Szerepköralapú Access Control használata az Azure Stack HCI-Virtual Machines kezeléséhez

A következőkre vonatkozik: Azure Stack HCI, 23H2-es verzió

Ez a cikk azt ismerteti, hogyan használható a szerepköralapú Access Control (RBAC) az Azure Stack HCI-fürtön futó Arc virtuális gépek (VM-ek) hozzáférésének szabályozására.

A beépített RBAC-szerepkörök segítségével szabályozhatja a virtuális gépekhez és virtuálisgép-erőforrásokhoz, például virtuális lemezekhez, hálózati adapterekhez, virtuálisgép-rendszerképekhez, logikai hálózatokhoz és tárolási útvonalakhoz való hozzáférést. Ezeket a szerepköröket felhasználókhoz, csoportokhoz, szolgáltatásnevekhez és felügyelt identitásokhoz rendelheti.

Fontos

Ez a funkció jelenleg előzetes verzióban érhető el. A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

A beépített RBAC-szerepkörök ismertetése

Az Azure Stack HCI virtuális gépeihez és virtuálisgép-erőforrásaihoz való hozzáférés szabályozásához a következő RBAC-szerepköröket használhatja:

• Azure Stack HCI-rendszergazda – Ez a szerepkör teljes hozzáférést biztosít az Azure Stack HCI-fürthöz és annak erőforrásaihoz. Az Azure Stack HCI-rendszergazdák regisztrálhatják a fürtöt, valamint azure Stack HCI virtuálisgép-közreműködői és Azure Stack HCI virtuálisgép-olvasói szerepköröket rendelhetnek más felhasználókhoz. Fürt megosztott erőforrásait is létrehozhatják, például logikai hálózatokat, virtuálisgép-rendszerképeket és tárolási útvonalakat.
• Azure Stack HCI virtuálisgép-közreműködő – Ez a szerepkör engedélyeket ad a virtuális gépek összes műveletének végrehajtásához, például a virtuális gépek elindításához, leállításához és újraindításához. Az Azure Stack HCI virtuálisgép-közreműködők létrehozhatnak és törölhetnek virtuális gépeket, valamint a virtuális gépekhez csatolt erőforrásokat és bővítményeket. Az Azure Stack HCI virtuálisgép-közreműködők nem regisztrálhatják a fürtöt, és nem rendelhetnek szerepköröket más felhasználókhoz, és nem hozhatnak létre fürt megosztott erőforrásokat, például logikai hálózatokat, virtuálisgép-rendszerképeket és tárolási útvonalakat.
• Azure Stack HCI virtuálisgép-olvasó – Ez a szerepkör csak a virtuális gépek megtekintéséhez biztosít engedélyeket. A virtuálisgép-olvasó nem hajthat végre semmilyen műveletet a virtuális gépeken, illetve a virtuálisgép-erőforrásokon és -bővítményeken.

Az alábbi táblázat a virtuális gépek és a különböző virtuálisgép-erőforrások egyes szerepkörei által megadott virtuálisgép-műveleteket ismerteti. A virtuálisgép-erőforrások a virtuális gép létrehozásához szükséges erőforrásokra hivatkoznak, amelyek virtuális lemezeket, hálózati adaptereket, virtuálisgép-lemezképeket, logikai hálózatokat és tárolási útvonalakat tartalmaznak:

Beépített szerepkör	Virtuális gépek	Virtuálisgép-erőforrások
Azure Stack HCI-rendszergazda	Virtuális gépek létrehozása, listázása, törlése Virtuális gépek indítása, leállítása, újraindítása	Az összes virtuálisgép-erőforrás létrehozása, listázása, törlése, beleértve a logikai hálózatokat, a virtuálisgép-rendszerképeket és a tárolási útvonalakat
Azure Stack HCI virtuális gép közreműködője	Virtuális gépek létrehozása, listázása, törlése Virtuális gépek indítása, leállítása, újraindítása	A logikai hálózatok, virtuálisgép-rendszerképek és tárolási útvonalak kivételével az összes virtuálisgép-erőforrás létrehozása, listázása és törlése
Azure Stack HCI virtuálisgép-olvasó	Az összes virtuális gép listázása	Az összes virtuálisgép-erőforrás listázása

Előfeltételek

Mielőtt hozzákezdene, mindenképpen végezze el a következő előfeltételeket:

1. Győződjön meg arról, hogy rendelkezik hozzáféréssel egy üzembe helyezett és regisztrált Azure Stack HCI-fürthöz. Az üzembe helyezés során létrejön egy Arc-erőforráshíd és egy egyéni hely is.

   Nyissa meg az Azure-beli erőforráscsoportot. Megtekintheti az Azure Stack HCI-fürthöz létrehozott egyéni helyet és Azure Arc-erőforráshidat. Jegyezze fel az előfizetést, az erőforráscsoportot és az egyéni helyet, amikor ezeket később használja ebben a forgatókönyvben.

2. Győződjön meg arról, hogy tulajdonosként vagy felhasználói hozzáférési rendszergazdaként hozzáfér az Azure-előfizetéshez, hogy szerepköröket rendelhessen másokhoz.

RBAC-szerepkörök hozzárendelése felhasználókhoz

Az RBAC-szerepköröket a Azure Portal keresztül rendelheti hozzá a felhasználóhoz. Kövesse az alábbi lépéseket az RBAC-szerepkörök felhasználókhoz való hozzárendeléséhez:

1. Az Azure Portalon keresse meg azt a hatókört, amely hozzáférést biztosít például előfizetésekhez, erőforráscsoportokhoz vagy egy adott erőforráshoz. Ebben a példában azt az előfizetést használjuk, amelyben az Azure Stack HCI-fürt üzembe van helyezve.

2. Nyissa meg az előfizetését, majd lépjen a Hozzáférés-vezérlés (IAM) > szerepkör-hozzárendelések területre. A felső parancssávon válassza a + Hozzáadás , majd a Szerepkör-hozzárendelés hozzáadása lehetőséget.

   Ha nem rendelkezik a szerepkörök hozzárendelésére vonatkozó engedélyekkel, a Szerepkör-hozzárendelés hozzáadása lehetőség le van tiltva.

   

3. A Szerepkör lapon válasszon ki egy hozzárendelni kívánt RBAC-szerepkört, és válasszon az alábbi beépített szerepkörök közül:

   • Azure Stack HCI-rendszergazda
   • Azure Stack HCI virtuális gép közreműködője
   • Azure Stack HCI virtuálisgép-olvasó

   

4. A Tagok lapon válassza a Felhasználó, csoport vagy szolgáltatásnév elemet. Válasszon ki egy tagot is a szerepkör hozzárendeléséhez.

   

5. Tekintse át a szerepkört, és rendelje hozzá.

   

6. Ellenőrizze a szerepkör-hozzárendelést. Lépjen a Hozzáférés-vezérlés (IAM) > Hozzáférés ellenőrzése > Hozzáférés megtekintése területre. Ekkor megjelenik a szerepkör-hozzárendelés.

   

A szerepkör-hozzárendeléssel kapcsolatos további információkért lásd: Azure-szerepkörök hozzárendelése a Azure Portal használatával.

Következő lépések

• Hozzon létre egy tárolási útvonalat az Azure Stack HCI virtuális géphez.