Sdílet prostřednictvím


Správa přístupu k prostředkům ve službě Azure Stack Hub pomocí řízení přístupu na základě role

Azure Stack Hub podporuje řízení přístupu na základě role (RBAC), což je stejný model zabezpečení pro správu přístupu , který používá Microsoft Azure. RBAC můžete použít ke správě přístupu uživatelů, skupin nebo aplikací k předplatným, prostředkům a službám.

Základy správy přístupu

Řízení přístupu na základě role (RBAC) poskytuje jemně odstupňované řízení přístupu, které můžete použít k zabezpečení vašeho prostředí. Přiřazením role RBAC v určitém rozsahu udělíte uživatelům přesná oprávnění, která potřebují. Oborem přiřazení role může být předplatné, skupina prostředků nebo jeden prostředek. Podrobnější informace o správě přístupu najdete v Access Control na základě rolí v článku Azure Portal.

Poznámka

Při nasazení služby Azure Stack Hub s využitím Active Directory Federation Services (AD FS) jako zprostředkovatele identity se pro scénáře RBAC podporují pouze univerzální Skupiny.

Vestavěné role

Azure Stack Hub má tři základní role, které můžete použít pro všechny typy prostředků:

  • Vlastník: Uděluje úplný přístup ke správě všech prostředků, včetně možnosti přiřazovat role ve službě Azure Stack RBAC.
  • Přispěvatel: Uděluje úplný přístup ke správě všech prostředků, ale neumožňuje přiřazovat role ve službě Azure Stack RBAC.
  • Čtenář: může zobrazit všechno, ale nemůže provádět žádné změny.

Hierarchie prostředků a dědičnost

Azure Stack Hub má následující hierarchii prostředků:

  • Každé předplatné patří do jednoho adresáře.
  • Každá skupina prostředků patří do jednoho předplatného.
  • Každý prostředek patří do jedné skupiny prostředků.

Přístup, který udělíte v nadřazených oborech, se dědí v podřízených oborech. Příklad:

  • Roli Čtenář přiřadíte skupině Microsoft Entra v oboru předplatného. Členové této skupiny můžou zobrazit všechny skupiny prostředků a prostředky v předplatném.
  • Roli Přispěvatel přiřadíte aplikaci v oboru skupiny prostředků. Aplikace může spravovat prostředky všech typů v této skupině prostředků, ale ne jiné skupiny prostředků v předplatném.

Přiřazování rolí

Uživateli můžete přiřadit více rolí a každou roli lze přidružit k jinému oboru. Příklad:

  • Roli čtenáře TestUser-A přiřadíte k předplatnému 1.
  • Roli Vlastníka přiřadíte TestUser-A k virtuálnímu počítači TestVM-1.

Článek o přiřazení rolí Azure obsahuje podrobné informace o zobrazení, přiřazování a odstraňování rolí.

Nastavení přístupových oprávnění pro uživatele

Následující kroky popisují, jak nakonfigurovat oprávnění pro uživatele.

  1. Přihlaste se pomocí účtu, který má oprávnění vlastníka k prostředku, který chcete spravovat.

  2. V levém navigačním podokně zvolte Skupiny prostředků.

  3. Zvolte název skupiny prostředků, pro kterou chcete nastavit oprávnění.

  4. V navigačním podokně skupiny prostředků zvolte Řízení přístupu (IAM).
    Zobrazení Přiřazení rolí obsahuje seznam položek, které mají přístup ke skupině prostředků. Výsledky můžete filtrovat a seskupit.

  5. Na řádku nabídek Řízení přístupu zvolte Přidat.

  6. V podokně Přidat oprávnění :

    • V rozevíracím seznamu Role zvolte roli, kterou chcete přiřadit.
    • V rozevíracím seznamu Přiřadit přístup k vyberte prostředek, který chcete přiřadit.
    • V adresáři vyberte uživatele, skupinu nebo aplikaci, kterým chcete udělit přístup. V adresáři můžete vyhledávat pomocí zobrazovaných názvů, e-mailových adres a identifikátorů objektů.
  7. Vyberte Uložit.

Další kroky

Vytvoření instančních objektů