Prostředky, role a řízení přístupu v Application Insights
Pomocí řízení přístupu založeného na rolích Azure (Azure RBAC)můžete řídit, kdo má ke svým datům přístup pro čtení a aktualizace dat v Azure Application Insights.
Důležité
Přiřaďte přístup uživatelům ve skupině prostředků nebo předplatném , ke kterému patří váš prostředek aplikace – ne do samotného prostředku. Přiřaďte roli Přispěvatel komponent Application Insights . Tím se zajistí jednotné řízení přístupu k webovým testům a výstrahám spolu s vaším prostředkem aplikace. Další informace.
Poznámka
Tento článek používá modul Azure Az PowerShell, což je doporučený modul PowerShellu pro interakci s Azure. Pokud chcete začít s modulem Az PowerShell, projděte si téma věnované instalaci Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.
Prostředky, skupiny a předplatná
Nejprve některé definice:
Prostředek – instance Microsoft Azure služby. Váš Application Insights prostředek shromažďuje, analyzuje a zobrazuje data telemetrie odesílaná z vaší aplikace. Mezi další typy prostředků Azure patří webové aplikace, databáze a virtuální počítače.
Pokud chcete zobrazit prostředky, otevřete Azure Portal, přihlaste se a klikněte na všechny prostředky. Chcete-li najít prostředek, zadejte část názvu do pole Filtr.
Skupina prostředků – každý prostředek patří do jedné skupiny. Skupina je pohodlný způsob, jak spravovat související prostředky, zejména pro řízení přístupu. Do jedné skupiny prostředků můžete například vložit webovou aplikaci, prostředek Application Insights pro monitorování aplikace a prostředek úložiště pro zachování exportovaných dat.
Předplatné – Pokud chcete používat Application Insights nebo jiné prostředky Azure, přihlásíte se k předplatnému Azure. Každá skupina prostředků patří k jednomu předplatnému Azure, kde si zvolíte svůj cenový balíček, a pokud se jedná o předplatné organizace, vyberte členy a jejich přístupová oprávnění.
Účet Microsoft – uživatelské jméno a heslo, které používáte k přihlášení k předplatným Microsoft Azure, Xbox Live, Outlook.com a dalším službám Microsoftu.
Řízení přístupu ve skupině prostředků
Je důležité pochopit, že kromě prostředku, který jste vytvořili pro vaši aplikaci, existují také samostatné skryté prostředky pro výstrahy a webové testy. Jsou připojené ke stejné skupině prostředků jako prostředek Application Insights. Do této služby můžete také umístit další služby Azure, jako jsou weby nebo úložiště.
Poskytnutí přístupu jinému uživateli
Musíte mít práva vlastníka k předplatnému nebo skupině prostředků.
Uživatel musí mít účet Microsoftnebo mít přístup ke svému organizačnímu účtu Microsoft. Můžete poskytnout přístup jednotlivcům a také skupinám uživatelů definovaným v Azure Active Directory.
Přejděte do skupiny prostředků nebo přímo k samotnému prostředku.
V nabídce na levé straně vyberte řízení přístupu (IAM) .
Vyberte Přidat přiřazení role .
Zobrazení Přidat oprávnění níže je primárně specifické pro Application Insights prostředky. Pokud jste si prohlíželi oprávnění k řízení přístupu z vyšší úrovně, jako jsou skupiny prostředků, měli byste vidět další role orientované na jiné než Application Insights.
Pokud chcete zobrazit informace o všech předdefinovaných rolích řízení přístupu na základě role Azure, použijte oficiální referenční obsah.
