色。如果升級(jí)了現(xiàn)有分配，Azure藍(lán)圖將使用之前創(chuàng)建的托管標(biāo)識(shí)。

與藍(lán)圖分配相關(guān)的托管標(biāo)識(shí)用于部署或重新部署在藍(lán)圖中定義的資源。此設(shè)計(jì)避免了意外干擾的賦值。此設(shè)計(jì)還通過從藍(lán)圖控制每個(gè)已部署資源的安全性來支持資源鎖定功能。

托管標(biāo)識(shí)部署藍(lán)圖項(xiàng)目

然后，托管標(biāo)識(shí)會(huì)按定義的順序順序觸發(fā)藍(lán)圖內(nèi)項(xiàng)目的資源管理器部署。可以調(diào)整順序，以確保依賴于其他項(xiàng)目的項(xiàng)目按正確的順序進(jìn)行部署。

部署的訪問失敗通常是向托管標(biāo)識(shí)授予的訪問級(jí)別。Azure藍(lán)圖服務(wù)管理系統(tǒng)分配的托管標(biāo)識(shí)的安全生命周期。但是，用戶負(fù)責(zé)管理用戶分配的托管標(biāo)識(shí)的權(quán)限和生命周期。

已撤銷藍(lán)圖服務(wù)和系統(tǒng)分配的托管標(biāo)識(shí)權(quán)限

部署完成后，Azure藍(lán)圖會(huì)撤消訂閱中系統(tǒng)分配的托管標(biāo)識(shí)的權(quán)限。然后，Azure藍(lán)圖服務(wù)將撤消其對(duì)訂閱的權(quán)限。權(quán)限刪除可防止Azure藍(lán)圖成為訂閱的永久所有者。