Fasi della distribuzione di un progetto

Importante

Il 11 luglio 2026 Blueprints (anteprima) sarà deprecato. Eseguire la migrazione delle definizioni e delle assegnazioni di progetto esistenti a specifiche di modello e stack di distribuzione. Gli artefatti del progetto devono essere convertiti in modelli JSON ARM o file Bicep usati per definire gli stack di distribuzione. Per informazioni su come creare un artefatto come risorsa arm, vedere:

Quando un progetto viene distribuito, viene eseguita una serie di azioni dal servizio Azure Blueprints per distribuire le risorse definite nel progetto. Questo articolo fornisce informazioni dettagliate sul significato di ogni passaggio.

La distribuzione del progetto viene attivata assegnando un progetto a una sottoscrizione o aggiornando un'assegnazione esistente. Durante la distribuzione, Azure Blueprints esegue i passaggi generali seguenti:

  • Azure Blueprints ha concesso i diritti di proprietario
  • Viene creato l'oggetto assegnazione progetto
  • Facoltativo: Azure Blueprints crea un'identità gestita assegnata dal sistema
  • L'identità gestita distribuisce gli artefatti del progetto
  • I diritti di identità gestita assegnati dal sistema e dal servizio Azure Blueprints vengono revocati

Azure Blueprints ha concesso i diritti di proprietario

All'entità servizio Azure Blueprints vengono concessi diritti di proprietario per la sottoscrizione o le sottoscrizioni assegnate dal sistema quando viene usata un'identità gestita con identità gestita assegnata dal sistema . Il ruolo concesso consente ad Azure Blueprints di creare e revocare in seguito l'identità gestita assegnata dal sistema . Se si usa un'identità gestita assegnata dall'utente , l'entità servizio Azure Blueprints non ottiene e non richiede diritti di proprietario per la sottoscrizione.

I diritti vengono concessi automaticamente se l'assegnazione viene eseguita tramite il portale. Tuttavia, se l'assegnazione viene eseguita tramite l'API REST, la concessione dei diritti deve essere eseguita con una chiamata API separata. Azure Blueprints AppId è f71766dc-90d9-4b7d-bd9d-4499c4331c3f, ma l'entità servizio varia in base al tenant. Usare Azure Active Directory API Graph e rest endpoint servicePrincipals per ottenere l'entità servizio. Concedere quindi ad Azure Blueprints il ruolo proprietario tramite il portale, l'interfaccia della riga di comando di Azure, Azure PowerShell, l'API REST o un modello di Resource Manager di Azure.

Il servizio Azure Blueprints non distribuisce direttamente le risorse.

Viene creato l'oggetto assegnazione progetto

Un utente, un gruppo o un'entità servizio assegna un progetto a una sottoscrizione. L'oggetto assegnazione esiste a livello di sottoscrizione a cui è stato assegnato il progetto. Le risorse create dalla distribuzione non vengono eseguite nel contesto dell'entità di distribuzione.

Durante la creazione dell'assegnazione del progetto, viene selezionato il tipo di identità gestita . L'impostazione predefinita è un'identità gestita assegnata dal sistema . È possibile scegliere un'identità gestita assegnata dall'utente . Quando si usa un'identità gestita assegnata dall'utente , è necessario definire e concedere le autorizzazioni prima della creazione dell'assegnazione del progetto. I ruoli predefiniti Proprietario e Operatore progetto dispongono dell'autorizzazione necessaria blueprintAssignment/write per creare un'assegnazione che usa un'identità gestita assegnata dall'utente .

Facoltativo: Azure Blueprints crea un'identità gestita assegnata dal sistema

Quando viene selezionata l'identità gestita assegnata dal sistema durante l'assegnazione, Azure Blueprints crea l'identità e concede all'identità gestita il ruolo proprietario . Se viene aggiornata un'assegnazione esistente, Azure Blueprints usa l'identità gestita creata in precedenza.

L'identità gestita correlata all'assegnazione del progetto viene usata per distribuire o ridistribuire le risorse definite nel progetto. Questa progettazione evita assegnazioni inavvertitamente interferenti tra loro. Questa progettazione supporta anche la funzionalità di blocco delle risorse controllando la sicurezza di ogni risorsa distribuita dal progetto.

L'identità gestita distribuisce gli artefatti del progetto

L'identità gestita attiva quindi le distribuzioni Resource Manager degli artefatti all'interno del progetto nell'ordine di sequenziazione definito. L'ordine può essere modificato per garantire che gli artefatti dipendenti da altri artefatti vengano distribuiti nell'ordine corretto.

Un errore di accesso da parte di una distribuzione è spesso il risultato del livello di accesso concesso all'identità gestita. Il servizio Azure Blueprints gestisce il ciclo di vita della sicurezza dell'identità gestita assegnata dal sistema . Tuttavia, l'utente è responsabile della gestione dei diritti e del ciclo di vita di un'identità gestita assegnata dall'utente .

Vengono revocati i diritti di identità gestita assegnati dal servizio blueprint e dall'identità gestita assegnata dal sistema

Al termine delle distribuzioni, Azure Blueprints revoca i diritti dell'identità gestita assegnata dal sistema dalla sottoscrizione. Il servizio Azure Blueprints revoca quindi i diritti della sottoscrizione. La rimozione dei diritti impedisce ad Azure Blueprints di diventare un proprietario permanente in una sottoscrizione.

Passaggi successivi