Recursos, funções e controlo de acesso no Application Insights
Você pode controlar quem leu e atualizou o acesso aos seus dados no Application Insights usando o controle de acesso baseado em função do Azure (Azure RBAC).
Importante
Atribua acesso a usuários no grupo de recursos ou assinatura ao qual o recurso do aplicativo pertence, não no recurso em si. Atribua a função Contribuidor do Componente do Application Insights. Essa função garante o controle uniforme do acesso a testes e alertas da Web, juntamente com o recurso do aplicativo. Saiba mais.
Nota
Recomendamos que utilize o módulo do Azure Az PowerShell para interagir com o Azure. Veja Instalar o Azure PowerShell para começar. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.
Recursos, grupos e subscrições
Primeiro, vamos definir alguns termos:
Recurso: uma instância de um serviço do Azure. Seu recurso do Application Insights coleta, analisa e exibe os dados de telemetria enviados do seu aplicativo. Outros tipos de recursos do Azure incluem aplicativos Web, bancos de dados e VMs.
Para ver os seus recursos, abra o portal do Azure, inicie sessão e selecione Todos os recursos. Para localizar um recurso, insira parte de seu nome no campo de filtro.
- Grupo de recursos: cada recurso pertence a um grupo. Um grupo é uma maneira conveniente de gerenciar recursos relacionados, especialmente para controle de acesso. Por exemplo, em um grupo de recursos, você pode colocar um aplicativo Web, um recurso do Application Insights para monitorar o aplicativo e um recurso do Armazenamento do Azure para manter os dados exportados.
- Assinatura: para usar o Application Insights ou outros recursos do Azure, entre em uma assinatura do Azure. Cada grupo de recursos pertence a uma assinatura do Azure, onde você escolhe seu pacote de preço. Se for uma assinatura da organização, o proprietário pode escolher os membros e suas permissões de acesso.
- Conta Microsoft: o nome de utilizador e palavra-passe que utiliza para iniciar sessão em subscrições do Azure, Xbox Live, Outlook.com e outros serviços Microsoft.
Controlar o acesso no grupo de recursos
Junto com o recurso que você criou para seu aplicativo, também há recursos ocultos separados para alertas e testes da Web. Eles estão anexados ao mesmo grupo de recursos que o recurso do Application Insights. Você também pode ter colocado outros serviços do Azure lá, como sites ou armazenamento.
Fornecer acesso a outro usuário
Você deve ter direitos de proprietário para a assinatura ou o grupo de recursos.
O usuário deve ter uma conta da Microsoft ou acesso à sua conta da Microsoft organizacional. Você pode fornecer acesso a indivíduos e também a grupos de usuários definidos no Microsoft Entra ID.
Ir para um grupo de recursos ou diretamente para o próprio recurso
Atribua a função de Colaborador ao RBAC do Azure.
Para obter etapas detalhadas, consulte Atribuir funções do Azure usando o portal do Azure.
Selecione uma função
Quando aplicável, a ligação liga-se à documentação de referência oficial associada.
| Função | No grupo de recursos |
|---|---|
| Proprietário | Pode alterar qualquer coisa, incluindo o acesso do usuário. |
| Contribuinte | Pode editar qualquer coisa, incluindo todos os recursos. |
| Colaborador do componente Application Insights | Pode editar recursos do Application Insights. |
| Leitor | Pode ver, mas não alterar nada. |
| Depurador de instantâneo do Application Insights | Dá ao usuário permissão para usar os recursos do Application Insights Snapshot Debugger. Essa função não está incluída nas funções de Proprietário ou Colaborador. |
| Colaborador do Azure Service Deploy Release Management | Função de colaborador para serviços implantados por meio da Implantação de Serviço do Azure. |
| Purificador de dados | Função especial para limpar dados pessoais. Para obter mais informações, consulte Gerenciar dados pessoais no Log Analytics e no Application Insights. |
| Administrador do Azure ExpressRoute | Pode criar, excluir e gerenciar rotas expressas. |
| Colaborador do Log Analytics | O Colaborador do Log Analytics pode ler todos os dados de monitoramento e editar as configurações de monitoramento. A edição de configurações de monitoramento inclui adicionar a extensão de VM a VMs, ler chaves de conta de armazenamento para poder configurar a coleção de logs do Armazenamento do Azure, criar e configurar contas de Automação, adicionar soluções e configurar o diagnóstico do Azure em todos os recursos do Azure. Se você estiver tendo problemas para configurar seu diagnóstico do Azure, consulte Diagnóstico do Azure. |
| Leitor do Log Analytics | O Log Analytics Reader pode exibir e pesquisar todos os dados de monitoramento e exibir configurações de monitoramento, incluindo a exibição da configuração do diagnóstico do Azure em todos os recursos do Azure. Se você estiver tendo problemas para configurar seu diagnóstico do Azure, consulte Diagnóstico do Azure. |
| Leitor Mestre | Permite que um usuário visualize tudo, mas não faça alterações. |
| Contribuidor de Monitorização | Pode ler todos os dados de monitoramento e atualizar as configurações de monitoramento. |
| Editor de Métricas de Monitoramento | Permite a publicação de métricas em relação aos recursos do Azure. |
| Leitor de Monitorização | Pode ler todos os dados de monitoramento. |
| Contribuidor de Política de Recursos (visualização) | Usuários backfill de Enterprise Agreements, com direitos para criar/modificar políticas de recursos, criar tíquetes de suporte e ler recursos/hierarquia. |
| Administrador de acesso de usuário | Permite que um usuário gerencie o acesso de outros usuários aos recursos do Azure. |
| Colaborador do site | Permite que você gerencie sites (não planos da Web), mas não acesse a eles. |
A edição inclui criar, excluir e atualizar:
- Recursos
- Testes Web
- Alertas
- Continuous export (Exportação contínua)
Selecione o usuário
Se o usuário desejado não estiver no diretório, você poderá convidar qualquer pessoa com uma conta da Microsoft. Se utilizarem serviços como Outlook.com, OneDrive, Windows Phone ou Xbox Live, têm uma conta Microsoft.
Conteúdos relacionados
Consulte o artigo Controle de acesso baseado em função do Azure (Azure RBAC).
Consulta do PowerShell para determinar a associação de função
Como determinadas funções podem ser vinculadas a notificações e alertas por e-mail, pode ser útil gerar uma lista de usuários que pertencem a uma determinada função. Para ajudar a gerar esses tipos de listas, as consultas de exemplo a seguir podem ser ajustadas para atender às suas necessidades específicas.
Consultar a subscrição inteira para funções de Administrador + Funções de Colaborador
(Get-AzRoleAssignment -IncludeClassicAdministrators | Where-Object {$_.RoleDefinitionName -in @('ServiceAdministrator', 'CoAdministrator', 'Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Consulta dentro do contexto de um recurso específico do Application Insights para proprietários e colaboradores
$resourceGroup = "RGNAME"
$resourceName = "AppInsightsName"
$resourceType = "microsoft.insights/components"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup -ResourceType $resourceType -ResourceName $resourceName | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Consulta dentro do contexto de um grupo de recursos específico para proprietários e colaboradores
$resourceGroup = "RGNAME"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "