Delen via


Toegang tot resources in Azure Stack Hub beheren met op rollen gebaseerd toegangsbeheer

Azure Stack Hub ondersteunt op rollen gebaseerd toegangsbeheer (RBAC), hetzelfde beveiligingsmodel voor toegangsbeheer dat Microsoft Azure gebruikt. U kunt RBAC gebruiken om gebruikers-, groeps- of app-toegang tot abonnementen, resources en services te beheren.

Basisbeginselen van toegangsbeheer

Op rollen gebaseerd toegangsbeheer (RBAC) biedt fijnmazig toegangsbeheer dat u kunt gebruiken om uw omgeving te beveiligen. U geeft gebruikers de exacte machtigingen die ze nodig hebben door een RBAC-rol toe te wijzen voor een bepaald bereik. Het bereik van de roltoewijzing kan een abonnement, een resourcegroep of één resource zijn. Zie de op rollen gebaseerde Access Control in het artikel Azure Portal voor meer informatie over toegangsbeheer.

Notitie

Wanneer Azure Stack Hub wordt geïmplementeerd met Active Directory Federation Services als id-provider, worden alleen Universele Groepen ondersteund voor RBAC-scenario's.

Ingebouwde rollen

Azure Stack Hub heeft drie basisrollen die u kunt toepassen op alle resourcetypen:

  • Eigenaar: verleent volledige toegang voor het beheren van alle resources, inclusief de mogelijkheid om rollen toe te wijzen in Azure Stack RBAC.
  • Inzender: verleent volledige toegang voor het beheren van alle resources, maar staat u niet toe om rollen toe te wijzen in Azure Stack RBAC.
  • Lezer: kan alles bekijken, maar kan geen wijzigingen aanbrengen.

Resourcehiërarchie en overname

Azure Stack Hub heeft de volgende resourcehiërarchie:

  • Elk abonnement behoort tot één map.
  • Elke resourcegroep behoort tot één abonnement.
  • Elke resource behoort tot één resourcegroep.

Toegang die u verleent aan een bovenliggend bereik, wordt overgenomen op onderliggende bereiken. Bijvoorbeeld:

  • U wijst de rol Lezer toe aan een Microsoft Entra groep binnen het abonnementsbereik. De leden van die groep kunnen elke resourcegroep en resource in het abonnement bekijken.
  • U wijst de rol Inzender toe aan een app binnen het bereik van de resourcegroep. De app kan resources van alle typen in die resourcegroep beheren, maar geen andere resourcegroepen in het abonnement.

Rollen toewijzen

U kunt meer dan één rol toewijzen aan een gebruiker en elke rol kan worden gekoppeld aan een ander bereik. Bijvoorbeeld:

  • U wijst TestUser-A de rol Lezer toe aan Abonnement-1.
  • U wijst TestUser-A de rol Eigenaar toe aan TestVM-1.

Het artikel Azure-roltoewijzingen bevat gedetailleerde informatie over het weergeven, toewijzen en verwijderen van rollen.

Toegangsmachtigingen instellen voor een gebruiker

In de volgende stappen wordt beschreven hoe u machtigingen voor een gebruiker configureert.

  1. Meld u aan met een account met eigenaarsmachtigingen voor de resource die u wilt beheren.

  2. Kies Resourcegroepen in het linkernavigatievenster.

  3. Kies de naam van de resourcegroep waarvoor u machtigingen wilt instellen.

  4. Kies toegangsbeheer (IAM) in het navigatiedeelvenster van de resourcegroep.
    De weergave Roltoewijzingen bevat de items die toegang hebben tot de resourcegroep. U kunt de resultaten filteren en groeperen.

  5. Kies op de menubalk Toegangsbeheerde optie Toevoegen.

  6. In het deelvenster Machtigingen toevoegen :

    • Kies de rol die u wilt toewijzen in de vervolgkeuzelijst Rol .
    • Kies de resource die u wilt toewijzen in de vervolgkeuzelijst Toegang toewijzen aan .
    • Selecteer de gebruiker, groep of app in uw directory waaraan u toegang wilt verlenen. U kunt zoeken in de directory met weergavenamen, e-mailadressen en object-id's.
  7. Selecteer Opslaan.

Volgende stappen

Creatie service-principals