Szerepköralapú Access Control használata az Azure Stack HCI-Virtual Machines kezeléséhez
A következőkre vonatkozik: Azure Stack HCI, 23H2-es verzió
Ez a cikk azt ismerteti, hogyan használható a szerepköralapú Access Control (RBAC) az Azure Stack HCI-fürtön futó Arc virtuális gépek (VM-ek) hozzáférésének szabályozására.
A beépített RBAC-szerepkörök segítségével szabályozhatja a virtuális gépekhez és virtuálisgép-erőforrásokhoz, például virtuális lemezekhez, hálózati adapterekhez, virtuálisgép-rendszerképekhez, logikai hálózatokhoz és tárolási útvonalakhoz való hozzáférést. Ezeket a szerepköröket felhasználókhoz, csoportokhoz, szolgáltatásnevekhez és felügyelt identitásokhoz rendelheti.
Fontos
Ez a funkció jelenleg előzetes verzióban érhető el. A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.
A beépített RBAC-szerepkörök ismertetése
Az Azure Stack HCI virtuális gépeihez és virtuálisgép-erőforrásaihoz való hozzáférés szabályozásához a következő RBAC-szerepköröket használhatja:
- Azure Stack HCI-rendszergazda – Ez a szerepkör teljes hozzáférést biztosít az Azure Stack HCI-fürthöz és annak erőforrásaihoz. Az Azure Stack HCI-rendszergazdák regisztrálhatják a fürtöt, valamint azure Stack HCI virtuálisgép-közreműködői és Azure Stack HCI virtuálisgép-olvasói szerepköröket rendelhetnek más felhasználókhoz. Fürt megosztott erőforrásait is létrehozhatják, például logikai hálózatokat, virtuálisgép-rendszerképeket és tárolási útvonalakat.
- Azure Stack HCI virtuálisgép-közreműködő – Ez a szerepkör engedélyeket ad a virtuális gépek összes műveletének végrehajtásához, például a virtuális gépek elindításához, leállításához és újraindításához. Az Azure Stack HCI virtuálisgép-közreműködők létrehozhatnak és törölhetnek virtuális gépeket, valamint a virtuális gépekhez csatolt erőforrásokat és bővítményeket. Az Azure Stack HCI virtuálisgép-közreműködők nem regisztrálhatják a fürtöt, és nem rendelhetnek szerepköröket más felhasználókhoz, és nem hozhatnak létre fürt megosztott erőforrásokat, például logikai hálózatokat, virtuálisgép-rendszerképeket és tárolási útvonalakat.
- Azure Stack HCI virtuálisgép-olvasó – Ez a szerepkör csak a virtuális gépek megtekintéséhez biztosít engedélyeket. A virtuálisgép-olvasó nem hajthat végre semmilyen műveletet a virtuális gépeken, illetve a virtuálisgép-erőforrásokon és -bővítményeken.
Az alábbi táblázat a virtuális gépek és a különböző virtuálisgép-erőforrások egyes szerepkörei által megadott virtuálisgép-műveleteket ismerteti. A virtuálisgép-erőforrások a virtuális gép létrehozásához szükséges erőforrásokra hivatkoznak, amelyek virtuális lemezeket, hálózati adaptereket, virtuálisgép-lemezképeket, logikai hálózatokat és tárolási útvonalakat tartalmaznak:
Beépített szerepkör | Virtuális gépek | Virtuálisgép-erőforrások |
---|---|---|
Azure Stack HCI-rendszergazda | Virtuális gépek létrehozása, listázása, törlése Virtuális gépek indítása, leállítása, újraindítása |
Az összes virtuálisgép-erőforrás létrehozása, listázása, törlése, beleértve a logikai hálózatokat, a virtuálisgép-rendszerképeket és a tárolási útvonalakat |
Azure Stack HCI virtuális gép közreműködője | Virtuális gépek létrehozása, listázása, törlése Virtuális gépek indítása, leállítása, újraindítása |
A logikai hálózatok, virtuálisgép-rendszerképek és tárolási útvonalak kivételével az összes virtuálisgép-erőforrás létrehozása, listázása és törlése |
Azure Stack HCI virtuálisgép-olvasó | Az összes virtuális gép listázása | Az összes virtuálisgép-erőforrás listázása |
Előfeltételek
Mielőtt hozzákezdene, mindenképpen végezze el a következő előfeltételeket:
Győződjön meg arról, hogy rendelkezik hozzáféréssel egy üzembe helyezett és regisztrált Azure Stack HCI-fürthöz. Az üzembe helyezés során létrejön egy Arc-erőforráshíd és egy egyéni hely is.
Nyissa meg az Azure-beli erőforráscsoportot. Megtekintheti az Azure Stack HCI-fürthöz létrehozott egyéni helyet és Azure Arc-erőforráshidat. Jegyezze fel az előfizetést, az erőforráscsoportot és az egyéni helyet, amikor ezeket később használja ebben a forgatókönyvben.
Győződjön meg arról, hogy tulajdonosként vagy felhasználói hozzáférési rendszergazdaként hozzáfér az Azure-előfizetéshez, hogy szerepköröket rendelhessen másokhoz.
RBAC-szerepkörök hozzárendelése felhasználókhoz
Az RBAC-szerepköröket a Azure Portal keresztül rendelheti hozzá a felhasználóhoz. Kövesse az alábbi lépéseket az RBAC-szerepkörök felhasználókhoz való hozzárendeléséhez:
Az Azure Portalon keresse meg azt a hatókört, amely hozzáférést biztosít például előfizetésekhez, erőforráscsoportokhoz vagy egy adott erőforráshoz. Ebben a példában azt az előfizetést használjuk, amelyben az Azure Stack HCI-fürt üzembe van helyezve.
Nyissa meg az előfizetését, majd lépjen a Hozzáférés-vezérlés (IAM) > szerepkör-hozzárendelések területre. A felső parancssávon válassza a + Hozzáadás , majd a Szerepkör-hozzárendelés hozzáadása lehetőséget.
Ha nem rendelkezik a szerepkörök hozzárendelésére vonatkozó engedélyekkel, a Szerepkör-hozzárendelés hozzáadása lehetőség le van tiltva.
A Szerepkör lapon válasszon ki egy hozzárendelni kívánt RBAC-szerepkört, és válasszon az alábbi beépített szerepkörök közül:
- Azure Stack HCI-rendszergazda
- Azure Stack HCI virtuális gép közreműködője
- Azure Stack HCI virtuálisgép-olvasó
A Tagok lapon válassza a Felhasználó, csoport vagy szolgáltatásnév elemet. Válasszon ki egy tagot is a szerepkör hozzárendeléséhez.
Tekintse át a szerepkört, és rendelje hozzá.
Ellenőrizze a szerepkör-hozzárendelést. Lépjen a Hozzáférés-vezérlés (IAM) > Hozzáférés ellenőrzése > Hozzáférés megtekintése területre. Ekkor megjelenik a szerepkör-hozzárendelés.
A szerepkör-hozzárendeléssel kapcsolatos további információkért lásd: Azure-szerepkörök hozzárendelése a Azure Portal használatával.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: