Resurser, roller och åtkomst kontroll i Application Insights
Du kan styra vem som har Läs-och uppdaterings åtkomst till dina data i Azure Application Insightsmed hjälp av rollbaserad åtkomst kontroll i Azure (Azure RBAC).
Viktigt
Tilldela åtkomst till användare i resurs gruppen eller prenumerationen som program resursen tillhör, inte i själva resursen. Tilldela rollen Application Insights komponent deltagare . Detta säkerställer en enhetlig kontroll av åtkomst till webbtester och aviseringar tillsammans med program resursen. Läs mer.
Anteckning
I den här artikeln används Azure Az PowerShell-modulen, som är den rekommenderade PowerShell-modulen för att interagera med Azure. För att komma igång med Az PowerShell kan du läsa artikeln om att installera Azure PowerShell. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.
Resurser, grupper och prenumerationer
För det första, vissa definitioner:
Resurs -en instans av en Microsoft Azure-tjänst. Din Application Insights-resurs samlar in, analyserar och visar telemetri-data som skickas från ditt program. Andra typer av Azure-resurser är bland annat webbappar, databaser och virtuella datorer.
Om du vill se dina resurser öppnar du Azure Portal, loggar in och klickar på alla resurser. Du hittar en resurs genom att skriva en del av namnet i fältet filter.
Resurs grupp -varje resurs tillhör en grupp. En grupp är ett bekvämt sätt att hantera relaterade resurser, särskilt för åtkomst kontroll. Till exempel i en resurs grupp kan du exempelvis placera en webbapp, en Application Insights resurs för att övervaka appen och en lagrings resurs för att behålla exporterade data.
Prenumeration – om du vill använda Application Insights eller andra Azure-resurser loggar du in på en Azure-prenumeration. Varje resurs grupp tillhör en Azure-prenumeration där du väljer ditt pris paket och väljer medlemmar och deras åtkomst behörigheter om det är en organisations prenumeration.
Microsoft-konto -det användar namn och lösen ord som du använder för att logga in på Microsoft Azure prenumerationer, Xbox Live, Outlook.com och andra Microsoft-tjänster.
Kontrol lera åtkomst i resurs gruppen
Det är viktigt att förstå att förutom den resurs som du skapade för ditt program, finns det också separata dolda resurser för aviseringar och webbtester. De är kopplade till samma resurs grupp som din Application Insights-resurs. Du kanske också har lagt till andra Azure-tjänster i dit, t. ex. webbplatser eller lagring.
Ge åtkomst till en annan användare
Du måste ha ägar behörighet till prenumerationen eller resurs gruppen.
Användaren måste ha ett Microsoft-kontoeller ha åtkomst till sitt organisations Microsoft-konto. Du kan ge åtkomst till enskilda användare och även till användar grupper som definierats i Azure Active Directory.
Navigera till resurs grupp eller direkt till själva resursen
Välj åtkomst kontroll (IAM) på den vänstra menyn.
Välj Lägg till roll tilldelning
Vyn Lägg till behörigheter nedan är främst avsedd för Application Insights resurser, om du visar behörigheter för åtkomst kontroll från en högre nivå, t. ex. resurs grupper, så ser du ytterligare icke-Application Insights-centrerade roller.
Om du vill visa information om alla inbyggda roller som baseras på Azure rollbaserad åtkomst kontroll använder du det officiella referens innehållet.
Välj en roll
Där så är tillämpligt länkar vi till den tillhör ande officiella referens dokumentationen.
| Roll | I resurs gruppen |
|---|---|
| Ägare | Kan ändra vad som helst, inklusive användar åtkomst. |
| Deltagare | Kan redigera vad som helst, inklusive alla resurser. |
| Application Insights komponent deltagare | Kan redigera Application Insights-resurser. |
| Läsare | Kan visa men inte ändra något. |
| Application Insights Snapshot Debugger | Ger användaren behörighet att använda Application Insights Snapshot Debugger-funktioner. Observera att den här rollen ingår varken i rollen ägare eller deltagare. |
| Azure Service Deploy Release Management Contributor | Deltagar rollen för tjänster som distribueras via Azure Service Deploy. |
| Data rensning | Särskild roll för att rensa personliga data. Se vår vägledning för person uppgifter för mer information. |
| ExpressRoute-administratör | Kan skapa ta bort och hantera Express vägar. |
| Log Analytics Contributor | Log Analytics deltagare kan läsa alla övervaknings data och redigera övervaknings inställningar. Genom att redigera övervaknings inställningarna lägger du till VM-tillägget till virtuella datorer. läsning av lagrings konto nycklar för att kunna konfigurera samling av loggar från Azure Storage. Skapa och konfigurera Automation-konton. lägga till lösningar. och konfigurera Azure Diagnostics på alla Azure-resurser. |
| Log Analytics Reader | Log Analytics läsaren kan visa och söka i alla övervaknings data samt Visa övervaknings inställningar, inklusive Visa konfigurationen av Azure Diagnostics på alla Azure-resurser. |
| masterreader | Tillåter en användare att Visa allting men inte göra ändringar. |
| Övervaknings deltagare | Kan läsa alla övervaknings data och uppdatera övervaknings inställningar. |
| Övervaknings mått utgivare | Möjliggör publicering av mått mot Azure-resurser. |
| Övervaknings läsare | Kan läsa alla övervaknings data. |
| Resurs princip deltagare (för hands version) | Användare med egna användare från EA, med rättigheter att skapa/ändra resurs principer, skapa support ärende och läsa resurs/hierarki. |
| Administratör för användaråtkomst | Tillåter en användare att hantera åtkomst för andra användare till Azure-resurser. |
| Webbplats deltagare | Gör att du kan hantera webbplatser (inte webb planer), men inte till gång till dem. |
Redigering inkluderar att skapa, ta bort och uppdatera:
- Resurser
- Webbtester
- Aviseringar
- Löpande export
Välj användaren
Om användaren som du vill använda inte finns i katalogen kan du bjuda in alla med en Microsoft-konto. (Om de använder tjänster som Outlook.com, OneDrive, Windows Phone eller XBox Live har de en Microsoft-konto.)
Relaterat innehåll
PowerShell-fråga för att fastställa roll medlemskap
Eftersom vissa roller kan länkas till aviseringar och e-postaviseringar kan det vara bra att kunna generera en lista över användare som tillhör en viss roll. För att hjälpa till med att skapa dessa typer av listor erbjuder vi följande exempel frågor som kan justeras så att de passar dina behov:
Fråga hela prenumerationen för administratörs roller + deltagar roller
(Get-AzRoleAssignment -IncludeClassicAdministrators | Where-Object {$_.RoleDefinitionName -in @('ServiceAdministrator', 'CoAdministrator', 'Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Fråga inom kontexten för en speciell Application Insights resurs för ägare och deltagare
$resourceGroup = "RGNAME"
$resourceName = "AppInsightsName"
$resourceType = "microsoft.insights/components"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup -ResourceType $resourceType -ResourceName $resourceName | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Fråga inom kontexten för en speciell resurs grupp för ägare och deltagare
$resourceGroup = "RGNAME"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "