Использование контроль доступа на основе ролей для управления Виртуальные машины Azure Stack HCI
Область применения: Azure Stack HCI, версия 23H2
В этой статье описывается, как использовать контроль доступа на основе ролей (RBAC) для управления доступом к виртуальным машинам Arc, работающим в кластере Azure Stack HCI.
Встроенные роли RBAC можно использовать для управления доступом к виртуальным машинам и ресурсам виртуальных машин, таким как виртуальные диски, сетевые интерфейсы, образы виртуальных машин, логические сети и пути к хранилищу. Эти роли можно назначать пользователям, группам, субъектам-службам и управляемым удостоверениям.
Важно!
Сейчас эта функция доступна в предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.
Сведения о встроенных ролях RBAC
Для управления доступом к виртуальным машинам и ресурсам виртуальных машин в Azure Stack HCI можно использовать следующие роли RBAC:
- Администратор Azure Stack HCI . Эта роль предоставляет полный доступ к кластеру Azure Stack HCI и его ресурсам. Администратор Azure Stack HCI может зарегистрировать кластер, а также назначить роли участник виртуальной машины Azure Stack HCI и читателя виртуальных машин Azure Stack HCI другим пользователям. Они также могут создавать общие ресурсы кластера, такие как логические сети, образы виртуальных машин и пути к хранилищу.
- Участник виртуальной машины Azure Stack HCI . Эта роль предоставляет разрешения на выполнение всех действий виртуальной машины, таких как запуск, остановка и перезапуск виртуальных машин. Участник виртуальной машины Azure Stack HCI может создавать и удалять виртуальные машины, а также ресурсы и расширения, подключенные к виртуальным машинам. Участник виртуальной машины Azure Stack HCI не может зарегистрировать кластер или назначить роли другим пользователям, а также создать общие ресурсы кластера, такие как логические сети, образы виртуальных машин и пути к хранилищу.
- Читатель виртуальных машин Azure Stack HCI . Эта роль предоставляет разрешения только на просмотр виртуальных машин. Средство чтения виртуальных машин не может выполнять какие-либо действия с виртуальными машинами, ресурсами и расширениями виртуальных машин.
Ниже приведена таблица с описанием действий виртуальной машины, предоставляемых каждой ролью для виртуальных машин и различных ресурсов виртуальных машин. Ресурсы виртуальной машины относятся к ресурсам, необходимым для создания виртуальной машины, и включают виртуальные диски, сетевые интерфейсы, образы виртуальных машин, логические сети и пути к хранилищу.
| Встроенная роль | Виртуальные машины | Ресурсы виртуальной машины |
|---|---|---|
| Администратор Azure Stack HCI | Создание, перечисление и удаление виртуальных машин Запуск, остановка и перезапуск виртуальных машин |
Создание, перечисление и удаление всех ресурсов виртуальных машин, включая логические сети, образы виртуальных машин и пути к хранилищу |
| Участник виртуальной машины Azure Stack HCI | Создание, перечисление и удаление виртуальных машин Запуск, остановка и перезапуск виртуальных машин |
Создание, перечисление и удаление всех ресурсов виртуальных машин, кроме логических сетей, образов виртуальных машин и путей к хранилищу |
| Читатель виртуальной машины Azure Stack HCI | Вывод списка всех виртуальных машин | Вывод списка всех ресурсов виртуальной машины |
Предварительные требования
Прежде чем начать, убедитесь, что выполнены следующие предварительные требования.
Убедитесь, что у вас есть доступ к развернутой и зарегистрированной кластеру Azure Stack HCI. Во время развертывания также создается ресурсный мост Arc и пользовательское расположение.
Перейдите к группе ресурсов в Azure. Вы можете просмотреть пользовательское расположение и ресурсный мост Azure Arc, созданный для кластера Azure Stack HCI. Запишите подписку, группу ресурсов и пользовательское расположение, как они будут использоваться позже в этом сценарии.
Убедитесь, что у вас есть доступ к подписке Azure в качестве владельца или администратора доступа пользователей, чтобы назначить роли другим пользователям.
Назначение пользователям ролей
Роли RBAC можно назначить пользователю с помощью портал Azure. Чтобы назначить пользователям роли RBAC, выполните следующие действия.
На портале Azure найдите область для предоставления доступа, например, поиск подписок, групп ресурсов или определенного ресурса. В этом примере используется подписка, в которой развернут кластер Azure Stack HCI.
Перейдите к своей подписке, а затем выберите Управление доступом (IAM) > Назначения ролей. На верхней панели команд выберите + Добавить , а затем — Добавить назначение ролей.
Если у вас нет разрешений на назначение ролей, параметр Добавить назначение ролей отключен.
На вкладке Роль выберите роль RBAC для назначения и одну из следующих встроенных ролей:
- Администратор Azure Stack HCI
- Участник виртуальной машины Azure Stack HCI
- Читатель виртуальной машины Azure Stack HCI
На вкладке Участники выберите пользователя, группу или субъект-службу. Также выберите участника для назначения роли.
Просмотрите роль и назначьте ее.
Проверьте назначение роли. Перейдите в раздел Управление доступом (IAM) > Проверка доступа > Просмотр моего доступа. Должно отобразиться назначение ролей.
Дополнительные сведения о назначении ролей см. в статье Назначение ролей Azure с помощью портал Azure.
Дальнейшие действия
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по