Compreender o acesso à área de trabalho do Azure Quantum
Saiba como gerir o acesso (autorização) a uma área de trabalho do Azure Quantum.
Controlo de acesso baseado em funções do Azure
O controlo de acesso baseado em funções do Azure (RBAC do Azure) é o sistema de autorização que utiliza para gerir o acesso aos recursos do Azure, como uma área de trabalho. Para conceder acesso, atribui funções a um principal de segurança.
Principal de segurança
Um principal de segurança é um objeto que representa um utilizador, grupo, principal de serviço ou identidade gerida.
| Principal de segurança | Definição |
|---|---|
| Utilizador | Uma conta de utilizador que inicia sessão no Azure para criar, gerir e utilizar recursos. |
| Grupo | Um grupo de utilizadores. Utilizado para gerir utilizadores que precisam do mesmo acesso e permissões aos recursos. |
| Service principal (Principal de serviço) | Uma identidade de utilizador para uma aplicação, serviço ou plataforma que precisa de aceder aos recursos. |
| Identidade gerida | Uma identidade gerida automaticamente no Azure Active Directory (Azure AD) para as aplicações utilizarem quando se ligam a recursos que suportam Azure AD autenticação. |
Função
Quando concede acesso a um principal de segurança, atribui uma função incorporada ou cria uma função personalizada. As funções incorporadas mais utilizadas são Proprietário, Contribuidor e Leitor.
| Função | Nível de acesso |
|---|---|
| Proprietário | Concede acesso total para gerir todos os recursos, incluindo a capacidade de atribuir funções no RBAC do Azure. |
| Contribuinte | Concede acesso total para gerir todos os recursos, mas não lhe permite atribuir funções no RBAC do Azure. |
| Leitor | Veja todos os recursos, mas não lhe permite fazer alterações. |
Âmbito
As funções são atribuídas num âmbito específico. O âmbito é o conjunto de recursos ao qual o acesso se aplica. Os âmbitos são estruturados numa relação de principal-subordinado. Cada nível de hierarquia torna o âmbito mais específico. O nível que selecionar determina a largura da função aplicada. Os níveis mais baixos herdam as permissões de função de níveis mais altos. Pode atribuir funções a quatro níveis de âmbito: grupo de gestão, subscrição, grupo de recursos ou recurso.
| Âmbito | Descrição |
|---|---|
| Grupo de gestão | Ajuda-o a gerir o acesso, a política e a conformidade de várias subscrições. Todas as subscrições num grupo de gestão herdam automaticamente as condições que são aplicadas ao grupo de gestão. Poderá precisar de um grupo de gestão se a sua organização tiver várias subscrições. |
| Subscrição | Associa logicamente contas de utilizador aos recursos que criam. Uma conta de utilizador é uma identidade de utilizador e uma ou mais subscrições. Uma subscrição representa um agrupamento de recursos do Azure. Uma fatura é gerada no âmbito da subscrição. Tem de ter uma conta com uma subscrição ativa para criar recursos do Azure. Para opções de subscrição, veja Criar uma área de trabalho do Azure Quantum. |
| Grupo de recursos | Um contentor que contém recursos relacionados para uma solução do Azure. O grupo de recursos inclui os recursos que pretende gerir como um grupo. Por exemplo, são necessários os seguintes recursos para executar aplicações no Azure Quantum:
|
| Recurso | Uma instância de um serviço que pode criar, como uma área de trabalho ou uma conta de armazenamento. |
Nota: Uma vez que o acesso pode ser limitado a vários níveis no Azure, um utilizador pode ter funções diferentes em cada nível. Por exemplo, alguém com acesso de proprietário a uma área de trabalho pode não ter acesso de proprietário ao grupo de recursos que contém a área de trabalho.
Requisitos de função para criar uma área de trabalho
Quando cria uma área de trabalho, seleciona primeiro uma subscrição, um grupo de recursos e uma conta de armazenamento para associar à área de trabalho. A sua capacidade de criar uma área de trabalho depende dos níveis de acesso que tem, começando no âmbito da subscrição. Para ver a sua autorização para vários recursos, consulte Verificar as atribuições de funções.
Proprietário da Subscrição
Os proprietários de subscrições podem criar áreas de trabalho com as opções Criação rápida ou Criação avançada . Pode escolher um grupo de recursos e uma conta de armazenamento que já existam na subscrição ou criar novas. Também tem a capacidade de atribuir funções a outros utilizadores.
Contribuidor da Subscrição
Os contribuidores da subscrição podem criar áreas de trabalho com a opção Criação avançada .
Para criar uma nova conta de armazenamento, tem de selecionar um grupo de recursos existente do qual é proprietário.
Para selecionar uma conta de armazenamento existente, tem de ser proprietário da conta de armazenamento. Também tem de selecionar o grupo de recursos existente ao qual pertence a conta de armazenamento.
Os contribuidores da subscrição não podem atribuir funções a outras pessoas.
Leitor de Subscrições
Os leitores de subscrições não podem criar áreas de trabalho. Pode ver todos os recursos criados na subscrição, mas não pode fazer alterações nem atribuir funções.
Verificar as atribuições de funções
Verificar as suas subscrições
Para ver uma lista das suas subscrições e funções associadas:
- Inicie sessão no portal do Azure.
- No cabeçalho serviços do Azure, selecione Subscrições. Se não vir Subscrições aqui, utilize a caixa de pesquisa para encontrá-la.
- O filtro Subscrições junto à caixa de pesquisa pode estar predefinido para Subscrições == filtro global. Para ver uma lista de todas as suas subscrições, selecione o filtro Subscrições e desselecione "Selecionar apenas subscrições selecionadas no..." caixa. Em seguida, selecione Aplicar. Em seguida, o filtro deve mostrar Subscrições == todas.
Verificar os recursos
Para verificar a atribuição de função que o utilizador ou outro utilizador tem para um recurso específico, veja Verificar o acesso de um utilizador aos recursos do Azure.
Atribuir funções
Para adicionar novos utilizadores a uma área de trabalho, tem de ser proprietário da área de trabalho. Para conceder acesso a 10 ou menos utilizadores à sua área de trabalho, veja Partilhar acesso à área de trabalho do Azure Quantum. Para conceder acesso a mais de 10 utilizadores, veja Adicionar um grupo à sua área de trabalho do Azure Quantum.
Para atribuir funções a qualquer recurso em qualquer âmbito, incluindo ao nível da subscrição, veja Atribuir funções do Azure com o portal do Azure.
Resolução de problemas
Quando cria um recurso no Azure, como uma área de trabalho, não é diretamente o proprietário do recurso. A sua função é herdada da função de âmbito mais elevada à qual está autorizado nessa subscrição.
Por vezes, pode demorar até uma hora para que as novas atribuições de funções entrem em vigor sobre as permissões em cache em toda a pilha.
Para obter soluções para problemas comuns, veja Resolver problemas do Azure Quantum: Criar uma área de trabalho do Azure Quantum.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários