Správa přístupu k prostředkům v centru Azure Stack s řízením přístupu na základě roleManage access to resources in Azure Stack Hub with role-based access control

Centrum Azure Stack podporuje řízení přístupu na základě role (RBAC), což je stejný model zabezpečení pro správu přístupu , který Microsoft Azure používá.Azure Stack Hub supports role-based access control (RBAC), the same security model for access management that Microsoft Azure uses. RBAC můžete použít ke správě uživatelů, skupin nebo přístupu aplikací k předplatným, prostředkům a službám.You can use RBAC to manage user, group, or app access to subscriptions, resources, and services.

Základy správy přístupuBasics of access management

Řízení přístupu na základě role (RBAC) poskytuje jemně odstupňované řízení přístupu, které můžete použít k zabezpečení svého prostředí.Role-based access control (RBAC) provides fine-grained access control that you can use to secure your environment. Uživatelům dáte přesná oprávnění, která potřebují, přiřazením role RBAC v určitém oboru.You give users the exact permissions they need by assigning an RBAC role at a certain scope. Oborem přiřazení role může být předplatné, skupina prostředků nebo jeden prostředek.The scope of the role assignment can be a subscription, a resource group, or a single resource. Podrobnější informace o správě přístupu najdete v tématu Access Control na základě rolí v článku Azure Portal .For more detailed information about access management, see the Role-Based Access Control in the Azure portal article.

Poznámka

Když se Azure Stack centrum nasazuje pomocí Active Directory Federation Services (AD FS) jako poskytovatel identity, pro scénáře RBAC se podporují jenom univerzální skupiny.When Azure Stack Hub is deployed using Active Directory Federation Services as the identity provider, only Universal Groups are supported for RBAC scenarios.

Vestavěné roleBuilt-in roles

Centrum Azure Stack má tři základní role, které se dají použít pro všechny typy prostředků:Azure Stack Hub has three basic roles that you can apply to all resource types:

  • Vlastník: může spravovat všechno, včetně přístupu k prostředkům.Owner: can manage everything, including access to resources.
  • Přispěvatel: může spravovat všechno, s výjimkou přístupu k prostředkům.Contributor: can manage everything, except access to resources.
  • Čtecí modul: může zobrazit vše, ale nemůže provádět žádné změny.Reader: can view everything, but can't make any changes.

Hierarchie a dědičnost prostředkůResource hierarchy and inheritance

Centrum Azure Stack má následující hierarchii prostředků:Azure Stack Hub has the following resource hierarchy:

  • Každé předplatné patří do jednoho adresáře.Each subscription belongs to one directory.
  • Každá skupina prostředků patří k jednomu předplatnému.Each resource group belongs to one subscription.
  • Každý prostředek patří do jedné skupiny prostředků.Each resource belongs to one resource group.

Přístup, který udělíte v nadřazeném oboru, je zděděný v podřízených oborech.Access that you grant at a parent scope is inherited at child scopes. Příklad:For example:

  • Roli Čtenář přiřadíte ke skupině Azure AD v oboru předplatného.You assign the Reader role to an Azure AD group at the subscription scope. Členové této skupiny mohou zobrazit všechny skupiny prostředků a prostředky v rámci předplatného.The members of that group can view every resource group and resource in the subscription.
  • Roli Přispěvatel přiřadíte aplikaci v oboru skupiny prostředků.You assign the Contributor role to an app at the resource group scope. Aplikace může spravovat prostředky všech typů v této skupině prostředků, ale ne jiné skupiny prostředků v rámci předplatného.The app can manage resources of all types in that resource group, but not other resource groups in the subscription.

Přiřazování rolíAssigning roles

Uživateli můžete přiřadit více než jednu roli a Každá role může být přidružená k jinému oboru.You can assign more than one role to a user and each role can be associated with a different scope. Příklad:For example:

  • Přiřadíte TestUser-A roli Čtenář k předplatnému-1.You assign TestUser-A the Reader role to Subscription-1.
  • Přiřadíte hodnotu TestUser-A vlastníkem role TestVM-1.You assign TestUser-A the Owner role to TestVM-1.

Článek přiřazení rolí Azure poskytuje podrobné informace o zobrazení, přiřazení a odstraňování rolí.The Azure role assignments article provides detailed information about viewing, assigning, and deleting roles.

Nastavení přístupových oprávnění pro uživateleSet access permissions for a user

Následující postup popisuje, jak nakonfigurovat oprávnění pro uživatele.The following steps describe how to configure permissions for a user.

  1. Přihlaste se pomocí účtu, který má oprávnění vlastníka k prostředku, který chcete spravovat.Sign in with an account that has owner permissions to the resource you want to manage.

  2. V levém navigačním podokně zvolte Skupiny prostředků.In the left navigation pane, choose Resource groups.

  3. Vyberte název skupiny prostředků, pro kterou chcete nastavit oprávnění.Choose the name of the resource group that you want to set permissions on.

  4. V navigačním podokně skupiny prostředků vyberte řízení přístupu (IAM).In the resource group navigation pane, choose Access control (IAM).
    Zobrazení přiřazení rolí obsahuje seznam položek, které mají přístup ke skupině prostředků.The Role Assignments view lists the items that have access to the resource group. Výsledky můžete filtrovat a seskupovat.You can filter and group the results.

  5. Na řádku nabídek řízení přístupu vyberte Přidat.On the Access control menu bar, choose Add.

  6. V podokně Přidat oprávnění :On Add permissions pane:

    • Z rozevíracího seznamu role vyberte roli, kterou chcete přiřadit.Choose the role you want to assign from the Role drop-down list.
    • V rozevíracím seznamu přiřadit přístup k vyberte prostředek, který chcete přiřadit.Choose the resource you want to assign from the Assign access to drop-down list.
    • V adresáři vyberte uživatele, skupinu nebo aplikaci, ke kterým chcete udělit přístup.Select the user, group, or app in your directory that you wish to grant access to. V adresáři můžete vyhledávat pomocí zobrazovaných názvů, e-mailových adres a identifikátorů objektů.You can search the directory with display names, email addresses, and object identifiers.
  7. Vyberte Uložit.Select Save.

Další krokyNext steps

Vytvoření instančních objektůCreate service principals