Vybrat roli
Tam, kde je to vhodné, odkazujeme na přidruženou oficiální referenční dokumentaci.
| Role | Ve skupině prostředků |
|---|---|
| Vlastník | Může měnit cokoli, včetně přístupu uživatelů. |
| Přispěvatel | Může upravovat cokoli, včetně všech prostředků. |
| Přispěvatel Application Insights komponent | Může upravit prostředky Application Insights. |
| Čtenář | Může zobrazovat, ale ne měnit. |
| Application Insights Snapshot Debugger | Udělí uživateli oprávnění použít Application Insights Snapshot Debugger funkce. Všimněte si, že tato role je zahrnutá ani v rolích vlastníka ani Přispěvatel. |
| Přispěvatel Release Management nasazení služby Azure | Role Přispěvatel pro služby nasazování prostřednictvím Azure Service Deploy. |
| Nástroj pro vyprázdnění dat | Speciální role pro vyprazdňování osobních údajů Další informace najdete v našich pokynech k osobním datům . |
| Správce ExpressRoute | Může vytvořit odstranění a spravovat expresní trasy. |
| Přispěvatel Log Analytics | Přispěvatel Log Analytics může číst všechna data monitorování a upravovat nastavení monitorování. Úprava nastavení monitorování zahrnuje přidání rozšíření virtuálního počítače do virtuálních počítačů. čtení klíčů účtu úložiště, aby bylo možné konfigurovat shromažďování protokolů z Azure Storage; vytváření a konfigurace účtů služby Automation; přidávání řešení; a konfigurují se diagnostiky Azure na všech prostředcích Azure. |
| Čtenář Log Analytics | Log Analytics čtenář může zobrazit a vyhledat všechna data monitorování a také zobrazit nastavení monitorování, včetně zobrazení konfigurace diagnostiky Azure na všech prostředcích Azure. |
| masterreader | Umožňuje uživateli zobrazit vše, ale nemůže provádět změny. |
| Přispěvatel monitorování | Může číst všechna data monitorování a aktualizovat nastavení monitorování. |
| Monitorování vydavatele metrik | Povoluje publikování metrik pro prostředky Azure. |
| Čtečka monitorování | Může číst všechna data monitorování. |
| Přispěvatel zásad prostředků (Preview) | Uživatelé z EA, s právy k vytváření a úpravám zásad prostředků, vytvářejí lístek podpory a čtou prostředek/hierarchii. |
| Správce uživatelského přístupu | Umožňuje uživateli spravovat přístup k prostředkům Azure ostatním uživatelům. |
| Přispěvatel webu | Umožňuje spravovat weby (nikoli webové plány), ale ne přístup k nim. |
Úpravy obsahují vytváření, odstraňování a aktualizace:
- Zdroje informací
- Webové testy
- Výstrahy
- Průběžný export
Vybrat uživatele
Pokud požadovaný uživatel v adresáři není, můžete pozvat kohokoli s účet Microsoft. (Pokud používají služby, jako jsou Outlook.com, OneDrive, Windows Phone nebo XBox Live, mají účet Microsoft.)
Související obsah
Dotaz PowerShellu k určení členství v rolích
Vzhledem k tomu, že některé role mohou být propojeny s oznámeními a e-mailovými výstrahami, může být užitečné, aby bylo možné vygenerovat seznam uživatelů, kteří patří k dané roli. Abychom vám pomohli vygenerovat tyto typy seznamů, nabízíme následující ukázkové dotazy, které je možné upravit podle konkrétních potřeb:
Dotazování na celé předplatné pro role správců a role přispěvatele
(Get-AzRoleAssignment -IncludeClassicAdministrators | Where-Object {$_.RoleDefinitionName -in @('ServiceAdministrator', 'CoAdministrator', 'Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Dotaz v kontextu konkrétního Application Insights prostředku pro vlastníky a přispěvatele
$resourceGroup = "RGNAME"
$resourceName = "AppInsightsName"
$resourceType = "microsoft.insights/components"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup -ResourceType $resourceType -ResourceName $resourceName | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Dotaz v kontextu konkrétní skupiny prostředků pro vlastníky a přispěvatele
$resourceGroup = "RGNAME"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "