Faser i en skissdistribution

Viktigt

Den 11 juli 2026 blir skisser (förhandsversion) inaktuella. Migrera dina befintliga skissdefinitioner och tilldelningar till mallspecifikationer och distributionsstackar. Skissartefakter ska konverteras till ARM JSON-mallar eller Bicep-filer som används för att definiera distributionsstackar. Information om hur du skapar en artefakt som en ARM-resurs finns i:

När en skiss distribueras utförs en serie åtgärder av Azure Blueprints-tjänsten för att distribuera de resurser som definierats i skissen. Den här artikeln innehåller information om vad varje steg omfattar.

Skissdistribution utlöses genom att tilldela en skiss till en prenumeration eller uppdatera en befintlig tilldelning. Under distributionen utför Azure Blueprints följande övergripande steg:

  • Azure Blueprints har beviljats ägarrättigheter
  • Skisstilldelningsobjektet skapas
  • Valfritt – Azure Blueprints skapar systemtilldelad hanterad identitet
  • Den hanterade identiteten distribuerar skissartefakter
  • Azure Blueprints-tjänsten och systemtilldelade hanterade identitetsrättigheter återkallas

Azure Blueprints har beviljats ägarrättigheter

Tjänstens huvudnamn för Azure Blueprints beviljas ägarrättigheter till den tilldelade prenumerationen eller prenumerationerna när en systemtilldelad hanterad identitetshanterad identitet används. Med den tilldelade rollen kan Azure Blueprints skapa och senare återkalla den systemtilldelade hanterade identiteten. Om du använder en användartilldelad hanterad identitet får inte Tjänstens huvudnamn för Azure Blueprints och behöver inte ägarrättigheter för prenumerationen.

Rättigheterna beviljas automatiskt om tilldelningen görs via portalen. Men om tilldelningen görs via REST-API:et måste du bevilja rättigheterna med ett separat API-anrop. Azure Blueprints AppId är f71766dc-90d9-4b7d-bd9d-4499c4331c3f, men tjänstens huvudnamn varierar beroende på klientorganisation. Använd Azure Active Directory Graph API och REST-slutpunktstjänstenPrincipals för att hämta tjänstens huvudnamn. Bevilja sedan Rollen Ägare i Azure Blueprints via portalen, Azure CLI, Azure PowerShell, REST API eller en Azure Resource Manager-mall.

Azure Blueprints-tjänsten distribuerar inte resurserna direkt.

Skisstilldelningsobjektet skapas

En användare, grupp eller tjänstens huvudnamn tilldelar en skiss till en prenumeration. Tilldelningsobjektet finns på prenumerationsnivå där skissen tilldelades. Resurser som skapats av distributionen görs inte i samband med den distribuerande entiteten.

När du skapar skisstilldelningen väljs typen av hanterad identitet . Standardvärdet är en systemtilldelad hanterad identitet. Du kan välja en användartilldelad hanterad identitet. När du använder en användartilldelad hanterad identitet måste den definieras och beviljas behörigheter innan skisstilldelningen skapas. Både de inbyggda rollerna Ägare och Skissoperator har nödvändig blueprintAssignment/write behörighet för att skapa en tilldelning som använder en användartilldelad hanterad identitet.

Valfritt – Azure Blueprints skapar systemtilldelad hanterad identitet

När systemtilldelad hanterad identitet väljs under tilldelningen skapar Azure Blueprint identiteten och ger den hanterade identiteten ägarrollen . Om en befintlig tilldelning uppgraderas använder Azure Blueprints den tidigare skapade hanterade identiteten.

Den hanterade identiteten som är relaterad till skisstilldelningen används för att distribuera eller distribuera om de resurser som definieras i skissen. Den här designen undviker att tilldelningar oavsiktligt stör varandra. Den här designen stöder även resurslåsningsfunktionen genom att kontrollera säkerheten för varje distribuerad resurs från skissen.

Den hanterade identiteten distribuerar skissartefakter

Den hanterade identiteten utlöser sedan Resource Manager distributioner av artefakterna i skissen i den definierade sekvenseringsordningen. Ordningen kan justeras för att säkerställa att artefakter som är beroende av andra artefakter distribueras i rätt ordning.

Ett åtkomstfel vid en distribution är ofta resultatet av åtkomstnivån för den hanterade identiteten. Azure Blueprints-tjänsten hanterar säkerhetslivscykeln för den systemtilldelade hanterade identiteten. Användaren ansvarar dock för att hantera rättigheter och livscykeln för en användartilldelad hanterad identitet.

Skisstjänsten och systemtilldelade hanterade identitetsrättigheter återkallas

När distributionerna har slutförts återkallar Azure Blueprints rättigheterna för den systemtilldelade hanterade identiteten från prenumerationen. Sedan återkallar Azure Blueprints-tjänsten sina rättigheter från prenumerationen. Borttagning av rättigheter förhindrar att Azure Blueprints blir en permanent ägare för en prenumeration.

Nästa steg