Zarządzanie dostępem do zasobów w usłudze Azure Stack Hub przy użyciu kontroli dostępu opartej na rolach

  • Artykuł

Usługa Azure Stack Hub obsługuje kontrolę dostępu opartą na rolach (RBAC), ten sam model zabezpieczeń na potrzeby zarządzania dostępem używanym przez platformę Microsoft Azure. Kontrola dostępu oparta na rolach umożliwia zarządzanie dostępem użytkowników, grup lub aplikacji do subskrypcji, zasobów i usług.

Podstawy zarządzania dostępem

Kontrola dostępu oparta na rolach (RBAC) zapewnia szczegółową kontrolę dostępu, której można użyć do zabezpieczenia środowiska. Możesz nadać użytkownikom dokładne wymagane uprawnienia, przypisując rolę RBAC w określonym zakresie. Zakres przypisania roli może być subskrypcją, grupą zasobów lub pojedynczym zasobem. Aby uzyskać bardziej szczegółowe informacje na temat zarządzania dostępem, zobacz Access Control oparte na rolach w artykule Azure Portal.

Uwaga

Gdy usługa Azure Stack Hub jest wdrażana przy użyciu Active Directory Federation Services jako dostawcy tożsamości, w scenariuszach kontroli dostępu opartej na rolach są obsługiwane tylko grupy uniwersalne.

Wbudowane role

Usługa Azure Stack Hub ma trzy podstawowe role, które można zastosować do wszystkich typów zasobów:

  • Właściciel: może zarządzać wszystkim, w tym dostępem do zasobów.
  • Współautor: może zarządzać wszystkim, z wyjątkiem dostępu do zasobów.
  • Czytelnik: może wyświetlać wszystko, ale nie może wprowadzać żadnych zmian.

Hierarchia zasobów i dziedziczenie

Usługa Azure Stack Hub ma następującą hierarchię zasobów:

  • Każda subskrypcja należy do jednego katalogu.
  • Każda grupa zasobów należy do jednej subskrypcji.
  • Każdy zasób należy do jednej grupy zasobów.

Dostęp udzielany w zakresie nadrzędnym jest dziedziczony w zakresach podrzędnych. Na przykład:

  • Rolę Czytelnik można przypisać do grupy Microsoft Entra w zakresie subskrypcji. Członkowie tej grupy mogą wyświetlać każdą grupę zasobów i zasób w subskrypcji.
  • Rolę Współautor przypisujesz do aplikacji w zakresie grupy zasobów. Aplikacja może zarządzać zasobami wszystkich typów w tej grupie zasobów, ale nie innymi grupami zasobów w subskrypcji.

Przypisywanie ról

Do użytkownika można przypisać więcej niż jedną rolę, a każda rola może być skojarzona z innym zakresem. Na przykład:

  • Przypisano rolę TestUser-A Czytelnik do subskrypcji Subscription-1.
  • Przypisanie roli TestUser-A właściciela do maszyny testowej TestVM-1.

Artykuł dotyczący przypisań ról platformy Azure zawiera szczegółowe informacje na temat wyświetlania, przypisywania i usuwania ról.

Ustawianie uprawnień dostępu dla użytkownika

W poniższych krokach opisano sposób konfigurowania uprawnień dla użytkownika.

  1. Zaloguj się przy użyciu konta z uprawnieniami właściciela do zasobu, którym chcesz zarządzać.

  2. W lewym okienku nawigacji wybierz pozycję Grupy zasobów.

  3. Wybierz nazwę grupy zasobów, dla której chcesz ustawić uprawnienia.

  4. W okienku nawigacji grupy zasobów wybierz pozycję Kontrola dostępu (zarządzanie dostępem i tożsamościami) .
    Widok Przypisania ról zawiera listę elementów, które mają dostęp do grupy zasobów. Możesz filtrować i grupować wyniki.

  5. Na pasku menu Kontrola dostępu wybierz pozycję Dodaj.

  6. W okienku Dodawanie uprawnień :

    • Wybierz rolę, którą chcesz przypisać z listy rozwijanej Rola .
    • Wybierz zasób, który chcesz przypisać z listy rozwijanej Przypisz dostęp do .
    • Wybierz użytkownika, grupę lub aplikację w katalogu, do którego chcesz udzielić dostępu. Możesz przeszukiwać katalog przy użyciu nazw wyświetlanych, adresów e-mail i identyfikatorów obiektów.

  7. Wybierz pozycję Zapisz.

Następne kroki

Tworzenie jednostek usługi