Verwenden sie rollenbasierte Access Control zum Verwalten von Azure Stack HCI-Virtual Machines
Gilt für: Azure Stack HCI, Version 23H2
In diesem Artikel wird beschrieben, wie Sie den Rollenbasierten Access Control (RBAC) verwenden, um den Zugriff auf virtuelle Arc-Computer (VMs) zu steuern, die auf Ihrem Azure Stack HCI-Cluster ausgeführt werden.
Sie können die integrierten RBAC-Rollen verwenden, um den Zugriff auf virtuelle Computer und VM-Ressourcen wie virtuelle Datenträger, Netzwerkschnittstellen, VM-Images, logische Netzwerke und Speicherpfade zu steuern. Sie können diese Rollen Benutzern, Gruppen, Dienstprinzipalen und verwalteten Identitäten zuweisen.
Wichtig
Dieses Feature befindet sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Informationen zu integrierten RBAC-Rollen
Um den Zugriff auf VMs und VM-Ressourcen in Ihrer Azure Stack HCI zu steuern, können Sie die folgenden RBAC-Rollen verwenden:
- Azure Stack HCI-Administrator : Diese Rolle gewährt Vollzugriff auf Ihren Azure Stack HCI-Cluster und seine Ressourcen. Ein Azure Stack HCI-Administrator kann den Cluster registrieren und anderen Benutzern die Rollen Azure Stack HCI-VM-Mitwirkender und Azure Stack HCI-VM-Leser zuweisen. Sie können auch freigegebene Clusterressourcen wie logische Netzwerke, VM-Images und Speicherpfade erstellen.
- Mitwirkender von Azure Stack HCI-VMs : Diese Rolle gewährt Berechtigungen zum Ausführen aller VM-Aktionen wie Starten, Beenden und Neustarten der VMs. Ein Mitwirkender von Azure Stack HCI-VMs kann virtuelle Computer sowie die an VMs angefügten Ressourcen und Erweiterungen erstellen und löschen. Ein Mitwirkender von Azure Stack HCI-VMs kann den Cluster nicht registrieren oder anderen Benutzern Rollen zuweisen, noch freigegebene Clusterressourcen wie logische Netzwerke, VM-Images und Speicherpfade erstellen.
- Azure Stack HCI-VM-Leser : Diese Rolle gewährt Berechtigungen, nur die virtuellen Computer anzuzeigen. Ein VM-Leser kann keine Aktionen für die VMs oder VM-Ressourcen und -Erweiterungen ausführen.
Die folgende Tabelle beschreibt die VM-Aktionen, die von den einzelnen Rollen für die VMs und die verschiedenen VM-Ressourcen gewährt werden. Die VM-Ressourcen werden auf Ressourcen verwiesen, die zum Erstellen eines virtuellen Computers erforderlich sind, und umfassen virtuelle Datenträger, Netzwerkschnittstellen, VM-Images, logische Netzwerke und Speicherpfade:
| Integrierte Rolle | VMs | VM-Ressourcen |
|---|---|---|
| Azure Stack HCI-Administrator | Erstellen, Auflisten und Löschen von VMs Starten, Beenden und Neustarten von VMs |
Erstellen, Auflisten und Löschen aller VM-Ressourcen einschließlich logischer Netzwerke, VM-Images und Speicherpfade |
| Azure Stack HCI-VM-Mitwirkender | Erstellen, Auflisten und Löschen von VMs Starten, Beenden und Neustarten von VMs |
Erstellen, Auflisten und Löschen aller VM-Ressourcen außer logischen Netzwerken, VM-Images und Speicherpfaden |
| Azure Stack HCI-VM-Leser | Auflisten aller VMs | Auflisten aller VM-Ressourcen |
Voraussetzungen
Bevor Sie beginnen, vergewissern Sie sich, dass die folgenden Voraussetzungen erfüllt sind:
Stellen Sie sicher, dass Sie Zugriff auf einen bereitgestellten und registrierten Azure Stack HCI-Cluster haben. Während der Bereitstellung werden auch eine Arc-Ressourcenbrücke und ein benutzerdefinierter Speicherort erstellt.
Wechseln Sie zur Ressourcengruppe in Azure. Sie sehen den benutzerdefinierten Speicherort und die Azure Arc-Ressourcenbrücke, die für den Azure Stack HCI-Cluster erstellt wurden. Notieren Sie sich das Abonnement, die Ressourcengruppe und den benutzerdefinierten Speicherort, während Sie diese später in diesem Szenario verwenden.
Stellen Sie sicher, dass Sie als Besitzer oder Benutzerzugriffsadministrator Zugriff auf das Azure-Abonnement haben, um anderen Rollen zuzuweisen.
Zuweisen von RBAC-Rollen für Benutzer
Sie können dem Benutzer RBAC-Rollen über die Azure-Portal zuweisen. Führen Sie die folgenden Schritte aus, um Benutzern RBAC-Rollen zuzuweisen:
Suchen Sie im Azure-Portal nach dem Bereich, auf den Der Zugriff gewährt werden soll, z. B. nach Abonnements, Ressourcengruppen oder einer bestimmten Ressource. In diesem Beispiel verwenden wir das Abonnement, in dem der Azure Stack HCI-Cluster bereitgestellt wird.
Wechseln Sie zu Ihrem Abonnement, und wechseln Sie dann zu Zugriffssteuerung (IAM) > Rollenzuweisungen. Wählen Sie auf der oberen Befehlsleiste + Hinzufügen und dann Rollenzuweisung hinzufügen aus.
Wenn Sie nicht über berechtigungen zum Zuweisen von Rollen verfügen, ist die Option Rollenzuweisung hinzufügen deaktiviert.
Wählen Sie auf der Registerkarte Rolle eine zuzuweisende RBAC-Rolle aus, und wählen Sie eine der folgenden integrierten Rollen aus:
- Azure Stack HCI-Administrator
- Azure Stack HCI-VM-Mitwirkender
- Azure Stack HCI-VM-Leser
Wählen Sie auf der Registerkarte Mitglieder den Benutzer, die Gruppe oder den Dienstprinzipal aus. Wählen Sie auch ein Mitglied aus, um die Rolle zuzuweisen.
Überprüfen Sie die Rolle, und weisen Sie sie zu.
Überprüfen Sie die Rollenzuweisung. Wechseln Sie zu Zugriffssteuerung (IAM) > Zugriff > überprüfen Meinen Zugriff anzeigen. Die Rollenzuweisung sollte angezeigt werden.
Weitere Informationen zur Rollenzuweisung finden Sie unter Zuweisen von Azure-Rollen mithilfe der Azure-Portal.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für