Toegang tot resources in Azure Stack Hub beheren met op rollen gebaseerd toegangsbeheer

  • Artikel
  • 2 minuten om te lezen

Azure Stack Hub biedt ondersteuning voor op rollen gebaseerd toegangsbeheer (RBAC), hetzelfde beveiligingsmodel voor toegangsbeheer dat Microsoft Azure gebruikt. U kunt RBAC gebruiken voor het beheren van gebruikers-, groeps- of app-toegang tot abonnementen, resources en services.

Basisbeginselen van toegangsbeheer

Op rollen gebaseerd toegangsbeheer (RBAC) biedt een fijner toegangsbeheer dat u kunt gebruiken om uw omgeving te beveiligen. U geeft gebruikers de exacte machtigingen die ze nodig hebben door een RBAC-rol toe te wijzen voor een bepaald bereik. Het bereik van de roltoewijzing kan een abonnement, een resourcegroep of één resource zijn. Zie het artikel Op rollen gebaseerd Access Control in het artikel Azure Portal meer informatie over Azure Portal toegangsbeheer.

Notitie

Wanneer Azure Stack Hub wordt geïmplementeerd met behulp Active Directory Federation Services id-provider, worden alleen universele groepen ondersteund voor RBAC-scenario's.

Ingebouwde rollen

Azure Stack Hub heeft drie basisrollen die u op alle resourcetypen kunt toepassen:

  • Eigenaar: kan alles beheren, inclusief toegang tot resources.
  • Inzender: kan alles beheren, behalve toegang tot resources.
  • Lezer: kan alles bekijken, maar kan geen wijzigingen aanbrengen.

Resourcehiërarchie en overname

Azure Stack Hub heeft de volgende resourcehiërarchie:

  • Elk abonnement behoort tot één directory.
  • Elke resourcegroep behoort tot één abonnement.
  • Elke resource behoort tot één resourcegroep.

Toegang die u verleent op een bovenliggend bereik, wordt overgenomen bij onderliggende bereiken. Bijvoorbeeld:

  • U wijst de rol Lezer toe aan een Azure AD-groep in het abonnementsbereik. De leden van die groep kunnen elke resourcegroep en resource in het abonnement bekijken.
  • U wijst de rol Inzender toe aan een app in het bereik van de resourcegroep. De app kan resources van alle typen in die resourcegroep beheren, maar niet andere resourcegroepen in het abonnement.

Rollen toewijzen

U kunt meer dan één rol toewijzen aan een gebruiker en elke rol kan worden gekoppeld aan een ander bereik. Bijvoorbeeld:

  • U wijst de rol Lezer van TestUser-A toe aan Abonnement-1.
  • U wijst de rol Eigenaar van TestUser-A toe aan TestVM-1.

Het artikel Azure-roltoewijzingen bevat gedetailleerde informatie over het weergeven, toewijzen en verwijderen van rollen.

Toegangsmachtigingen instellen voor een gebruiker

In de volgende stappen wordt beschreven hoe u machtigingen voor een gebruiker configureert.

  1. Meld u aan met een account met eigenaarsmachtigingen voor de resource die u wilt beheren.

  2. Kies Resourcegroepen in het linkernavigatievenster.

  3. Kies de naam van de resourcegroep waar u machtigingen voor wilt instellen.

  4. Kies toegangsbeheer (IAM) in het navigatiedeelvenster van de resourcegroep.
    In de weergave Roltoewijzingen worden de items vermeld die toegang hebben tot de resourcegroep. U kunt de resultaten filteren en groeperen.

  5. Kies op de menubalk Toegangsbeheer de optie Toevoegen.

  6. In het deelvenster Machtigingen toevoegen:

    • Kies de rol die u wilt toewijzen in de vervolgkeuzelijst Rol.
    • Kies de resource die u wilt toewijzen in de vervolgkeuzelijst Toegang toewijzen aan.
    • Selecteer de gebruiker, groep of app in uw directory aan wie u toegang wilt verlenen. U kunt zoeken in de directory met weergavenamen, e-mailadressen en object-id's.

  7. Selecteer Opslaan.

Volgende stappen

Service-principals maken