Resources, rollen en toegangs beheer in Application Insights
U kunt bepalen wie toegang heeft tot uw gegevens in azure Application Insightslezen en bijwerken met behulp van Azure op rollen gebaseerd toegangs beheer (Azure RBAC).
Belangrijk
Wijs toegang toe aan gebruikers in de resource groep of het abonnement waartoe de resource van de toepassing behoort, niet in de resource zelf. Wijs de rol van de Application Insights onderdeel bijdrager toe. Dit zorgt voor eenvormige controle van de toegang tot webtests en waarschuwingen samen met uw toepassings bron. Meer informatie.
Notitie
In dit artikel wordt de Azure Az PowerShell-module gebruikt. Dit is de aanbevolen PowerShell-module voor interactie met Azure. Raadpleeg Azure PowerShell installeren om aan de slag te gaan met de Az PowerShell-module. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.
Resources, groepen en abonnementen
Eerst worden enkele definities:
Resource : een exemplaar van een Microsoft Azure service. Uw Application Insights resource verzamelt, analyseert en toont de telemetriegegevens die vanuit uw toepassing zijn verzonden. Andere typen Azure-resources zijn web-apps, data bases en virtuele machines.
Als u uw resources wilt zien, opent u de Azure Portal, meldt u zich aan en klikt u op alle resources. Als u een resource wilt zoeken, typt u een deel van de naam in het veld Filter.
Resource groep : elke resource behoort tot één groep. Een groep is een handige manier om gerelateerde resources te beheren, met name voor toegangs beheer. Zo kunt u bijvoorbeeld in één resource groep een web-app, een Application Insights-resource voor het bewaken van de app en een opslag Resource plaatsen om geëxporteerde gegevens te bewaren.
Abonnement : als u Application Insights of andere Azure-resources wilt gebruiken, meldt u zich aan bij een Azure-abonnement. Elke resource groep behoort tot één Azure-abonnement, waar u uw prijs pakket kiest en als het een organisatie-abonnement is, kiest u de leden en hun toegangs machtigingen.
Microsoft-account : de gebruikers naam en het wacht woord waarmee u zich aanmeldt bij Microsoft Azure abonnementen, Xbox Live, Outlook.com en andere micro soft-Services.
Toegang beheren in de resource groep
Het is belang rijk om te begrijpen dat naast de resource die u hebt gemaakt voor uw toepassing, ook afzonderlijke verborgen resources voor waarschuwingen en webtests worden weer gegeven. Ze zijn gekoppeld aan dezelfde resource groep als uw Application Insights-resource. Mogelijk hebt u ook andere Azure-Services in daar geplaatst, zoals websites of opslag.
Om toegang te verlenen aan een andere gebruiker
U moet eigenaars rechten hebben voor het abonnement of de resource groep.
De gebruiker moet een micro soft-accounthebben of toegang hebben tot het micro soft-accountvan hun organisatie. U kunt toegang verlenen aan personen en ook aan gebruikers groepen die zijn gedefinieerd in Azure Active Directory.
Navigeer naar een resource groep of rechtstreeks naar de resource zelf
Kies toegangs beheer (IAM) in het menu aan de linkerkant.
Selecteer Roltoewijzing toevoegen
De onderstaande machtigingen weergave toevoegen is voornamelijk specifiek voor Application Insights resources, als u de machtigingen voor toegangs beheer van een hoger niveau als resource groepen hebt bekeken, ziet u aanvullende niet-Application Insights gerichte rollen.
Als u informatie wilt weer geven over alle ingebouwde rollen van op rollen gebaseerd toegangs beheer van Azure, gebruikt u de officiële referentie-inhoud.
Een rol selecteren
Waar van toepassing, gaan we een koppeling naar de bijbehorende officiële referentie documentatie.
| Rol | In de resource groep |
|---|---|
| Eigenaar | Kan alles wijzigen, met inbegrip van gebruikers toegang. |
| Inzender | Kan alles bewerken, inclusief alle resources. |
| Inzender voor Application Insights onderdelen | Kan Application Insights resources bewerken. |
| Lezer | Kan weer geven, maar niet wijzigen. |
| Application Insights Snapshot Debugger | Hiermee krijgt de gebruiker toestemming om Application Insights Snapshot Debugger-functies te gebruiken. Houd er rekening mee dat deze rol is opgenomen in de rollen eigenaar en Inzender. |
| Inzender voor Azure service Deploy release management | Rol van Inzender voor services die worden geïmplementeerd via Azure service Deploy. |
| Gegevens opschoner | Speciale rol voor het leegmaken van persoonlijke gegevens. Bekijk onze richt lijnen voor persoonlijke gegevens voor meer informatie. |
| ExpressRoute-beheerder | Kan snelle routes maken en verwijderen. |
| Inzender van Log Analytics | Log Analytics Inzender kan alle bewakings gegevens lezen en controle-instellingen bewerken. Het bewerken van bewakings instellingen omvat het toevoegen van de VM-extensie aan Vm's; lezen van opslag account sleutels om het verzamelen van logboeken van Azure Storage te kunnen configureren. Automation-accounts maken en configureren; oplossingen toevoegen; en het configureren van Azure Diagnostics voor alle Azure-resources. |
| Lezer van Log Analytics | Log Analytics Reader kan alle bewakings gegevens weer geven en doorzoeken en controle-instellingen weer geven, inclusief het weer geven van de configuratie van Azure Diagnostics op alle Azure-resources. |
| masterreader | Hiermee kan een gebruiker alles weer geven, maar geen wijzigingen aanbrengen. |
| Inzender bewaken | Kan alle bewakings gegevens lezen en controle-instellingen bijwerken. |
| De uitgever van metrische gegevens controleren | Hiermee schakelt u de metrische gegevens voor publicatie in op Azure-resources. |
| Bewakings lezer | Kan alle controle gegevens lezen. |
| Inzender voor resource beleid (preview-versie) | Alsnog gebruikers van EA, met rechten voor het maken/wijzigen van het resource beleid, het maken van een ondersteunings ticket en het lezen van resources/hiërarchie. |
| Beheerder van gebruikerstoegang | Hiermee kan een gebruiker de toegang tot Azure-resources beheren voor andere gebruikers. |
| Website bijdrager | Hiermee kunt u websites beheren (niet Webabonnementen), maar niet de toegang tot de sites. |
' Bewerken ' omvat het maken, verwijderen en bijwerken:
- Resources
- Webtests
- Waarschuwingen
- Continue export
De gebruiker selecteren
Als de gebruiker die u wilt, niet in de adres lijst staat, kunt u iedereen uitnodigen met een Microsoft-account. (Als ze gebruikmaken van services zoals Outlook.com, OneDrive, Windows Phone of XBox Live, hebben ze een Microsoft-account.)
Gerelateerde inhoud
Power shell-query voor het bepalen van het rollidmaatschap
Omdat bepaalde rollen kunnen worden gekoppeld aan meldingen en e-mail waarschuwingen, kan het handig zijn om een lijst met gebruikers te genereren die tot een bepaalde rol behoren. Voor hulp bij het genereren van deze typen lijsten bieden we de volgende voorbeeld query's die kunnen worden aangepast aan uw specifieke behoeften:
Het hele abonnement voor beheerders rollen + Inzender rollen opvragen
(Get-AzRoleAssignment -IncludeClassicAdministrators | Where-Object {$_.RoleDefinitionName -in @('ServiceAdministrator', 'CoAdministrator', 'Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Query's uitvoeren in de context van een specifieke Application Insights resource voor eigen aren en mede werkers
$resourceGroup = "RGNAME"
$resourceName = "AppInsightsName"
$resourceType = "microsoft.insights/components"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup -ResourceType $resourceType -ResourceName $resourceName | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Query's uitvoeren in de context van een specifieke resource groep voor eigen aren en mede werkers
$resourceGroup = "RGNAME"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "