Hantera åtkomst till resurser i Azure Stack Hub med rollbaserad åtkomstkontroll

  • Artikel

Azure Stack Hub stöder rollbaserad åtkomstkontroll (RBAC), samma säkerhetsmodell för åtkomsthantering som Microsoft Azure använder. Du kan använda RBAC för att hantera användar-, grupp- eller appåtkomst till prenumerationer, resurser och tjänster.

Grundläggande om åtkomsthantering

Rollbaserad åtkomstkontroll (RBAC) ger detaljerad åtkomstkontroll som du kan använda för att skydda din miljö. Du ger användarna de exakta behörigheter de behöver genom att tilldela en RBAC-roll i ett visst omfång. Rolltilldelningens omfattning kan vara en prenumeration, en resursgrupp eller en enskild resurs. Mer detaljerad information om åtkomsthantering finns i artikeln Rollbaserad Access Control i Azure Portal.

Anteckning

När Azure Stack Hub distribueras med Active Directory Federation Services (AD FS) som identitetsprovider stöds endast universella grupper för RBAC-scenarier.

Inbyggda roller

Azure Stack Hub har tre grundläggande roller som du kan använda för alla resurstyper:

  • Ägare: kan hantera allt, inklusive åtkomst till resurser.
  • Deltagare: kan hantera allt, förutom åtkomst till resurser.
  • Läsare: kan visa allt, men kan inte göra några ändringar.

Resurshierarki och arv

Azure Stack Hub har följande resurshierarki:

  • Varje prenumeration tillhör en katalog.
  • Varje resursgrupp tillhör en prenumeration.
  • Varje resurs tillhör en resursgrupp.

Åtkomst som du beviljar i ett överordnat omfång ärvs i underordnade omfång. Exempel:

  • Du tilldelar rollen Läsare till en Microsoft Entra grupp i prenumerationsomfånget. Medlemmarna i den gruppen kan visa varje resursgrupp och resurs i prenumerationen.
  • Du tilldelar rollen Deltagare till en app i resursgruppsomfånget. Appen kan hantera resurser av alla typer i den resursgruppen, men inte andra resursgrupper i prenumerationen.

Tilldelar roller

Du kan tilldela mer än en roll till en användare och varje roll kan associeras med ett annat omfång. Exempel:

  • Du tilldelar Rollen Läsare för TestUser-A till Subscription-1.
  • Du tilldelar rollen TestUser-A ägare till TestVM-1.

Artikeln Om Rolltilldelningar i Azure innehåller detaljerad information om hur du visar, tilldelar och tar bort roller.

Ange åtkomstbehörigheter för en användare

Följande steg beskriver hur du konfigurerar behörigheter för en användare.

  1. Logga in med ett konto som har ägarbehörighet till den resurs som du vill hantera.

  2. Välj Resursgrupper i det vänstra navigeringsfönstret.

  3. Välj namnet på den resursgrupp som du vill ange behörigheter för.

  4. I navigeringsfönstret för resursgruppen väljer du Åtkomstkontroll (IAM).
    I vyn Rolltilldelningar visas de objekt som har åtkomst till resursgruppen. Du kan filtrera och gruppera resultatet.

  5. På menyraden Åtkomstkontroll väljer du Lägg till.

  6. I fönstret Lägg till behörigheter :

    • Välj den roll som du vill tilldela från listrutan Roll .
    • Välj den resurs som du vill tilldela från listrutan Tilldela åtkomst till .
    • Välj den användare, grupp eller app i din katalog som du vill bevilja åtkomst till. Du kan söka i katalogen med visningsnamn, e-postadresser och objektidentifierare.

  7. Välj Spara.

Nästa steg

Skapa tjänsthuvudnamn