Risoluzione dei problemi del controllo degli accessi in base al ruoloRole-Based Access Control troubleshooting

Questo articolo contiene le risposte alle domande comuni sui diritti di accesso specifici concessi ai ruoli, in modo da sapere cosa accade quando si usano i ruoli nel Portale di Azure e da poter risolvere i problemi di accesso.This document article answers common questions about the specific access rights that are granted with roles, so that you know what to expect when using the roles in the Azure portal and can troubleshoot access problems. Questi tre ruoli coprono tutti i tipi di risorsa:These three roles cover all resource types:

  • ProprietarioOwner
  • CollaboratoreContributor
  • LettoreReader

Proprietari e collaboratori hanno accesso completo all'esperienza di gestione, ma il collaboratore non può concedere l'accesso ad altri utenti o gruppi.Owners and contributors both have full access to the management experience, but a contributor can’t give access to other users or groups. Il ruolo di lettore è maggiormente articolato e verrà quindi esaminato in maniera più approfondita.Things get a little more interesting with the reader role, so that’s where we'll spend some time. Per informazioni dettagliate su come concedere l'accesso, vedere Controllo degli accessi in base al ruolo di Azure .See the Role-Based Access Control get-started article for details on how to grant access.

Carichi di lavoro del servizio appApp service workloads

Funzionalità di accesso in scritturaWrite access capabilities

Se si concede a un utente l'accesso in sola lettura a un'unica app Web, sono disabilitate alcune funzionalità non prevedibili.If you grant a user read-only access to a single web app, some features are disabled that you might not expect. Per le funzionalità di gestione seguenti è necessario avere accesso in scrittura a un'app Web, come Collaboratore o Proprietario. Tali funzionalità non saranno disponibili in uno scenario di sola lettura.The following management capabilities require write access to a web app (either Contributor or Owner), and aren’t available in any read-only scenario.

  • Comandi (quali avvio, interruzione e così via)Commands (like start, stop, etc.)
  • Modifica di impostazioni quali la configurazione generale, le impostazioni di scalabilità, di backup e di monitoraggio.Changing settings like general configuration, scale settings, backup settings, and monitoring settings
  • Accesso a credenziali di pubblicazione e altri segreti, quali le impostazioni delle app e le stringhe di connessione.Accessing publishing credentials and other secrets like app settings and connection strings
  • Streaming dei logStreaming logs
  • Configurazione dei log di diagnosticaDiagnostic logs configuration
  • Console (prompt dei comandi)Console (command prompt)
  • Distribuzioni attive e recenti, per la distribuzione continua del Git localeActive and recent deployments (for local git continuous deployment)
  • Spesa previstaEstimated spend
  • Test WebWeb tests
  • Rete virtuale, visibile per un lettore solo se in precedenza era già stata configurata una rete virtuale da un utente con accesso in scrittura.Virtual network (only visible to a reader if a virtual network has previously been configured by a user with write access).

Se non è possibile accedere a nessuno di questi titoli, è necessario richiedere all'amministratore l'accesso come Collaboratore per l'app Web.If you can't access any of these tiles, you need to ask your administrator for Contributor access to the web app.

La complessità delle app Web è accentuata dalle interazioni tra alcune risorse diverse.Web apps are complicated by the presence of a few different resources that interplay. Di seguito è illustrato un tipico gruppo di risorse con alcuni siti Web:Here is a typical resource group with a couple websites:

Gruppo di risorse per app Web

Quindi, se si concede l'accesso solo all'app Web, la maggior parte delle funzionalità del pannello del sito Web nel portale di Azure viene disabilitata.As a result, if you grant someone access to just the web app, much of the functionality on the website blade in the Azure portal is disabled.

Questi elementi richiedono accesso in scrittura al piano di servizio App che corrisponde al sito Web:These items require write access to the App Service plan that corresponds to your website:

  • Visualizzazione del piano tariffario dell'app Web, che può essere Free o StandardViewing the web app’s pricing tier (Free or Standard)
  • Configurazione di scalabilità, ossia numero di istanze, dimensione della macchina virtuale, impostazioni di scalabilità automaticaScale configuration (number of instances, virtual machine size, autoscale settings)
  • Quote, ad esempio archiviazione, larghezza di banda e CPUQuotas (storage, bandwidth, CPU)

Gli elementi seguenti richiedono accesso in scrittura all'intero gruppo di risorse che contiene il sito Web:These items require write access to the whole Resource group that contains your website:

  • Certificati e associazioni SSL. I certificati SSL possono essere condivisi tra siti appartenenti allo stesso gruppo di risorse e area geografica.SSL Certificates and bindings (SSL certificates can be shared between sites in the same resource group and geo-location)
  • Regole di avvisoAlert rules
  • Impostazioni di scalabilità automaticaAutoscale settings
  • Componenti di Application InsightsApplication insights components
  • Test WebWeb tests

Carichi di lavoro delle macchine virtualiVirtual machine workloads

Analogamente a quanto accade con le app Web, alcune funzionalità del blade della macchina virtuale richiedono l'accesso in scrittura alla macchina virtuale o ad altre risorse del gruppo di risorse.Much like with web apps, some features on the virtual machine blade require write access to the virtual machine, or to other resources in the resource group.

Le macchine virtuali sono correlate a nomi di dominio, reti virtuali, account di archiviazione e regole di avviso.Virtual machines are related to Domain names, virtual networks, storage accounts, and alert rules.

Gli elementi seguenti richiedono accesso in scrittura alla macchina virtuale:These items require write access to the Virtual machine:

  • EndpointEndpoints
  • Indirizzi IPIP addresses
  • DischiDisks
  • EstensioniExtensions

Gli elementi seguenti richiedono accesso in scrittura sia alla macchina virtuale che al gruppo di risorse, così come al nome di dominio a cui appartiene:These require write access to both the Virtual machine, and the Resource group (along with the Domain name) that it is in:

  • Set di disponibilitàAvailability set
  • Set con carico bilanciatoLoad balanced set
  • Regole di avvisoAlert rules

Se non è possibile accedere a nessuno di questi riquadri, richiedere all'amministratore l'accesso come Collaboratore al gruppo di risorse.If you can't access any of these tiles, ask your administrator for Contributor access to the Resource group.

AltroSee more