Op rollen gebaseerd toegangsbeheer van Azure in Azure Lab Services
Azure Lab Services biedt ingebouwd op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) voor algemene beheerscenario's in Azure Lab Services. Een persoon die een profiel in Microsoft Entra ID heeft, kan deze Azure-rollen toewijzen aan gebruikers, groepen, service-principals of beheerde identiteiten om toegang te verlenen of te weigeren tot resources en bewerkingen in Azure Lab Services-resources. In dit artikel worden de verschillende ingebouwde rollen beschreven die door Azure Lab Services worden ondersteund.
Op rollen gebaseerd toegangsbeheer van Azure (RBAC) is een autorisatiesysteem dat is gebouwd op Azure Resource Manager dat gedetailleerd toegangsbeheer van Azure-resources biedt.
Azure RBAC specificeert ingebouwde roldefinities waarmee de machtigingen worden beschreven die moeten worden toegepast. U wijst een gebruiker of groep deze roldefinitie toe via een roltoewijzing voor een bepaald bereik. Het bereik kan een afzonderlijke resource, een resourcegroep of in het abonnement zijn. In de volgende sectie leert u welke ingebouwde rollen Azure Lab Services ondersteunt.
Zie Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)?
Notitie
Wanneer u wijzigingen aanbrengt in de roltoewijzing, kan het enkele minuten duren voordat deze updates zijn doorgevoerd.
Ingebouwde rollen
In dit artikel worden de ingebouwde Azure-rollen logisch gegroepeerd in twee roltypen, op basis van hun invloedsbereik:
- Beheer istratorrollen: invloed hebben op machtigingen voor labplannen en labs
- Labbeheerrollen: machtigingen voor labs beïnvloeden
Hier volgen de ingebouwde rollen die worden ondersteund door Azure Lab Services:
| Roltype | Ingebouwde rol | Omschrijving |
|---|---|---|
| Beheerder | Eigenaar | Verken volledig beheer om labplannen en labs te maken/beheren en machtigingen te verlenen aan andere gebruikers. Meer informatie over de rol Eigenaar. |
| Beheerder | Inzender | Verwijs volledig beheer om labplannen en labs te maken/beheren, met uitzondering van het toewijzen van rollen aan andere gebruikers. Meer informatie over de rol Inzender. |
| Beheerder | Inzender voor Lab Services | Geef dezelfde machtigingen als de rol Eigenaar, met uitzondering van het toewijzen van rollen. Meer informatie over de rol Inzender voor Lab Services. |
| Labbeheer | Labmaker | Ververleent toestemming om labs te maken en volledige controle te hebben over de labs die ze maken. Meer informatie over de rol Labmaker. |
| Labbeheer | Labbijdrager | Vernieuw toestemming om een bestaand lab te beheren, maar geen nieuwe labs te maken. Meer informatie over de rol Labbijdrager. |
| Labbeheer | Labassistent | Geef toestemming om een bestaand lab weer te geven. Kan ook een virtuele machine in het lab starten, stoppen of er een installatiekopie van maken. Meer informatie over de rol labassistent. |
| Labbeheer | Lab Services Reader | Geef toestemming om bestaande labs weer te geven. Meer informatie over de rol labserviceslezer. |
Bereik van roltoewijzing
In Azure RBAC is het bereik de set resources waarop toegang van toepassing is. Wanneer u een rol toewijst, is het belangrijk om inzicht te krijgen in het bereik, zodat u alleen de benodigde toegang verleent.
In Azure kunt u een bereik opgeven op vier niveaus: beheergroep, abonnement, resourcegroep en resource. Bereiken zijn gestructureerd in een bovenliggende/onderliggende relatie. Elk niveau van de hiërarchie maakt het bereik specifieker. U kunt rollen toewijzen aan elk van deze bereikniveaus. Het niveau dat u selecteert, bepaalt hoe breed de rol wordt toegepast. Lagere niveaus nemen rolmachtigingen over van hogere niveaus. Meer informatie over het bereik voor Azure RBAC.
Houd voor Azure Lab Services rekening met de volgende bereiken:
| Bereik | Omschrijving |
|---|---|
| Abonnement | Wordt gebruikt voor het beheren van facturering en beveiliging voor alle Azure-resources en -services. Normaal gesproken hebben alleen beheerders toegang op abonnementsniveau omdat met deze roltoewijzing toegang wordt verleend tot alle resources in het abonnement. |
| Resourcegroep | Een logische container voor het groeperen van resources. Roltoewijzing voor de resourcegroep verleent machtigingen aan de resourcegroep en alle resources erin, zoals labs en labplannen. |
| Labplan | Een Azure-resource die wordt gebruikt om algemene configuratie-instellingen toe te passen wanneer u een lab maakt. Roltoewijzing voor het labplan verleent alleen machtigingen voor een specifiek labplan. |
| Lab | Een Azure-resource die wordt gebruikt om algemene configuratie-instellingen toe te passen voor het maken en uitvoeren van virtuele machines van een lab. Roltoewijzing voor het lab verleent alleen machtigingen aan een specifiek lab. |
Belangrijk
In Azure Lab Services zijn labplannen en labs naast elkaar resources . Als gevolg hiervan nemen labs geen roltoewijzingen over van het labplan. Roltoewijzingen van de resourcegroep worden echter overgenomen door labplannen en labs in die resourcegroep.
Rollen voor algemene labactiviteiten
In de volgende tabel ziet u algemene labactiviteiten en de rol die een gebruiker nodig heeft om die activiteit uit te voeren.
| Activiteit | Roltype | - Rol | Bereik |
|---|---|---|---|
| Geef toestemming om een resourcegroep te maken. Een resourcegroep is een logische container in Azure voor het opslaan van de labplannen en labs. Voordat u een labplan of lab kunt maken, moet deze resourcegroep bestaan. | Beheerder | Eigenaar of inzender | Abonnement |
| Ververleent toestemming om een Microsoft-ondersteuningsticket in te dienen, inclusief om capaciteit aan te vragen. | Beheerder | Eigenaar, Inzender, Inzender ondersteuningsaanvraag | Abonnement |
| Machtiging verlenen aan: - Rollen toewijzen aan andere gebruikers. - Labplannen, labs en andere resources binnen de resourcegroep maken/beheren. - Marketplace en aangepaste installatiekopieën inschakelen/uitschakelen in een labplan. - Rekengalerie koppelen/loskoppelen in een labplan. |
Beheerder | Eigenaar | Resourcegroep |
| Machtiging verlenen aan: - Labplannen, labs en andere resources binnen de resourcegroep maken/beheren. - Azure Marketplace en aangepaste installatiekopieën in- of uitschakelen in een labplan. Maar niet de mogelijkheid om rollen toe te wijzen aan andere gebruikers. |
Beheerder | Inzender | Resourcegroep |
| Ververleent toestemming om uw eigen labs te maken of te beheren voor alle labplannen binnen een resourcegroep. | Labbeheer | Labmaker | Resourcegroep |
| Ververleent toestemming om uw eigen labs te maken of te beheren voor een specifiek labplan. | Labbeheer | Labmaker | Labplan |
| Ververleent toestemming om samen een lab te beheren, maar niet de mogelijkheid om labs te maken. | Labbeheer | Labbijdrager | Lab |
| Ververleent u alleen machtigingen voor het starten/stoppen/opnieuw maken van VM's voor alle labs binnen een resourcegroep. | Labbeheer | Labassistent | Resourcegroep |
| Ververleent u alleen machtigingen voor het starten/stoppen/opnieuw instellen van VM's voor een specifiek lab. | Labbeheer | Labassistent | Lab |
Belangrijk
Het abonnement van een organisatie wordt gebruikt voor het beheren van facturering en beveiliging voor alle Azure-resources en -services. U kunt de rol Eigenaar of Inzender toewijzen aan het abonnement. Normaal gesproken hebben alleen beheerders toegang op abonnementsniveau, omdat dit volledige toegang tot alle resources in het abonnement omvat.
Beheerdersrollen
Als u gebruikers machtigingen wilt verlenen voor het beheren van Azure Lab Services binnen het abonnement van uw organisatie, moet u hen de rol Eigenaar, Inzender of Lab Services-inzender toewijzen.
Wijs deze rollen toe aan de resourcegroep. De labplannen en labs binnen de resourcegroep nemen deze roltoewijzingen over.
In de volgende tabel worden de verschillende beheerdersrollen vergeleken wanneer deze zijn toegewezen aan de resourcegroep.
| Labplan/Lab | Activiteit | Eigenaar | Inzender | Inzender voor Lab Services |
|---|---|---|---|---|
| Labplan | Alle labplannen in de resourcegroep weergeven | Ja | Ja | Ja |
| Labplan | Alle labplannen in de resourcegroep maken, wijzigen of verwijderen | Ja | Ja | Ja |
| Labplan | Rollen toewijzen aan labplannen binnen de resourcegroep | Ja | Nee | Nee |
| Lab | Labs maken binnen de resourcegroep** | Ja | Ja | Ja |
| Lab | De labs van andere gebruikers in de resourcegroep weergeven | Ja | Ja | Ja |
| Lab | Labs van andere gebruikers in de resourcegroep wijzigen of verwijderen | Ja | Ja | Nee |
| Lab | Rollen toewijzen aan labs van andere gebruikers binnen de resourcegroep | Ja | Nee | Nee |
** Gebruikers krijgen automatisch toestemming om instellingen te bekijken, instellingen te wijzigen, te verwijderen en rollen toe te wijzen voor de labs die ze maken.
Rol van eigenaar
Wijs de rol Eigenaar toe om een gebruiker volledige controle te geven over het maken of beheren van labplannen en labs en het verlenen van machtigingen aan andere gebruikers. Wanneer een gebruiker de rol Eigenaar voor de resourcegroep heeft, kan deze de volgende activiteiten uitvoeren voor alle resources binnen de resourcegroep:
- Wijs rollen toe aan beheerders, zodat ze labgerelateerde resources kunnen beheren.
- Wijs rollen toe aan labbeheerders, zodat ze labs kunnen maken en beheren.
- Labplannen en labs maken.
- Instellingen voor alle labplannen weergeven, verwijderen en wijzigen, waaronder het koppelen of loskoppelen van de rekengalerie en het in- of uitschakelen van Azure Marketplace en aangepaste installatiekopieën in labplannen.
- Instellingen voor alle labs weergeven, verwijderen en wijzigen.
Let op
Wanneer u de rol Eigenaar of Inzender aan de resourcegroep toewijst, zijn deze machtigingen ook van toepassing op niet-labgerelateerde resources die aanwezig zijn in de resourcegroep. Bijvoorbeeld resources zoals virtuele netwerken, opslagaccounts, rekengalerieën en meer.
Rol Inzender
Wijs de rol Inzender toe om een gebruiker volledige controle te geven over het maken of beheren van labplannen en labs binnen een resourcegroep. De rol Inzender heeft dezelfde machtigingen als de rol Eigenaar, met uitzondering van :
- Roltoewijzingen uitvoeren
Rol Lab Services-inzender
Lab Services-inzender is de meest beperkende van de beheerdersrollen. Wijs de rol Lab Services-inzender toe om dezelfde activiteiten in te schakelen als de rol Eigenaar, met uitzondering van :
- Roltoewijzingen uitvoeren
- Labs van andere gebruikers wijzigen of verwijderen
Notitie
De rol Inzender voor Lab Services staat geen wijzigingen toe aan resources die niet zijn gerelateerd aan Azure Lab Services. Aan de andere kant staat de rol Inzender wijzigingen toe aan alle Azure-resources binnen de resourcegroep.
Labbeheerrollen
Gebruik de volgende rollen om gebruikers machtigingen te verlenen voor het maken en beheren van labs:
- Labmaker
- Labbijdrager
- Labassistent
- Lab Services Reader
Deze labbeheerrollen verlenen alleen toestemming om labplannen weer te geven. Deze rollen staan het maken, wijzigen, verwijderen of toewijzen van rollen niet toe aan labplannen. Bovendien kunnen gebruikers met deze rollen geen rekengalerie koppelen of loskoppelen en installatiekopieën van virtuele machines in- of uitschakelen.
Rol labmaker
Wijs de rol Labmaker toe om een gebruiker toestemming te geven om labs te maken en volledige controle te hebben over de labs die ze maken. Ze kunnen bijvoorbeeld de instellingen van hun labs wijzigen, hun labs verwijderen en zelfs andere gebruikers toestemming geven voor hun labs.
Wijs de rol Labmaker toe aan de resourcegroep of het labplan.
De volgende tabel vergelijkt de roltoewijzing labmaker voor de resourcegroep of het labplan.
| Activiteit | Resourcegroep | Labplan |
|---|---|---|
| Labs maken binnen de resourcegroep** | Ja | Ja |
| Labs weergeven die ze hebben gemaakt | Ja | Ja |
| De labs van andere gebruikers in de resourcegroep weergeven | Ja | Nee |
| Labs wijzigen of verwijderen die de gebruiker heeft gemaakt | Ja | Ja |
| Labs van andere gebruikers in de resourcegroep wijzigen of verwijderen | Nee | Nee |
| Rollen toewijzen aan labs van andere gebruikers binnen de resourcegroep | Nee | Nee |
** Gebruikers krijgen automatisch toestemming om instellingen te bekijken, instellingen te wijzigen, te verwijderen en rollen toe te wijzen voor de labs die ze maken.
Rol labbijdrager
Wijs de rol Inzender voor lab toe om een gebruiker toestemming te geven om een bestaand lab te beheren.
Wijs de rol Labbijdrager toe aan het lab.
Wanneer u de rol Labbijdrager aan het lab toewijst, kan de gebruiker het toegewezen lab beheren. Met name de gebruiker:
- Kan alle instellingen bekijken, wijzigen of het toegewezen lab verwijderen.
- De gebruiker kan de labs van andere gebruikers niet bekijken.
- Kan geen nieuwe labs maken.
Rol labassistent
Wijs de rol labassistent toe om een gebruiker toestemming te geven om een lab weer te geven en virtuele machines voor het lab te starten, te stoppen en opnieuw te maken.
Wijs de rol labassistent toe aan de resourcegroep of het lab.
Wanneer u de rol Lab Assistant aan de resourcegroep toewijst, is de gebruiker:
- U kunt alle labs in de resourcegroep bekijken en virtuele machines voor elk lab starten, stoppen of opnieuw instellen.
- Kan geen andere wijzigingen in de labs verwijderen of aanbrengen.
Wanneer u de rol LabAssistent aan het lab toewijst, is de gebruiker:
- U kunt het toegewezen lab bekijken en virtuele machines van het lab starten, stoppen of opnieuw maken.
- Kan geen andere wijzigingen in het lab verwijderen of aanbrengen.
- Kan geen nieuwe labs maken.
Wanneer u de rol Labassistent hebt, moet u het filter Alle labs kiezen op de website van Azure Lab Services om andere labs weer te geven waar u toegang toe krijgt.
Rol labserviceslezer
Wijs de rol Lab Services Reader toe om een gebruikersmachtiging te verlenen aan bestaande labs. De gebruiker kan geen wijzigingen aanbrengen in bestaande labs.
Wijs de rol Lab Services Reader toe aan de resourcegroep of het lab.
Wanneer u de rol Lab Services Reader aan de resourcegroep toewijst, kan de gebruiker het volgende doen:
- Bekijk alle labs in de resourcegroep.
Wanneer u de rol Lab Services Reader in het lab toewijst, kan de gebruiker het volgende doen:
- Alleen het specifieke lab weergeven.
Identiteits- en toegangsbeheer (IAM)
De pagina Toegangsbeheer (IAM) in Azure Portal wordt gebruikt voor het configureren van op rollen gebaseerd toegangsbeheer in Azure Lab Services-resources. U kunt ingebouwde rollen gebruiken voor personen en groepen in Active Directory. In de volgende schermopname ziet u Active Directory-integratie (Azure RBAC) met behulp van toegangsbeheer (IAM) in Azure Portal:
Raadpleeg Azure-rollen toewijzen met Azure Portal voor informatie over het toewijzen van rollen.
Resourcegroep- en labplanningsstructuur
Uw organisatie moet vooraf tijd investeren om de structuur van resourcegroepen en labplannen te plannen. Dit is vooral belangrijk wanneer u rollen toewijst aan de resourcegroep, omdat hiermee ook machtigingen worden toegepast op alle resources in de resourcegroep.
Om ervoor te zorgen dat gebruikers alleen machtigingen krijgen voor de juiste resources:
Maak resourcegroepen die alleen labgerelateerde resources bevatten.
Organiseer labplannen en labs in afzonderlijke resourcegroepen op basis van de gebruikers die toegang moeten hebben.
U kunt bijvoorbeeld afzonderlijke resourcegroepen maken voor verschillende afdelingen om de labresources van elke afdeling te isoleren. Labmakers in één afdeling kunnen vervolgens machtigingen krijgen voor de resourcegroep, waardoor ze alleen toegang krijgen tot de labresources van hun afdeling.
Belangrijk
Plan de resourcegroep en de structuur van het labplan vooraf omdat het niet mogelijk is om labplannen of labs naar een andere resourcegroep te verplaatsen nadat deze zijn gemaakt.
Toegang tot meerdere resourcegroepen
U kunt gebruikers toegang verlenen tot meerdere resourcegroepen. Op de azure Lab Services-website kan de gebruiker vervolgens kiezen uit de lijst met resourcegroepen om hun labs weer te geven.
Toegang tot meerdere labplannen
U kunt gebruikers toegang verlenen tot meerdere labplannen. Wanneer u bijvoorbeeld de rol Labmaker toewijst aan een gebruiker in een resourcegroep die meer dan één labplan bevat. De gebruiker kan vervolgens kiezen uit de lijst met labplannen bij het maken van een nieuw lab.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor