Controllo degli accessi in base al ruolo di Azure per controllare i diritti di accesso e gestire le richieste di supportoAzure Role-Based Access Control (RBAC) to control access rights to create and manage support requests

Il Controllo degli accessi in base al ruolo di Azure consente una gestione specifica degli accessi per Azure.Role-Based Access Control (RBAC) enables fine-grained access management for Azure. La creazione di richieste di supporto nel portale di Azure, portal.azure.com, usa il modello di Controllo degli accessi in base al ruolo per definire chi può creare e gestire le richieste di supporto.Support request creation in the Azure portal, portal.azure.com, uses Azure’s RBAC model to define who can create and manage support requests. L'accesso viene concesso assegnando ruoli di Controllo degli accessi in base al ruolo appropriati a utenti, gruppi e applicazioni in un ambito specifico: una sottoscrizione, un gruppo di risorse o una risorsa.Access is granted by assigning the appropriate RBAC role to users, groups, and applications at a certain scope, which can be a subscription, resource group or a resource.

Esaminiamo l'esempio di un proprietario di un gruppo di risorse con autorizzazioni di lettura nell'ambito della sottoscrizione che può gestire tutte le risorse nel gruppo di risorse, come siti Web, macchine virtuali e subnet.Let’s take an example: As a resource group owner with read permissions at the subscription scope, you can manage all the resources under the resource group, like websites, virtual machines, and subnets. Quando tuttavia tenta di creare una richiesta di supporto per la risorsa macchina virtuale, si verifica l'errore seguenteHowever, when you try to create a support request against the virtual machine resource, you encounter the following error

Errore relativo alla sottoscrizione

Per la gestione delle richieste di supporto è necessaria l'autorizzazione di scrittura o un ruolo con l'azione Microsoft.Support/* nell'ambito della sottoscrizione in grado di creare e gestire le richieste di supporto.In support request management, you need write permission or a role that has the Support action Microsoft.Support/* at the Subscription scope to be able to create and manage support requests.

L'articolo seguente illustra come è possibile usare il Controllo degli accessi in base al ruolo di Azure per creare e gestire le richieste di supporto nel portale di Azure.The following article explains how you can use Azure’s custom Role-Based Access Control (RBAC) to create and manage support requests in the Azure portal.

IntroduzioneGetting Started

Nell'esempio precedente è possibile creare una richiesta di supporto per la risorsa se il proprietario della sottoscrizione ha assegnato un ruolo personalizzato di Controllo degli accessi in base al ruolo nella sottoscrizione.Using the example above, you would be able to create a support request for your resource if you were assigned a custom RBAC role on the subscription by the subscription owner. I ruoli personalizzati di Controllo degli accessi in base al ruolo possono essere creati usando Azure PowerShell, l'interfaccia della riga di comando di Azure e l'API REST.Custom RBAC roles can be created using Azure PowerShell, Azure Command-Line Interface (CLI), and the REST API.

La proprietà Actions di un ruolo personalizzato specifica le operazioni di Azure a cui il ruolo concede l'accesso.The actions property of a custom role specifies the Azure operations to which the role grants access. Per creare un ruolo personalizzato per la gestione delle richieste di supporto, il ruolo deve includere l'azione Microsoft.Support/To create a custom role for support request management, the role must have the action Microsoft.Support/

Di seguito è riportato un esempio di un ruolo personalizzato che consente di creare e gestire le richieste di supporto.Here’s an example of a custom role you can use to create and manage support requests. Questo ruolo è stato denominato "Support Request Contributor" ed ecco come si fa riferimento al ruolo personalizzato in questo articolo.We’ve named this role “Support Request Contributor” and that’s how we refer to the custom role in this article.

{
    "Name":  "Support Request Contributor",
    "Id":  "1f2aad59-39b0-41da-b052-2fb070bd7942",
    "IsCustom":  true,
    "Description":  "Lets you create and manage support tickets.",
    "Actions":  [
                    "Microsoft.Support/*"
                ],
    "NotActions":  [
                   ],
    "AssignableScopes":  [
                             "/"
                         ]
}

Seguire i passaggi descritti in questo video per imparare a creare un ruolo personalizzato per la sottoscrizione.Follow the steps outlined in this video to learn how to create a custom role for your subscription.

Creare e gestire le richieste di supporto nel portale di AzureCreate and manage support requests in the Azure portal

Esaminiamo un esempio in cui si è proprietari della sottoscrizione "Visual Studio MSDN Subscription".Let’s take an example – you are the owner of Subscription "Visual Studio MSDN Subscription." Joe è il collega proprietario delle risorse in alcuni gruppi di risorse nella sottoscrizione e autorizzazione di lettura per la sottoscrizione.Joe is your peer who is a resource owner to some of the resource groups in this subscription and has read permission to the subscription. Si vuole concedere al collega Joe l'accesso per poter creare e gestire i ticket di supporto per le risorse in questa sottoscrizione.You wish to give access to your peer, Joe, the ability to create and manage support tickets for the resources under this subscription.

  1. Il primo passaggio consiste nel passare alla sottoscrizione e in "Impostazioni" viene visualizzato un elenco di utenti.The first step is to go to the subscription and under "Settings" you see a list of users. Fare clic sull'utente Joe che ha accesso in lettura per la sottoscrizione e assegnargli un nuovo ruolo personalizzato.Click the user Joe who has reader access on the Subscription and let’s assign a new custom role to him.

    Aggiungi ruolo

  2. Fare clic su "Aggiungi" nel pannello "Utenti".Click "Add" under the "Users" blade. Selezionare il ruolo personalizzato di "Support Request Contributor" nell'elenco di ruoliSelect the custom role "Support Request Contributor" from the list of roles

    Aggiungere il ruolo di collaboratore di supporto

  3. Dopo avere selezionato il nome del ruolo, fare clic su "Aggiungi utenti" e immettere le credenziali di posta elettronica di Joe.After selecting the role name, click "Add users" and enter the Joe's email credentials. Fare clic su "Seleziona"Click "Select"

    Aggiungi utenti

  4. Fare clic su "OK" per procedereClick "Ok" to proceed

    Aggiungere un accesso

  5. Si noti ora che l'utente con il ruolo personalizzato appena aggiunto "Support Request Contributor" diventa visibile nella sottoscrizione di cui si è proprietariNow you see the user with the newly added custom role "Support Request Contributor" under the Subscription for which you are the owner

    Utente aggiunto

    Quando Joe accederà al portale, la sottoscrizione a cui è stato aggiunto risulterà visibile.When Joe logs in the portal, he sees the subscription to which he was added.

  6. Joe fa clic su "Nuova richiesta di supporto" nel pannello "Guida e supporto tecnico" ed è in grado di creare richieste di supporto per "Visual Studio Ultimate con MSDN"Joe clicks "New Support request" from the "Help and Support" blade and can create support requests for "Visual Studio Ultimate with MSDN"

    Nuova richiesta di supporto

  7. Facendo clic su "Tutte le richieste di supporto" Joe può visualizzare l'elenco delle richieste di supporto create per questa sottoscrizione Visualizzazione dei dettagli del casoClicking "All support requests" Joe can see the list of support requests created for this Subscription Case details view

Rimuovere l'accesso alle richieste di supporto nel portale di AzureRemove support request access in the Azure portal

Esattamente come è possibile concedere l'accesso a un utente per creare e gestire le richieste di supporto, è possibile anche rimuovere l'accesso per l'utente.Just as it is possible to grant access to a user to create and manage support requests, it's possible to remove access for the user as well. Per rimuovere la possibilità di creare e gestire le richieste di supporto, passare alla sottoscrizione, fare clic su "Impostazioni", quindi sull'utente, in questo caso, Joe.To remove the ability to create and manage support requests, go to the Subscription, click "Settings" and click the user (in this case, Joe). Fare clic con il pulsante destro del mouse sul nome del ruolo "Support Request Contributor" e fare clic su "Rimuovi"Right-click the role name, "Support Request Contributor" and click "Remove"

Rimuovere l'accesso alle richiesta di supporto

Quando Joe eseguirà l'accesso al portale e tenterà di creare una richiesta di supporto, verrà visualizzato l'errore seguenteWhen Joe logs in to the portal and tries to create a support request, he encounters the following error

Errore di sottoscrizione 2

Quando Joe fa clic su "Tutte le richieste di supporto", non sarà visibile nessuna richiesta di supportoJoe cannot see any support requests when he clicks "All support requests"

Visualizzazione dettagli del caso 2