Gerir o acesso aos recursos no Azure Stack Hub com controlo de acesso baseado em funçõesManage access to resources in Azure Stack Hub with role-based access control

O Azure Stack Hub suporta o controlo de acesso baseado em funções (RBAC), o mesmo modelo de segurança para a gestão de acessos que o Microsoft Azure utiliza.Azure Stack Hub supports role-based access control (RBAC), the same security model for access management that Microsoft Azure uses. Pode utilizar o RBAC para gerir o acesso ao utilizador, grupo ou aplicação a subscrições, recursos e serviços.You can use RBAC to manage user, group, or app access to subscriptions, resources, and services.

Fundamentos da gestão do acessoBasics of access management

O controlo de acesso baseado em funções (RBAC) fornece um controlo de acesso fino que pode usar para proteger o seu ambiente.Role-based access control (RBAC) provides fine-grained access control that you can use to secure your environment. Você dá aos utilizadores as permissões exatas de que precisam atribuindo uma função RBAC em um determinado âmbito.You give users the exact permissions they need by assigning an RBAC role at a certain scope. O âmbito da atribuição de funções pode ser uma subscrição, um grupo de recursos ou um único recurso.The scope of the role assignment can be a subscription, a resource group, or a single resource. Para obter informações mais detalhadas sobre a gestão do acesso, consulte o Controlo de Acesso Baseado em Funções no artigo do portal Azure.For more detailed information about access management, see the Role-Based Access Control in the Azure portal article.

Nota

Quando o Azure Stack Hub é implantado utilizando os Serviços da Federação de Diretório Ativo como fornecedor de identidade, apenas os Grupos Universais são apoiados para cenários de RBAC.When Azure Stack Hub is deployed using Active Directory Federation Services as the identity provider, only Universal Groups are supported for RBAC scenarios.

Funções incorporadasBuilt-in roles

O Azure Stack Hub tem três funções básicas que pode aplicar a todos os tipos de recursos:Azure Stack Hub has three basic roles that you can apply to all resource types:

  • Proprietário: pode gerir tudo, incluindo acesso a recursos.Owner: can manage everything, including access to resources.
  • Contribuinte: pode gerir tudo, exceto acesso a recursos.Contributor: can manage everything, except access to resources.
  • Leitor: pode ver tudo, mas não pode fazer alterações.Reader: can view everything, but can't make any changes.

Hierarquia de recursos e herançaResource hierarchy and inheritance

O Azure Stack Hub tem a seguinte hierarquia de recursos:Azure Stack Hub has the following resource hierarchy:

  • Cada subscrição pertence a um diretório.Each subscription belongs to one directory.
  • Cada grupo de recursos pertence a uma subscrição.Each resource group belongs to one subscription.
  • Cada recurso pertence a um grupo de recursos.Each resource belongs to one resource group.

O acesso que concede num âmbito parental é herdado em âmbitos infantis.Access that you grant at a parent scope is inherited at child scopes. Por exemplo:For example:

  • Atribua o papel de Leitor a um grupo AD Azure no âmbito de subscrição.You assign the Reader role to an Azure AD group at the subscription scope. Os membros desse grupo podem ver todos os grupos de recursos e recursos na subscrição.The members of that group can view every resource group and resource in the subscription.
  • Atribua o papel de Contribuinte a uma aplicação no âmbito do grupo de recursos.You assign the Contributor role to an app at the resource group scope. A aplicação pode gerir recursos de todos os tipos desse grupo de recursos, mas não de outros grupos de recursos na subscrição.The app can manage resources of all types in that resource group, but not other resource groups in the subscription.

Atribuição de funçõesAssigning roles

Pode atribuir mais do que uma função a um utilizador e cada função pode ser associada a um âmbito diferente.You can assign more than one role to a user and each role can be associated with a different scope. Por exemplo:For example:

  • Atribui o papel de TestUser-A ao Leitor para a Subscrição-1.You assign TestUser-A the Reader role to Subscription-1.
  • Atribui a função TestUser-A ao TestVM-1.You assign TestUser-A the Owner role to TestVM-1.

O artigo de atribuição de funções Azure fornece informações detalhadas sobre visualização, atribuição e eliminação de funções.The Azure role assignments article provides detailed information about viewing, assigning, and deleting roles.

Definir permissões de acesso para um utilizadorSet access permissions for a user

Os seguintes passos descrevem como configurar permissões para um utilizador.The following steps describe how to configure permissions for a user.

  1. Faça o sômis com uma conta que tenha permissões do proprietário para o recurso que pretende gerir.Sign in with an account that has owner permissions to the resource you want to manage.

  2. Na navegação à esquerda, selecione Grupos de recursos.In the left navigation pane, choose Resource groups.

  3. Escolha o nome do grupo de recursos em que pretende definir permissões.Choose the name of the resource group that you want to set permissions on.

  4. No painel de navegação do grupo de recursos, escolha o controlo de acesso (IAM).In the resource group navigation pane, choose Access control (IAM).
    A visualização de Atribuições de Função lista os itens que têm acesso ao grupo de recursos.The Role Assignments view lists the items that have access to the resource group. Pode filtrar e agrupar os resultados.You can filter and group the results.

  5. Na barra de menus access, escolha Adicionar.On the Access control menu bar, choose Add.

  6. No Painel de permissões adicionar:On Add permissions pane:

    • Escolha o papel que pretende atribuir na lista de drop-down role.Choose the role you want to assign from the Role drop-down list.
    • Escolha o recurso que pretende atribuir da lista de acesso a Atribuir à lista de down-down.Choose the resource you want to assign from the Assign access to drop-down list.
    • Selecione o utilizador, grupo ou app no seu diretório a que deseja conceder acesso.Select the user, group, or app in your directory that you wish to grant access to. Pode procurar o diretório com os nomes a apresentar, endereços de correio eletrónico e identificadores de objetos.You can search the directory with display names, email addresses, and object identifiers.
  7. Selecione Guardar.Select Save.

Passos seguintesNext steps

Criar principais de serviçoCreate service principals