Controllo degli accessi in base al ruolo in Automazione di Azure

Controllo degli accessi in base al ruolo

Il controllo degli accessi in base al ruolo consente di gestire gli accessi per le risorse di Azure. Con il Controllo degli accessi in base al ruoloè possibile separare i compiti all'interno del team e concedere a utenti, gruppi e applicazioni solo il livello di accesso necessario per svolgere le proprie attività. L'accesso in base al ruolo può essere concesso agli utenti tramite il portale di Azure, gli strumenti da riga di comando di Azure o le API di gestione di Azure.

Controllo degli accessi in base al ruolo negli account di automazione

In Automazione di Azure l'accesso viene concesso assegnando il ruolo Controllo degli accessi in base al ruolo appropriato a utenti, gruppi e applicazioni nell'ambito dell'account di automazione. Di seguito sono elencati i ruoli predefiniti supportati da un account di automazione:

Ruolo Descrizione
Proprietario Il ruolo Proprietario consente l'accesso a tutte le risorse e le azioni in un account di automazione, inclusa la possibilità di concedere l'accesso ad altri utenti e gruppi e ad altre applicazioni per gestire l'account di automazione.
Collaboratore Il ruolo Collaboratore consente di gestire tutto, tranne la modifica delle autorizzazioni di accesso di altri utenti a un account di automazione.
Lettore Il ruolo Lettore consente di visualizzare tutte le risorse in un account di automazione, ma non di apportare modifiche.
Operatore di automazione Il ruolo Automation Operator consente di eseguire attività operative, ad esempio avviare, arrestare, sospendere, riprendere e pianificare i processi. Questo ruolo è utile per proteggere le risorse dell'account di automazione, come asset delle credenziali e runbook, dalla visualizzazione o dalla modifica, consentendo però ai membri dell'organizzazione di eseguire i runbook.
Amministratore accessi utente Il ruolo Amministratore Accesso utenti consente di gestire l'accesso utente agli account di automazione di Azure.
Nota

Non è possibile concedere diritti di accesso a uno o più runbook specifici, ma solo alle risorse e le azioni all'interno dell'account di automazione.

Questo articolo illustra come configurare il controllo degli accessi in base al ruolo in Automazione di Azure. Verranno prima illustrate le singole autorizzazioni concesse ai ruoli Collaboratore, Lettore, Automation Operator e Amministratore Accesso utenti, per comprenderle a fondo prima di concedere diritti a qualcuno per l'account di automazione. In caso contrario potrebbero verificarsi conseguenze impreviste o indesiderate.

Autorizzazioni del ruolo Collaboratore

La tabella seguente illustra le azioni specifiche che possono essere eseguite dal ruolo Collaboratore in Automazione.

Tipo di risorsa Lettura Scrittura Eliminazione Altre azioni
Account di automazione di Azure Stato verde Stato verde Stato verde
Asset di certificato di Automazione Stato verde Stato verde Stato verde
Asset di connessione di Automazione Stato verde Stato verde Stato verde
Asset del tipo di connessione di Automazione Stato verde Stato verde Stato verde
Asset credenziali di Automazione Stato verde Stato verde Stato verde
Asset di pianificazione di Automazione Stato verde Stato verde Stato verde
Asset di tipo variabile di Automazione Stato verde Stato verde Stato verde
Configurazione dello stato desiderato di Automazione Stato verde
Tipo di risorsa del ruolo di lavoro ibrido per runbook Stato verde Stato verde
Processo di automazione di Azure Stato verde Stato verde Stato verde
Flusso del processo di automazione Stato verde
Pianificazione del processo di automazione Stato verde Stato verde Stato verde
Modulo di automazione Stato verde Stato verde Stato verde
Runbook di Automazione di Azure Stato verde Stato verde Stato verde Stato verde
Bozza di runbook di Automazione Stato verde Stato verde
Processo di test della bozza di runbook di Automazione Stato verde Stato verde Stato verde
Webhook di automazione Stato verde Stato verde Stato verde Stato verde

Autorizzazioni del ruolo Lettore

La tabella seguente illustra le azioni specifiche che possono essere eseguite dal ruolo Lettore in Automazione.

Tipo di risorsa Lettura Scrittura Eliminazione Altre azioni
Amministratore sottoscrizione classico Stato verde
Blocco di gestione Stato verde
Autorizzazione Stato verde
Operazioni del provider Stato verde
Assegnazione di ruolo Stato verde
Definizione di ruolo Stato verde

Autorizzazioni del ruolo Automation Operator

La tabella seguente illustra le azioni specifiche che possono essere eseguite dal ruolo Automation Operator in Automazione.

Tipo di risorsa Lettura Scrittura Eliminazione Altre azioni
Account di automazione di Azure Stato verde
Asset di certificato di Automazione
Asset di connessione di Automazione
Asset del tipo di connessione di Automazione
Asset credenziali di Automazione
Asset di pianificazione di Automazione Stato verde Stato verde
Asset di tipo variabile di Automazione
Configurazione dello stato desiderato di Automazione
Tipo di risorsa del ruolo di lavoro ibrido per runbook
Processo di automazione di Azure Stato verde Stato verde Stato verde
Flusso del processo di automazione Stato verde
Pianificazione del processo di automazione Stato verde Stato verde
Modulo di automazione
Runbook di Automazione di Azure Stato verde
Bozza di runbook di Automazione
Processo di test della bozza di runbook di Automazione
Webhook di automazione

Per altre informazioni, vedere l'elenco delle azioni supportate dal ruolo Automation Operator nell'account di automazione e nelle relative risorse.

Autorizzazioni del ruolo Amministratore Accesso utenti

La tabella seguente illustra le azioni specifiche che possono essere eseguite dal ruolo Amministratore Accesso utenti in Automazione.

Tipo di risorsa Lettura Scrittura Eliminazione Altre azioni
Account di automazione di Azure Stato verde
Asset di certificato di Automazione Stato verde
Asset di connessione di Automazione Stato verde
Asset del tipo di connessione di Automazione Stato verde
Asset credenziali di Automazione Stato verde
Asset di pianificazione di Automazione Stato verde
Asset di tipo variabile di Automazione Stato verde
Configurazione dello stato desiderato di Automazione
Tipo di risorsa del ruolo di lavoro ibrido per runbook Stato verde
Processo di automazione di Azure Stato verde
Flusso del processo di automazione Stato verde
Pianificazione del processo di automazione Stato verde
Modulo di automazione Stato verde
Runbook di Automazione di Azure Stato verde
Bozza di runbook di Automazione Stato verde
Processo di test della bozza di runbook di Automazione Stato verde
Webhook di automazione Stato verde

Configurare il controllo degli accessi in base al ruolo per l'account di automazione tramite il portale di Azure

  1. Accedere al portale di Azure e aprire l'account di automazione nel pannello Account di automazione.
  2. Fare clic sul comando Accesso nell'angolo superiore destro. Verrà visualizzato il pannello Utenti in cui è possibile aggiungere nuovi utenti, gruppi e applicazioni per gestire il proprio account di automazione e visualizzare i ruoli esistenti che possono essere configurati per l'account di automazione.

    Pulsante Accesso

Nota

Amministratori della sottoscrizione è già presente come utente predefinito. Il gruppo di Active Directory Amministratori della sottoscrizione include gli amministratori e i coamministratori del servizio per la sottoscrizione di Azure. L'amministratore del servizio è il proprietario della sottoscrizione di Azure e delle relative risorse ed eredita anche il ruolo Proprietario per gli account di automazione. Ciò significa che l'accesso è Ereditato per gli amministratori e coamministratori del servizio di una sottoscrizione ed è Assegnato per tutti gli altri utenti. Fare clic su Amministratori della sottoscrizione per visualizzare altri dettagli sulle relative autorizzazioni.

Aggiungere un nuovo utente e assegnare un ruolo

  1. Nel pannello Utenti fare clic su Aggiungi per aprire il pannello Aggiungi accesso dove è possibile aggiungere un utente, un gruppo o un'applicazione e assegnare un ruolo.

    Add user

  2. Selezionare un ruolo dall'elenco di ruoli disponibili. Qui si sceglierà il ruolo Lettore , ma è possibile scegliere uno qualsiasi dei ruoli predefiniti disponibili supportati da un account di automazione oppure un ruolo personalizzato definito dall'utente.

    Selezionare il ruolo

  3. Fare clic su Aggiungi utenti per aprire il pannello Aggiungi utenti. Se sono stati aggiunti utenti, gruppi o applicazioni per gestire la sottoscrizione, questi saranno elencati e si potranno selezionare per aggiungere l'accesso. Se non ci sono utenti elencati o se l'utente che si vuole aggiungere non è nell'elenco, fare clic su Invita per aprire il pannello Invitare un utente guest dove è possibile invitare un utente con un indirizzo di posta elettronica di un account Microsoft valido, ad esempio Outlook.com, OneDrive o ID di Xbox Live. Dopo aver immesso l'indirizzo di posta elettronica dell'utente, fare clic su Seleziona per aggiungere l'utente e quindi fare clic su OK.

    Aggiungi utenti

    L'utente aggiunto verrà visualizzato nel pannello Utenti con assegnato il ruolo Lettore.

    Elencare gli utenti

    È anche possibile assegnare un ruolo all'utente dal pannello Ruoli .

  4. Fare clic su Ruoli nel pannello Utenti per aprire il pannello Ruoli. In questo pannello è possibile visualizzare il nome del ruolo, il numero di utenti e i gruppi assegnati al ruolo.

    Assegnare un ruolo dal pannello Utenti

    Nota

    Il controllo degli accessi in base al ruolo può essere impostato solo a livello di account di automazione e in nessun'altra risorsa al di sotto dell'account di automazione.

    È possibile assegnare più di un ruolo a un utente, un gruppo o un'applicazione. Se ad esempio si aggiunge il ruolo Automation Operator oltre al ruolo Lettore per un utente, quest'ultimo potrà visualizzare tutte le risorse di automazione ed eseguire i processi del runbook. È possibile espandere l'elenco a discesa per visualizzare un elenco dei ruoli assegnati all'utente.

    Visualizzare più ruoli

Rimuovere un utente

È possibile rimuovere l'autorizzazione di accesso per un utente che non gestisce l'account di automazione o che non lavora più per l'organizzazione. Ecco la procedura da seguire per rimuovere un utente:

  1. Nel pannello Utenti selezionare l'assegnazione del ruolo che si vuole rimuovere.
  2. Fare clic sul pulsante Rimuovi nel pannello dei dettagli dell'assegnazione.
  3. Fare clic su per confermare la rimozione.

    Rimuovere utenti

Utente assegnato a un ruolo

Quando un utente assegnato a un ruolo accede con l'account di automazione, può visualizzare l'account del proprietario nell'elenco delle directory predefinite. Per visualizzare l'account di automazione a cui è stato aggiunto, l'utente deve passare dalla directory predefinita alla directory predefinita del proprietario.

Directory predefinita

Esperienza utente per il ruolo Automation Operator

Quando un utente assegnato al ruolo Automation Operator visualizza l'account di automazione a cui è stato assegnato, può vedere solo l'elenco delle pianificazioni, dei runbook e dei processi di runbook creati nell'account di automazione, ma non le relative definizioni. L'utente può avviare, arrestare, sospendere, riprendere o pianificare il processo del runbook, ma non avrà accesso ad altre risorse di automazione, ad esempio configurazioni, gruppi di lavoro ibridi o nodi DSC.

Nessun accesso alle risorse

Quando l'utente fa clic sul runbook, i comandi per visualizzare l'origine o modificare il runbook non sono disponibili, perché il ruolo Automation Operator non ne consente l'accesso.

Nessun accesso per modificare i runbook

L'utente può accedere per visualizzare e creare pianificazioni, ma non avrà accesso ad altri tipi di asset.

Nessun accesso agli asset

L'utente non può accedere nemmeno per visualizzare i webhook associati a un runbook.

Nessun accesso ai webhook

Configurare il controllo degli accessi in base al ruolo per l'account di automazione tramite Azure PowerShell

L'accesso in base al ruolo per un account di automazione può essere configurato anche con i cmdlet di Azure PowerShellseguenti.

Get-AzureRmRoleDefinition elenca tutti i ruoli del controllo degli accessi in base al ruolo disponibili in Azure Active Directory. È possibile usare questo comando con la proprietà Name per elencare tutte le azioni che possono essere eseguite da un ruolo specifico.
Esempio:
Ottenere la definizione del ruolo

Get-AzureRmRoleAssignment elenca le assegnazioni di ruolo del controllo degli accessi in base al ruolo di Azure AD nell'ambito specificato. Senza parametri, questo comando restituisce tutte le assegnazioni del ruolo eseguite nell'ambito della sottoscrizione. Usare il parametro ExpandPrincipalGroups per elencare le assegnazioni di accesso per l'utente specificato e per i gruppi di cui l'utente è membro.
Esempio: usare il comando seguente per elencare tutti gli utenti e i relativi ruoli all'interno di un account di automazione.

Get-AzureRMRoleAssignment -scope “/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation Account Name>” 

Ottenere l'assegnazione del ruolo

• Usare New-AzureRmRoleAssignment per assegnare l'accesso a utenti, gruppi e applicazioni in un determinato ambito.
Esempio: usare il comando seguente per assegnare il ruolo "Automation Operator" a un utente nell'ambito dell'account di automazione.

New-AzureRmRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName "Automation operator" -Scope “/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation Account Name>”  

Nuova assegnazione del ruolo

• Usare Remove-AzureRmRoleAssignment per rimuovere l'accesso di un utente, un gruppo o un'applicazione specificata da un determinato ambito.
Esempio: usare il comando seguente per rimuovere l'utente dal ruolo "Automation Operator" nell'ambito dell'account di automazione.

Remove-AzureRmRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName "Automation Operator" -Scope “/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation Account Name>”

Negli esempi precedenti sostituire l'ID di accesso, l'ID sottoscrizione, il nome del gruppo di risorse e il nome dell'account di automazione con i dettagli del proprio account. Scegliere quando viene richiesto di confermare se si vuole rimuovere un'assegnazione di ruolo per un utente.

Passaggi successivi