从运行方式帐户迁移到托管标识

本文介绍如何迁移 runbook 以使用 Azure Site Recovery 的托管标识。 Azure Site Recovery 客户使用 Azure 自动化帐户来自动更新其受保护虚拟机的代理。 当你通过 IaaS VM 边栏选项卡和恢复服务保管库启用复制时，Site Recovery 会创建 Azure 自动化运行方式帐户。

在 Azure 上，托管标识通过为 Microsoft Entra ID 中的 Azure 资源提供身份并使用它来获取 Microsoft Entra 令牌，从而消除了开发人员管理凭据的需要。

先决条件

在从运行方式帐户迁移到托管标识之前，请确保你具有相应的角色，以便为自动化帐户创建系统分配的标识，并在相应的恢复服务保管库中为其分配所有者角色。

托管身份的优点

下面是使用托管标识的一些好处：

• 凭据访问 - 无需管理凭据。
• 简化的身份验证 - 可以使用托管标识向支持Microsoft Entra 身份验证的任何资源（包括自己的应用程序）进行身份验证。
• 经济高效 - 无需额外费用即可使用托管标识。
• 双重加密 - 托管标识还用于使用存储在 Azure Key Vault 中的客户管理的密钥加密/解密数据和元数据，从而提供双重加密。

从现有的运行方式帐户迁移到托管标识

配置托管标识

可通过以下方式配置托管标识：

• Azure 门户
• Azure 命令行接口 (CLI)
• Azure 资源管理器 (ARM) 模板

来源于 Azure 门户

要将 Azure 自动化帐户身份验证类型从 Run As 帐户迁移到托管标识身份验证，请执行以下步骤：

1. 在 Azure 门户中，选择要为其迁移 Runbook 的恢复服务保管库。

2. 在恢复服务保管库页的主页上，执行以下操作：

   1. 在左窗格中的“ 管理”下，选择 “Site Recovery 基础结构”。

   2. 在“对于 Azure 虚拟机”下，选择“扩展更新设置”。 本页详细介绍了用于管理 Site Recovery 扩展的自动化帐户的身份验证类型。

   3. 在此页上，选择 “迁移 ”以迁移自动化帐户的身份验证类型以使用托管标识。

      

3. 成功迁移自动化帐户后，扩展更新设置 页上链接帐户详细信息的身份验证类型会被更新。
4. “迁移”操作完成后，请切换“允许 Site Recovery 进行管理”按钮以再次将其打开。

从运行方式成功迁移到托管标识帐户后，以下更改将反映在自动化运行方式帐户上：

• 为帐户启用系统分配的托管标识（如果尚未启用）。
• 将参与者角色权限分配给恢复服务保管库的订阅。
• 用于更新移动代理以使用基于托管标识的身份验证的脚本已更新。

将现有托管标识帐户链接到保管库

将现有托管标识自动化帐户链接到恢复服务保管库。 执行以下步骤：

为保管库启用托管标识

1. 转到已选择的自动化帐户。 在 “帐户设置”下，选择“ 标识”。

   

2. 在 “系统分配”下，将 状态 更改为 “打开 ”，然后选择“ 保存”。

   一个对象 ID 随即生成。 现已向 Azure Active Directory 注册保管库。

3. 返回恢复服务保管库。 在左窗格中，选择 访问控制（IAM） 选项。

4. 选择 “添加>添加角色分配>参与者 ”以打开 “添加角色分配 ”页。

   注释

   设置自动化帐户后，可以将帐户的角色从 参与者 更改为 Site Recovery 参与者。

5. 在“添加角色分配”页上，确保选择“托管身份”。

6. 选择 “选择成员”。 在 “选择托管标识” 窗格中，执行以下操作：

   1. 在 “选择” 字段中，输入托管标识自动化帐户的名称。
   2. 在 “托管标识 ”字段中，选择 “所有系统分配的托管标识”。
   3. 选择选择选项。

7. 选择审核 + 分配。

8. 导航到恢复服务保管库下的“扩展更新设置”，切换“允许 Site Recovery 进行管理”按钮以再次将其打开。

后续步骤

了解有关以下方面的详细信息：

• “托管标识”。
• 为 Microsoft Azure 资源实现托管标识。