Zarządzanie Virtual Machines azure Stack HCI przy użyciu Access Control opartych na rolach

Dotyczy: Azure Stack HCI, wersja 23H2

W tym artykule opisano sposób używania Access Control opartej na rolach (RBAC) do kontrolowania dostępu do maszyn wirtualnych usługi Arc uruchomionych w klastrze rozwiązania Azure Stack HCI.

Za pomocą wbudowanych ról RBAC można kontrolować dostęp do maszyn wirtualnych i zasobów maszyn wirtualnych, takich jak dyski wirtualne, interfejsy sieciowe, obrazy maszyn wirtualnych, sieci logiczne i ścieżki magazynu. Te role można przypisać do użytkowników, grup, jednostek usługi i tożsamości zarządzanych.

Ważne

Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta lub wersji zapoznawczej albo w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.

Informacje o wbudowanych rolach RBAC

Aby kontrolować dostęp do maszyn wirtualnych i zasobów maszyn wirtualnych w usłudze Azure Stack HCI, możesz użyć następujących ról RBAC:

• Administrator rozwiązania Azure Stack HCI — ta rola zapewnia pełny dostęp do klastra rozwiązania Azure Stack HCI i jego zasobów. Administrator rozwiązania Azure Stack HCI może zarejestrować klaster, a także przypisać współautorowi maszyny wirtualnej rozwiązania Azure Stack HCI i roli czytelnika maszyny wirtualnej rozwiązania Azure Stack HCI do innych użytkowników. Mogą również tworzyć udostępnione zasoby klastra, takie jak sieci logiczne, obrazy maszyn wirtualnych i ścieżki magazynu.
• Współautor maszyny wirtualnej rozwiązania Azure Stack HCI — ta rola przyznaje uprawnienia do wykonywania wszystkich akcji maszyn wirtualnych, takich jak uruchamianie, zatrzymywanie, ponowne uruchamianie maszyn wirtualnych. Współautor maszyny wirtualnej rozwiązania Azure Stack HCI może tworzyć i usuwać maszyny wirtualne, a także zasoby i rozszerzenia dołączone do maszyn wirtualnych. Współautor maszyny wirtualnej rozwiązania Azure Stack HCI nie może zarejestrować klastra ani przypisać ról innym użytkownikom ani utworzyć udostępnionych zasobów klastra, takich jak sieci logiczne, obrazy maszyn wirtualnych i ścieżki magazynu.
• Czytelnik maszyn wirtualnych rozwiązania Azure Stack HCI — ta rola przyznaje uprawnienia tylko do wyświetlania maszyn wirtualnych. Czytnik maszyn wirtualnych nie może wykonywać żadnych akcji na maszynach wirtualnych lub zasobach i rozszerzeniach maszyn wirtualnych.

Poniżej przedstawiono tabelę opisową akcji maszyn wirtualnych przyznanych przez każdą rolę dla maszyn wirtualnych i różnych zasobów maszyn wirtualnych. Zasoby maszyny wirtualnej są nazywane zasobami wymaganymi do utworzenia maszyny wirtualnej i obejmują dyski wirtualne, interfejsy sieciowe, obrazy maszyn wirtualnych, sieci logiczne i ścieżki magazynu:

Rola wbudowana	Maszyny wirtualne	Zasoby maszyny wirtualnej
Azure Stack HCI Administrator	Tworzenie, wyświetlanie listy i usuwanie maszyn wirtualnych Uruchamianie, zatrzymywanie, ponowne uruchamianie maszyn wirtualnych	Tworzenie, wyświetlanie listy, usuwanie wszystkich zasobów maszyn wirtualnych, w tym sieci logicznych, obrazów maszyn wirtualnych i ścieżek magazynu
Współautor maszyny wirtualnej rozwiązania Azure Stack HCI	Tworzenie, wyświetlanie listy i usuwanie maszyn wirtualnych Uruchamianie, zatrzymywanie, ponowne uruchamianie maszyn wirtualnych	Tworzenie, wyświetlanie listy, usuwanie wszystkich zasobów maszyn wirtualnych z wyjątkiem sieci logicznych, obrazów maszyn wirtualnych i ścieżek magazynu
Czytelnik maszyn wirtualnych rozwiązania Azure Stack HCI	Wyświetlanie listy wszystkich maszyn wirtualnych	Wyświetlanie listy wszystkich zasobów maszyny wirtualnej

Wymagania wstępne

Przed rozpoczęciem upewnij się, że spełnisz następujące wymagania wstępne:

1. Upewnij się, że masz dostęp do klastra rozwiązania Azure Stack HCI, który został wdrożony i zarejestrowany. Podczas wdrażania tworzony jest również mostek zasobów usługi Arc i lokalizacja niestandardowa.

   Przejdź do grupy zasobów na platformie Azure. Możesz zobaczyć lokalizację niestandardową i mostek zasobów usługi Azure Arc utworzony dla klastra rozwiązania Azure Stack HCI. Zanotuj subskrypcję, grupę zasobów i lokalizację niestandardową podczas korzystania z nich w dalszej części tego scenariusza.

2. Upewnij się, że masz dostęp do subskrypcji platformy Azure jako właściciel lub administrator dostępu użytkowników, aby przypisać role innym osobom.

Przypisywanie ról RBAC do użytkowników

Role RBAC można przypisywać do użytkownika za pośrednictwem Azure Portal. Wykonaj następujące kroki, aby przypisać role RBAC do użytkowników:

1. W witrynie Azure Portal wyszukaj zakres udzielania dostępu, na przykład wyszukaj subskrypcje, grupy zasobów lub określony zasób. W tym przykładzie używamy subskrypcji, w której wdrożono klaster rozwiązania Azure Stack HCI.

2. Przejdź do subskrypcji, a następnie przejdź do pozycji Przypisania ról kontroli dostępu (IAM). > Na górnym pasku poleceń wybierz pozycję + Dodaj , a następnie wybierz pozycję Dodaj przypisanie roli.

   Jeśli nie masz uprawnień do przypisywania ról, opcja Dodaj przypisanie roli jest wyłączona.

   

3. Na karcie Rola wybierz rolę RBAC do przypisania i wybierz jedną z następujących ról wbudowanych:

   • Azure Stack HCI Administrator
   • Współautor maszyny wirtualnej rozwiązania Azure Stack HCI
   • Czytelnik maszyn wirtualnych rozwiązania Azure Stack HCI

   

4. Na karcie Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi. Wybierz również członka, aby przypisać rolę.

   

5. Przejrzyj rolę i przypisz ją.

   

6. Sprawdź przypisanie roli. Przejdź do pozycji Kontrola dostępu (IAM) > Sprawdź dostęp > Wyświetl mój dostęp. Powinno zostać wyświetlone przypisanie roli.

   

Aby uzyskać więcej informacji na temat przypisywania ról, zobacz Przypisywanie ról platformy Azure przy użyciu Azure Portal.

Następne kroki

• Utwórz ścieżkę magazynu dla maszyny wirtualnej rozwiązania Azure Stack HCI.