Azure Automation Runbook 使用 IMDS实例元数据服务地址来获取托管标识 Token一、概述本文目的说明二、步骤1、创建自动化账户2、创建Runbook(1) 普通环境-脚本参考(2) 沙盒环境-脚本参考(3) 通用脚本3、运行三、拓展内容使用 Power Automate获取Access Token1、添加Webhook2、Runbook脚本参考3、Flow参考一、概述本文目的使用Azure Automation Runbook 安全、自动地获取 Token然后调用任何授权范围内的 Azure 资源形成一个完整的自动化闭环。说明任何支持 Microsoft Entra ID原 Azure AD认证的 Azure 服务都可以使用 Access Token 来调用。在自动化脚本或后台服务这类没有用户交互的场景中使用托管标识与 Access Token 被认为是 “最佳实践”。优势1、无须在代码、配置文件中存储或定期轮换密钥。2、消除了密钥泄露的风险。Access Token 是短期有效的权限也是事先通过 RBAC 精确授予的。二、步骤1、创建自动化账户在Azure门户中搜索自动化账户然后创建自动化账户。选择资源组输入名称然后审阅并创建就行了2、创建Runbook填好后审阅并创建 ↓输入代码保存然后发布如果要修改代码参考下图选择在门户中编辑 ↓(1) 普通环境-脚本参考# 标准 IMDS 地址 $endpoint http://169.254.169.254/metadata/identity/oauth2/token $resource https://ai.azure.com # 构造 URL $Url $endpoint ?resource $resource api-version2018-02-01 # 获取 Token标准环境用 Metadatatrue不需要额外 header $response Invoke-RestMethod -Method Get -Uri $Url -Headers {Metadatatrue} -TimeoutSec 30 -ErrorAction Stop Write-Output ✅ 成功获取 Token Write-Output $response.access_token(2) 沙盒环境-脚本参考Azure Automation 的 Runbook 运行在受限的沙盒环境中微软对 IMDS 端点做了封装需要用 localhost 加自定义 header。# 定义所有变量 $endpoint http://localhost/metadata/identity/oauth2/token $header MSIHeaderValue $resource https://ai.azure.com # 构造 URL $Url $endpoint ?resource $resource api-version2019-08-01 # 获取 Token $response Invoke-RestMethod -Method Get -Uri $Url -Headers {X-IDENTITY-HEADER $header} -TimeoutSec 30 -ErrorAction Stop Write-Output ✅ 成功获取 Token Write-Output $response.access_token(3) 通用脚本两个环境都能跑的代码沙盒环境已测试无误$resource https://ai.azure.com # 检测环境并使用正确的 endpoint 和 header if ($env:IDENTITY_ENDPOINT) { # 沙盒环境Automation Runbook $endpoint $env:IDENTITY_ENDPOINT $headers {X-IDENTITY-HEADER $env:IDENTITY_HEADER} Write-Output 检测到沙盒环境 } else { # 普通环境VM / Function / App Service $endpoint http://169.254.169.254/metadata/identity/oauth2/token $headers {Metadata true} Write-Output 检测到普通环境 } # 构造 URL 并获取 Token $Url $endpoint ?resource $resource api-version2019-08-01 $response Invoke-RestMethod -Method Get -Uri $Url -Headers $headers -TimeoutSec 30 Write-Output ✅ 成功获取 Token Write-Output $response.access_token参考文章1、在不使用 Azure cmdlet 的情况下生成访问令牌(在自动化 Runbook 的沙盒环境中必须使用环境变量 $env:IDENTITY_ENDPOINT 和 $env:IDENTITY_HEADER)2、用 HTTP 获取令牌(标准环境下的做法使用固定的 IMDS 地址 169.254.169.254 和 Metadata: true 头)3、运行可以看到输出和日志记录启动运行有点慢要等一会儿三、拓展内容使用 Power Automate获取Access Token流程说明1、先创建一个Http触发的即时流拿到Flow的调用链接。2、通过Runbook写脚本先获取Access Token然后调用http将token传给Power Automate的Flow。3、为Runbook创建一个 Webhook保存Webhook链接。4、在Power Automate中创建一个定时Flow定时运行调用Azure Automation Webhook链接整个过程定时Flow调用Webhook —— Webhook启动 Runbook生成Token ——调用Http触发的Flow传递Token1、添加Webhook选择配置参数并运行然后点Update按钮之后下面的创建按钮才能点击另外记得要保存链接创建完就消失了。2、Runbook脚本参考记得替换代码里的Power Automate的Link# 获取 Token $endpoint http://localhost/metadata/identity/oauth2/token $header MSIHeaderValue $resource https://ai.azure.com $url $endpoint ?resource $resource api-version2019-08-01 $response Invoke-RestMethod -Method Get -Uri $url -Headers {X-IDENTITY-HEADER $header} -TimeoutSec 30 $accessToken $response.access_token # 计算剩余秒数 $expiresInSeconds 86400 # 默认24小时 if ($response.expires_on) { $expiresInSeconds $response.expires_on - [int64]((Get-Date).ToUniversalTime() - (Get-Date 1970-01-01)).TotalSeconds } if ($response.expires_in) { $expiresInSeconds $response.expires_in } # 过期时间北京时间 $expiresAt (Get-Date).AddSeconds($expiresInSeconds).AddHours(8).ToString(yyyy-MM-dd HH:mm:ss) Write-Output resource: $resource Write-Output token 前缀: $($accessToken.Substring(0, 50))... Write-Output expiresAt: $expiresAt Write-Output expiresInSeconds: $expiresInSeconds # 发送到 Power Automate $powerAutomateUrl https://default3670e84658dd465886fb00e4029045.d6.environment.api.powerplatform.com:443/powerautomate/automations/direct/workflows/1d56556b0eb54970b5e4aa51eca915ea/triggers/manual/paths/invoke?api-version1sp%2Ftriggers%2Fmanual%2Frunsv1.0sigdDb-byafrIPQE9mafGkAYohXjmLrbJewIHqY_v8n5vY $body { resource $resource token $accessToken expiresAt $expiresAt expiresInSeconds $expiresInSeconds } | ConvertTo-Json Write-Output 发送的 JSON: $bodyJson Invoke-RestMethod -Method Post -Uri $powerAutomateUrl -Body $body -ContentType application/json Write-Output ✅ 发送成功3、Flow参考1 Http触发的Flow请求正文JSON架构{ type: object, properties: { resource: { type: string }, token: { type: string }, expiresAt: { type: string }, expiresInSeconds: { type: [ number, integer ] } } }2定时流调用Webhook的节点欢迎关注我的博客,与我一起学习,我将持续分享我的学习过程,我是 热爱学习的小翁同学~
Azure Automation Runbook 获取托管标识的访问令牌(Access Token)
发布时间:2026/6/10 4:12:19
Azure Automation Runbook 使用 IMDS实例元数据服务地址来获取托管标识 Token一、概述本文目的说明二、步骤1、创建自动化账户2、创建Runbook(1) 普通环境-脚本参考(2) 沙盒环境-脚本参考(3) 通用脚本3、运行三、拓展内容使用 Power Automate获取Access Token1、添加Webhook2、Runbook脚本参考3、Flow参考一、概述本文目的使用Azure Automation Runbook 安全、自动地获取 Token然后调用任何授权范围内的 Azure 资源形成一个完整的自动化闭环。说明任何支持 Microsoft Entra ID原 Azure AD认证的 Azure 服务都可以使用 Access Token 来调用。在自动化脚本或后台服务这类没有用户交互的场景中使用托管标识与 Access Token 被认为是 “最佳实践”。优势1、无须在代码、配置文件中存储或定期轮换密钥。2、消除了密钥泄露的风险。Access Token 是短期有效的权限也是事先通过 RBAC 精确授予的。二、步骤1、创建自动化账户在Azure门户中搜索自动化账户然后创建自动化账户。选择资源组输入名称然后审阅并创建就行了2、创建Runbook填好后审阅并创建 ↓输入代码保存然后发布如果要修改代码参考下图选择在门户中编辑 ↓(1) 普通环境-脚本参考# 标准 IMDS 地址 $endpoint http://169.254.169.254/metadata/identity/oauth2/token $resource https://ai.azure.com # 构造 URL $Url $endpoint ?resource $resource api-version2018-02-01 # 获取 Token标准环境用 Metadatatrue不需要额外 header $response Invoke-RestMethod -Method Get -Uri $Url -Headers {Metadatatrue} -TimeoutSec 30 -ErrorAction Stop Write-Output ✅ 成功获取 Token Write-Output $response.access_token(2) 沙盒环境-脚本参考Azure Automation 的 Runbook 运行在受限的沙盒环境中微软对 IMDS 端点做了封装需要用 localhost 加自定义 header。# 定义所有变量 $endpoint http://localhost/metadata/identity/oauth2/token $header MSIHeaderValue $resource https://ai.azure.com # 构造 URL $Url $endpoint ?resource $resource api-version2019-08-01 # 获取 Token $response Invoke-RestMethod -Method Get -Uri $Url -Headers {X-IDENTITY-HEADER $header} -TimeoutSec 30 -ErrorAction Stop Write-Output ✅ 成功获取 Token Write-Output $response.access_token(3) 通用脚本两个环境都能跑的代码沙盒环境已测试无误$resource https://ai.azure.com # 检测环境并使用正确的 endpoint 和 header if ($env:IDENTITY_ENDPOINT) { # 沙盒环境Automation Runbook $endpoint $env:IDENTITY_ENDPOINT $headers {X-IDENTITY-HEADER $env:IDENTITY_HEADER} Write-Output 检测到沙盒环境 } else { # 普通环境VM / Function / App Service $endpoint http://169.254.169.254/metadata/identity/oauth2/token $headers {Metadata true} Write-Output 检测到普通环境 } # 构造 URL 并获取 Token $Url $endpoint ?resource $resource api-version2019-08-01 $response Invoke-RestMethod -Method Get -Uri $Url -Headers $headers -TimeoutSec 30 Write-Output ✅ 成功获取 Token Write-Output $response.access_token参考文章1、在不使用 Azure cmdlet 的情况下生成访问令牌(在自动化 Runbook 的沙盒环境中必须使用环境变量 $env:IDENTITY_ENDPOINT 和 $env:IDENTITY_HEADER)2、用 HTTP 获取令牌(标准环境下的做法使用固定的 IMDS 地址 169.254.169.254 和 Metadata: true 头)3、运行可以看到输出和日志记录启动运行有点慢要等一会儿三、拓展内容使用 Power Automate获取Access Token流程说明1、先创建一个Http触发的即时流拿到Flow的调用链接。2、通过Runbook写脚本先获取Access Token然后调用http将token传给Power Automate的Flow。3、为Runbook创建一个 Webhook保存Webhook链接。4、在Power Automate中创建一个定时Flow定时运行调用Azure Automation Webhook链接整个过程定时Flow调用Webhook —— Webhook启动 Runbook生成Token ——调用Http触发的Flow传递Token1、添加Webhook选择配置参数并运行然后点Update按钮之后下面的创建按钮才能点击另外记得要保存链接创建完就消失了。2、Runbook脚本参考记得替换代码里的Power Automate的Link# 获取 Token $endpoint http://localhost/metadata/identity/oauth2/token $header MSIHeaderValue $resource https://ai.azure.com $url $endpoint ?resource $resource api-version2019-08-01 $response Invoke-RestMethod -Method Get -Uri $url -Headers {X-IDENTITY-HEADER $header} -TimeoutSec 30 $accessToken $response.access_token # 计算剩余秒数 $expiresInSeconds 86400 # 默认24小时 if ($response.expires_on) { $expiresInSeconds $response.expires_on - [int64]((Get-Date).ToUniversalTime() - (Get-Date 1970-01-01)).TotalSeconds } if ($response.expires_in) { $expiresInSeconds $response.expires_in } # 过期时间北京时间 $expiresAt (Get-Date).AddSeconds($expiresInSeconds).AddHours(8).ToString(yyyy-MM-dd HH:mm:ss) Write-Output resource: $resource Write-Output token 前缀: $($accessToken.Substring(0, 50))... Write-Output expiresAt: $expiresAt Write-Output expiresInSeconds: $expiresInSeconds # 发送到 Power Automate $powerAutomateUrl https://default3670e84658dd465886fb00e4029045.d6.environment.api.powerplatform.com:443/powerautomate/automations/direct/workflows/1d56556b0eb54970b5e4aa51eca915ea/triggers/manual/paths/invoke?api-version1sp%2Ftriggers%2Fmanual%2Frunsv1.0sigdDb-byafrIPQE9mafGkAYohXjmLrbJewIHqY_v8n5vY $body { resource $resource token $accessToken expiresAt $expiresAt expiresInSeconds $expiresInSeconds } | ConvertTo-Json Write-Output 发送的 JSON: $bodyJson Invoke-RestMethod -Method Post -Uri $powerAutomateUrl -Body $body -ContentType application/json Write-Output ✅ 发送成功3、Flow参考1 Http触发的Flow请求正文JSON架构{ type: object, properties: { resource: { type: string }, token: { type: string }, expiresAt: { type: string }, expiresInSeconds: { type: [ number, integer ] } } }2定时流调用Webhook的节点欢迎关注我的博客,与我一起学习,我将持续分享我的学习过程,我是 热爱学习的小翁同学~
相关文章
用gwosc查询引力波数据
文章目录GWOSC引力波探测器简介总结GWOSC GWOSC(Gravitational-Wave Open Science Center)即引力波开源科学中心,是 LIGO-Virgo-KAGRA (LVK) 合作组官方维护的引力波数据公开平台,提供校准后的应变数据、事件参数、数据质量标记及配套工具。GWOSC提供了…
哪些贴片器件(SMD)可以采用波峰焊接工艺
控制器可制造性设计(DFM)规则中: 波峰焊接的贴片器件:大于等于0603封装;引脚焊盘为外露可见的SOT器件;器件的高度≤4.0mm; 核心目的是在兼容现有波峰焊设备能力的前提下,避免焊接缺陷…
东航逆向实录:refer__1036、req/res、ssxmod_itna/itna2 一锅端
文章目录 声明 0. 前言 1. 先从现场下手:网络面到底长什么样 2. 协议入口定位:别追业务页面,先追统一封装器 3. req到底怎么生成:公式已经可以写死 3.1 transactionId 生成公式 3.2 明文业务包并不是页面原始参数 3.3 IV 也已经不是谜语 4. res怎么解:其实和 req 是同一把…
深入C906 MMU页表项:除了R/W/X,Dirty、Accessed、Global这些属性位在Linux里到底怎么用?
深入解析C906 MMU页表扩展属性:从硬件行为到Linux内核实现在RISC-V架构的嵌入式开发中,全志D1搭载的C906处理器以其独特的MMU设计引起了开发者社区的广泛关注。当工程师们翻阅C906用户手册时,往往会发现页表项中除了常见的R/W/X权限位外&…
别再为ggplot2分面图y轴范围发愁了!手把手教你用geom_blank()精准控制每个面板
精准掌控ggplot2分面图y轴范围的三大高阶技巧当你第一次在学术报告中看到那些优雅的分面图时,可能不会想到背后隐藏着一个常见痛点——不同分面的y轴范围自动适配问题。想象这样一个场景:你的实验数据包含三组样本,A组数值集中在0-10…
Xmanager连接Linux桌面黑屏?别慌!从检查gdm状态到配置sshd_config的完整排错指南
Xmanager连接Linux桌面黑屏问题全解析:从诊断到修复的完整方案当你满怀期待地通过Xmanager连接远程Linux桌面,却只看到一片漆黑时,那种挫败感可想而知。这不是简单的连接问题,而是涉及Linux图形子系统、SSH配置、防火墙规则等多层…
LPC55S0x/LPC550x微控制器核心外设实战:GPIO中断、通信接口与安全特性深度解析
1. 项目概述:从芯片手册到实战指南拿到一份动辄上百页的微控制器数据手册,面对密密麻麻的寄存器描述和功能列表,很多嵌入式开发者都会感到无从下手。手册告诉你芯片“能做什么”,但很少告诉你“为什么要这么做”以及“具体怎么做”…
保姆级教程:在Win11上搞定S3C6400开发板的DNW驱动安装与文件传输
Win11系统下S3C6400开发板驱动安装全攻略:从数字签名破解到文件传输实战第一次接触S3C6400开发板时,我对着Windows 11系统里那个顽固的"SEC S3C6400X Test B/D"黄色感叹号整整折腾了两天。每次看到"Windows无法验证此驱动程序软件的发布者…
CANopen主站心跳检测实战:手把手教你用STM32F4监控节点在线状态(附代码)
CANopen主站心跳检测实战:STM32F4节点状态监控全解析工业控制系统中,设备间的可靠通信是确保生产线稳定运行的关键。想象一下,当你在调试一台六轴机械臂时,某个伺服驱动器突然离线却未被及时发现,可能导致整条产线停机…
NomNom存档编辑器架构解析:跨平台游戏数据管理技术实现深度剖析
NomNom存档编辑器架构解析:跨平台游戏数据管理技术实现深度剖析 【免费下载链接】NomNom NomNom is the most complete savegame editor for NMS but also shows additional information around the data youre about to change. You can also easily look up each …
从导航软件到游戏寻路:用C++手把手实现Dijkstra最短路径算法(附完整代码)
从导航软件到游戏寻路:用C手把手实现Dijkstra最短路径算法每次打开手机地图导航,或是操控游戏角色穿越复杂地形时,背后都藏着一个数学魔法——最短路径算法。Dijkstra算法作为图论中的经典解决方案,从1956年诞生至今,已…
告别B站收藏夹吃灰:用BiliTools让每一秒学习都物超所值
告别B站收藏夹吃灰:用BiliTools让每一秒学习都物超所值 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …
LED驱动技术全解析:从核心架构到实战选型与避坑指南
1. 从一颗灯珠到千亿市场:LED驱动的技术演进与商业逻辑十几年前,当我第一次从料盘上拿起一颗0603封装的白色LED时,它微弱的光晕和高达几块钱的单颗成本,让我很难想象今天它几乎照亮了我们生活的每一个角落。从手机屏幕的一抹背光&…
索引堆及其优化
索引堆及其优化 引言 索引堆是一种数据结构,广泛应用于计算机科学和软件工程领域。它主要用于解决优先队列问题,如最小堆和最大堆。本文将详细介绍索引堆的概念、实现方法以及优化策略。 索引堆的定义 索引堆是一种基于堆数据结构的索引机制。它通过维护一个堆来存储数据…
从零到日增237精准粉丝,我靠CSDN这张AI卡片爆了!手把手复刻全流程,含配置避坑清单
更多请点击: https://intelliparadigm.com 第一章:CSDN AI 数字营销的官方引流卡片是什么功能? CSDN AI 数字营销平台推出的「官方引流卡片」,是一种面向技术创作者的轻量级、可嵌入式内容分发组件,专为提升博文、教程…
Zotero Duplicates Merger:5步彻底清理文献库重复条目
Zotero Duplicates Merger:5步彻底清理文献库重复条目 【免费下载链接】ZoteroDuplicatesMerger A zotero plugin to automatically merge duplicate items 项目地址: https://gitcode.com/gh_mirrors/zo/ZoteroDuplicatesMerger 还在为文献库中堆积如山的重…
利用随机有限集理论对蜂群的ILQR和MPC控制研究附Matlab代码
✅作者简介:热爱科研的Matlab仿真开发者,擅长数据处理、建模仿真、程序设计、完整代码获取、论文复现及科研仿真。🍎 往期回顾关注个人主页:Matlab科研工作室🍊个人信条:格物致知,完整Matlab代码及仿真咨询…
为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因
更多请点击: https://intelliparadigm.com 第一章:为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因 Gemini邮件的客户转化效率(CTE)显著偏低,根本原因常被误判为…