Controllo di accesso basato sui ruoli per i client di Service FabricRole-based access control for Service Fabric clients

Azure Service Fabric supporta due tipi di controllo di accesso diversi per i client connessi a un cluster di Service Fabric: amministratore e utente.Azure Service Fabric supports two different access control types for clients that are connected to a Service Fabric cluster: administrator and user. Il Controllo di accesso consente all'amministratore del cluster di limitare l'accesso a determinate operazioni del cluster per diversi gruppi di utenti, rendendo più sicuro il cluster.Access control allows the cluster administrator to limit access to certain cluster operations for different groups of users, making the cluster more secure.

amministratori hanno accesso completo alle funzionalità di gestione, incluse funzionalità di lettura/scrittura.Administrators have full access to management capabilities (including read/write capabilities). Gli utenti , per impostazione predefinita, hanno solo l'accesso in lettura alle funzionalità di gestione, ad esempio funzionalità di query, e la possibilità di risolvere applicazioni e servizi.By default, users only have read access to management capabilities (for example, query capabilities), and the ability to resolve applications and services.

I due ruoli di client, amministratore o client, vengono specificati al momento della creazione del cluster fornendo certificati separati per ognuno di essi.You specify the two client roles (administrator and client) at the time of cluster creation by providing separate certificates for each. Per informazioni dettagliate su come configurare un cluster di Service Fabric protetto, vedere l'articolo relativo alla sicurezza di un cluster di Service Fabric .See Service Fabric cluster security for details on setting up a secure Service Fabric cluster.

Impostazioni predefiniti di controllo di accessoDefault access control settings

Il tipo di controllo di accesso dell’amministratore ha accesso completo a tutte le API di FabricClient.The administrator access control type has full access to all the FabricClient APIs. Può eseguire qualsiasi operazione di lettura e scrittura con il cluster di Service Fabric, incluse:It can perform any reads and writes on the Service Fabric cluster, including the following operations:

Operazioni dell’applicazione e di servizioApplication and service operations

  • CreateService: creazione del servizioCreateService: service creation
  • CreateServiceFromTemplate: creazione del servizio da un modelloCreateServiceFromTemplate: service creation from template
  • UpdateService: aggiornamenti del servizioUpdateService: service updates
  • DeleteService: eliminazione del servizioDeleteService: service deletion
  • ProvisionApplicationType: provisioning del tipo applicazioneProvisionApplicationType: application type provisioning
  • CreateApplication: creazione dell'applicazioneCreateApplication: application creation
  • DeleteApplication: eliminazione dell'applicazioneDeleteApplication: application deletion
  • UpgradeApplication: avvio o interruzione degli aggiornamenti dell'applicazioneUpgradeApplication: starting or interrupting application upgrades
  • UnprovisionApplicationType: annullamento del provisioning del tipo applicazioneUnprovisionApplicationType: application type unprovisioning
  • MoveNextUpgradeDomain: ripresa degli aggiornamenti dell'applicazione con un dominio di aggiornamento esplicitoMoveNextUpgradeDomain: resuming application upgrades with an explicit update domain
  • ReportUpgradeHealth: ripresa degli aggiornamenti dell'applicazione con lo stato di avanzamento correnteReportUpgradeHealth: resuming application upgrades with the current upgrade progress
  • ReportHealth: report d'integritàReportHealth: reporting health
  • PredeployPackageToNode: API di pre-distribuzionePredeployPackageToNode: predeployment API
  • CodePackageControl: riavvio dei pacchetti di codiceCodePackageControl: restarting code packages
  • RecoverPartition: ripristino di una partizioneRecoverPartition: recovering a partition
  • RecoverPartitions: ripristino di partizioniRecoverPartitions: recovering partitions
  • RecoverServicePartitions: ripristino di partizioni del servizioRecoverServicePartitions: recovering service partitions
  • RecoverSystemPartitions: ripristino di partizioni del servizio di sistemaRecoverSystemPartitions: recovering system service partitions

Operazioni del clusterCluster operations

  • ProvisionFabric: provisioning del manifesto del cluster e/o del file con estensione msiProvisionFabric: MSI and/or cluster manifest provisioning
  • UpgradeFabric: avvio degli aggiornamenti del clusterUpgradeFabric: starting cluster upgrades
  • UnprovisionFabric: annullamento del provisioning del manifesto del cluster e/o del file con estensione msiUnprovisionFabric: MSI and/or cluster manifest unprovisioning
  • MoveNextFabricUpgradeDomain: ripresa degli aggiornamenti del cluster con un dominio di aggiornamento esplicitoMoveNextFabricUpgradeDomain: resuming cluster upgrades with an explicit update domain
  • ReportFabricUpgradeHealth: ripresa degli aggiornamenti del cluster con lo stato di avanzamento correnteReportFabricUpgradeHealth: resuming cluster upgrades with the current upgrade progress
  • StartInfrastructureTask: avvio delle attività di infrastrutturaStartInfrastructureTask: starting infrastructure tasks
  • FinishInfrastructureTask: completamento delle attività di infrastrutturaFinishInfrastructureTask: finishing infrastructure tasks
  • InvokeInfrastructureCommand: comandi di gestione delle attività di infrastrutturaInvokeInfrastructureCommand: infrastructure task management commands
  • ActivateNode: attivazione di un nodoActivateNode: activating a node
  • DeactivateNode: disattivazione di un nodoDeactivateNode: deactivating a node
  • DeactivateNodesBatch: disattivazione di più nodiDeactivateNodesBatch: deactivating multiple nodes
  • RemoveNodeDeactivations: ripristino della disattivazione in più nodiRemoveNodeDeactivations: reverting deactivation on multiple nodes
  • GetNodeDeactivationStatus: controllo dello stato di disattivazioneGetNodeDeactivationStatus: checking deactivation status
  • NodeStateRemoved: report dello stato del nodo rimossoNodeStateRemoved: reporting node state removed
  • ReportFault: report dell'erroreReportFault: reporting fault
  • FileContent: trasferimento del file del client dell'archivio immagini (esterno al cluster)FileContent: image store client file transfer (external to cluster)
  • FileDownload: inizio del download del file del client dell'archivio immagini (esterno al cluster)FileDownload: image store client file download initiation (external to cluster)
  • InternalList: operazione di elenco dei file del client dell'archivio immagini (interno)InternalList: image store client file list operation (internal)
  • Delete: operazione di eliminazione del client dell'archivio immaginiDelete: image store client delete operation
  • Upload: operazione di caricamento del client dell'archivio immaginiUpload: image store client upload operation
  • NodeControl: avvio, arresto e riavvio di nodiNodeControl: starting, stopping, and restarting nodes
  • MoveReplicaControl: spostamento delle repliche da un nodo a un altroMoveReplicaControl: moving replicas from one node to another

Operazioni varieMiscellaneous operations

  • Ping: ping del clientPing: client pings
  • Query: tutte le query consentiteQuery: all queries allowed
  • NameExists: verifiche dell'esistenza dell'URI di denominazioneNameExists: naming URI existence checks

Il tipo di controllo di accesso utente è limitato per impostazione predefinita alle operazioni seguenti.The user access control type is, by default, limited to the following operations:

  • EnumerateSubnames: enumerazione dell'URI di denominazioneEnumerateSubnames: naming URI enumeration
  • EnumerateProperties: enumerazione delle proprietà di denominazioneEnumerateProperties: naming property enumeration
  • PropertyReadBatch: operazioni di lettura delle proprietà di denominazionePropertyReadBatch: naming property read operations
  • GetServiceDescription: notifiche del servizio di long polling e lettura delle descrizioni dei serviziGetServiceDescription: long-poll service notifications and reading service descriptions
  • ResolveService: risoluzione del servizio basata sui reclamiResolveService: complaint-based service resolution
  • ResolveNameOwner: risoluzione del proprietario dei nomi URIResolveNameOwner: resolving naming URI owner
  • ResolvePartition: risoluzione dei servizi di sistemaResolvePartition: resolving system services
  • ServiceNotifications: notifiche di servizio basate su eventiServiceNotifications: event-based service notifications
  • GetUpgradeStatus: stato dell'aggiornamento dell'applicazione di pollingGetUpgradeStatus: polling application upgrade status
  • GetFabricUpgradeStatus: stato dell'aggiornamento del cluster del pollingGetFabricUpgradeStatus: polling cluster upgrade status
  • InvokeInfrastructureQuery: attività dell'infrastruttura di esecuzione di queryInvokeInfrastructureQuery: querying infrastructure tasks
  • List: operazione di elenco dei file del client dell'archivio immaginiList: image store client file list operation
  • ResetPartitionLoad: reimpostazione del carico per un'unità di failoverResetPartitionLoad: resetting load for a failover unit
  • ToggleVerboseServicePlacementHealthReporting: creazione di report sull'integrità del posizionamento dettagliato del servizioToggleVerboseServicePlacementHealthReporting: toggling verbose service placement health reporting

Il controllo di accesso amministratore ha accesso anche alle operazioni precedenti.The admin access control also has access to the preceding operations.

Modifica delle impostazioni predefinite per i ruoli del clientChanging default settings for client roles

Nel file manifesto del cluster è possibile assegnare al client funzionalità di amministratore, se necessario.In the cluster manifest file, you can provide admin capabilities to the client if needed. È possibile modificare le impostazioni predefinite accedendo all'opzione Impostazioni infrastruttura durante la creazione del cluster e fornendo le impostazioni precedenti nei campi relativi a nome, amministratore, utente e valore.You can change the defaults by going to the Fabric Settings option during cluster creation, and providing the preceding settings in the name, admin, user, and value fields.

Passaggi successiviNext steps

Sicurezza di un cluster di Service FabricService Fabric cluster security

Creazione del cluster di Service FabricService Fabric cluster creation