你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 实验室服务中的 Azure 基于角色的访问控制
Azure 实验室服务为 Azure 实验室服务中的常见管理方案提供内置的 Azure 基于角色的访问控制(Azure RBAC)。 在 Microsoft Entra ID 中拥有配置文件的个人可以将这些 Azure 角色分配给用户、组、服务主体或托管标识,以授予或拒绝对 Azure 实验室服务资源的资源和操作的访问权限。 本文介绍 Azure 实验室服务支持的不同内置角色。
Azure 基于角色的访问控制 (RBAC) 是在 Azure 资源管理器基础上构建的一种授权系统,它针对 Azure 资源提供精细的访问权限管理。
Azure RBAC 指定内置角色定义,这些定义概述了要应用的权限。 可以通过特定范围的角色分配来分配用户或组此角色定义。 范围可以是单个资源、资源组或整个订阅。 在下一部分中,你将了解 Azure 实验室服务支持的内置角色 。
有关详细信息,请参阅什么是 Azure 基于角色的访问控制 (Azure RBAC)?
注意
进行角色分配更改时,可能需要几分钟时间才能传播这些更新。
内置角色
在本文中,Azure 内置角色按逻辑分组为两种角色类型,具体取决于其影响范围:
- 管理员管理员角色:影响实验室计划和实验室的权限
- 实验室管理角色:影响实验室的权限
以下是 Azure 实验室服务支持的内置角色:
| 角色类型 | 内置角色 | 说明 |
|---|---|---|
| 管理员 | “所有者” | 授予对创建/管理实验室计划和实验室的完全控制,并向其他用户授予权限。 详细了解 “所有者”角色。 |
| 管理员 | 参与者 | 授予对创建/管理实验室计划和实验室的完全控制,但向其他用户分配角色除外。 详细了解 “参与者”角色。 |
| 管理员 | 实验室服务参与者 | 授予与所有者角色相同的权限,但分配角色除外。 详细了解 实验室服务参与者角色。 |
| 实验室管理 | 实验室创建者 | 授予创建实验室的权限,并完全控制所创建的实验室。 详细了解 实验室创建者角色。 |
| 实验室管理 | 实验室参与者 | 授予权限以帮助管理现有实验室,但不创建新实验室。 详细了解 实验室参与者角色。 |
| 实验室管理 | 实验室助理 | 授予查看现有实验室的权限。 还可以启动、停止或重置实验室中的任何 VM 的映像。 详细了解 实验室助理角色。 |
| 实验室管理 | 实验室服务读取者 | 授予查看现有实验室的权限。 详细了解 实验室服务读取者角色。 |
角色分配范围
在 Azure RBAC 中, 范围 是一组适用于访问的资源。 分配角色时,请务必了解范围,以便仅授予所需的访问权限。
在 Azure 中,可以在以下四个级别指定范围:管理组、订阅、资源组和资源。 范围采用父子关系结构。 层次结构的每个级别都会使范围更具针对性。 可以在其中任何一个范围级别分配角色。 所选级别决定了角色的应用广泛程度。 较低级别继承较高级别的角色权限。 详细了解 Azure RBAC 的范围。
对于 Azure 实验室服务,请考虑以下范围:
| 范围 | 说明 |
|---|---|
| 订阅 | 用于管理所有 Azure 资源和服务的计费和安全性。 通常,只有管理员具有订阅级访问权限,因为此角色分配授予对订阅中的所有资源的访问权限。 |
| 资源组 | 用于组合资源的逻辑容器。 资源组的角色分配向资源组及其中的所有资源(例如实验室和实验室计划)授予权限。 |
| 实验室计划 | 创建实验室时用于应用常见配置设置的 Azure 资源。 实验室计划的角色分配仅授予特定实验室计划的权限。 |
| 实验室 | 用于应用常见配置设置的 Azure 资源,用于创建和运行实验室虚拟机。 实验室的角色分配仅向特定实验室授予权限。 |
重要
在 Azure 实验室服务中,实验室计划和实验室是 彼此之间的 同级资源。 因此,实验室不会从 实验室计划继承任何角色分配。 但是,资源组中的角色分配由该资源组中的实验室计划和实验室继承。
常见实验室活动的角色
下表显示了用户执行该活动所需的常见实验室活动和角色。
| 活动 | 角色类型 | 角色 | 作用域 |
|---|---|---|---|
| 授予创建资源组的权限。 资源组是 Azure 中用于保存实验室计划和实验室的逻辑容器。 在创建实验室计划或实验室之前 ,此资源组需要存在。 | 管理员 | 所有者或参与者 | 订阅 |
| 授予提交 Microsoft 支持票证的权限,包括 请求容量。 | 管理员 | 所有者、 参与者、 支持请求参与者 | 订阅 |
| 授予对: - 将角色分配给其他用户。 - 在资源组中创建/管理实验室计划、实验室和其他资源。 - 在实验室计划中启用/禁用市场和自定义映像。 - 在实验室计划中附加/分离计算库。 |
管理员 | 所有者 | 资源组 |
| 授予对: - 在资源组中创建/管理实验室计划、实验室和其他资源。 - 在实验室计划中启用或禁用Azure 市场和自定义映像。 但是, 不能 将角色分配给其他用户。 |
管理员 | 参与者 | 资源组 |
| 授予为 资源组中的所有 实验室计划创建或管理自己的实验室的权限。 | 实验室管理 | 实验室创建者 | 资源组 |
| 授予为特定实验室计划创建或管理自己的实验室的权限。 | 实验室管理 | 实验室创建者 | 实验室计划 |
| 授予共同管理实验室的权限,但 不允许 创建实验室。 | 实验室管理 | 实验室参与者 | 实验室 |
| 授予仅对资源组内所有实验室启动/停止/重置 VM 映像的权限。 | 实验室管理 | 实验室助理 | 资源组 |
| 授予仅针对特定实验室启动/停止/重置 VM 映像的权限。 | 实验室管理 | 实验室助理 | 实验室 |
重要
组织的订阅用于管理所有 Azure 资源和服务的计费和安全性。 可以在订阅上分配“所有者”或“参与者”角色。 通常,只有管理员具有订阅级访问权限,因为这包括对订阅中的所有资源的完全访问权限。
管理员角色
若要授予用户管理组织订阅中的 Azure 实验室服务的权限,应为其分配“所有者”、“参与者”或“实验室服务参与者”角色。
在 资源组上分配这些角色。 资源组中的实验室计划和实验室继承这些角色分配。
下表比较了在资源组上分配不同的管理员角色。
| 实验室计划/实验室 | 活动 | 所有者 | 参与者 | 实验室服务参与者 |
|---|---|---|---|---|
| 实验室计划 | 查看资源组中的所有实验室计划 | 是 | 是 | 是 |
| 实验室计划 | 在资源组中创建、更改或删除所有实验室计划 | 是 | 是 | 是 |
| 实验室计划 | 将角色分配给资源组中的实验室计划 | 是 | No | 否 |
| 实验室 | 在资源组中创建实验室** | 是 | 是 | 是 |
| 实验室 | 查看资源组中的其他用户实验室 | 是 | 是 | 是 |
| 实验室 | 更改或删除资源组中的其他用户实验室 | 是 | 是 | 否 |
| 实验室 | 将角色分配给资源组中的其他用户实验室 | 是 | No | 否 |
** 用户会自动获得查看、更改设置、删除和分配他们创建的实验室角色的权限。
所有者角色
分配所有者角色以授予用户完全控制权限,以创建或管理实验室计划和实验室,并向其他用户授予权限。 当用户对资源组具有“所有者”角色时,他们可以跨资源组中的所有资源执行以下活动:
- 将角色分配给管理员,以便他们可以管理实验室相关的资源。
- 将角色分配给实验室管理员,以便他们可以创建和管理实验室。
- 创建实验室计划和实验室。
- 查看、删除和更改所有实验室计划的设置,包括附加或分离计算库,并在实验室计划中启用或禁用Azure 市场和自定义映像。
- 查看所有实验室的视图、删除和更改设置。
注意
在资源组上分配“所有者”或“参与者”角色时,这些权限也适用于资源组中存在的非实验室相关资源。 例如,虚拟网络、存储帐户、计算库等资源。
参与者角色
分配参与者角色,让用户完全控制在资源组中创建或管理实验室计划和实验室。 “参与者”角色具有与“所有者”角色相同的权限, 但以下权限除外 :
- 执行角色分配
实验室服务参与者角色
实验室服务参与者是最严格的管理员角色。 分配实验室服务参与者角色以启用与所有者角色相同的活动, 但以下除外 :
- 执行角色分配
- 更改或删除其他用户的实验室
注意
实验室服务参与者角色不允许更改与 Azure 实验室服务无关的资源。 另一方面, “参与者” 角色允许更改资源组中的所有 Azure 资源。
实验室管理角色
使用以下角色授予用户创建和管理实验室的权限:
- 实验室创建者
- 实验室参与者
- 实验室助理
- 实验室服务读取者
这些实验室管理角色仅授予查看实验室计划的权限。 这些角色不允许创建、更改、删除或向实验室计划分配角色。 此外,具有这些角色的用户无法附加或分离计算库,也不能启用或禁用虚拟机映像。
实验室创建者角色
分配实验室创建者角色以授予用户创建实验室的权限,并完全控制他们创建的实验室。 例如,他们可以更改实验室的设置、删除实验室,甚至授予其他用户对其实验室的权限。
在 资源组或实验室计划中分配实验室创建者角色。
下表比较了资源组或实验室计划的实验室创建者角色分配。
| 活动 | 资源组 | 实验室计划 |
|---|---|---|
| 在资源组中创建实验室** | 是 | 是 |
| 查看他们创建的实验室 | 是 | 是 |
| 查看资源组中的其他用户实验室 | 是 | 否 |
| 更改或删除用户创建的实验室 | 是 | 是 |
| 更改或删除资源组中的其他用户实验室 | 否 | 否 |
| 将角色分配给资源组中的其他用户实验室 | 否 | 否 |
** 用户会自动获得查看、更改设置、删除和分配他们创建的实验室角色的权限。
实验室参与者角色
分配实验室参与者角色,授予用户权限以帮助管理现有实验室。
在 实验室上分配实验室参与者角色。
在实验室上分配实验室参与者角色时,用户可以管理分配的实验室。 具体而言,用户:
- 可以查看、更改所有设置或删除分配的实验室。
- 用户无法查看其他用户的实验室。
- 无法创建新实验室。
实验室助理角色
分配实验室助理角色以授予用户查看实验室的权限,并启动、停止和重置实验室虚拟机的映像。
在资源组或实验室上 分配实验室助理角色。
在资源组上分配实验室助理角色时,用户:
- 可以查看资源组中的所有实验室,并为每个实验室启动、停止或重置实验室虚拟机映像。
- 无法删除或对实验室进行任何其他更改。
在实验室上分配实验室助理角色时,用户:
- 可以查看分配的实验室并启动、停止或重置实验室虚拟机的映像。
- 无法删除或对实验室进行任何其他更改。
- 无法创建新实验室。
拥有实验室助理角色时,若要查看被授予访问权限的其他实验室,请确保在 Azure 实验室服务网站中选择“所有实验室 ”筛选器。
实验室服务读取者角色
分配实验室服务读取者角色以授予用户权限查看现有实验室的权限。 用户无法对现有实验室进行任何更改。
在资源组或实验室上 分配实验室服务读取者角色。
在资源组上分配实验室服务读取者角色时,用户可以:
- 查看资源组中的所有实验室。
在实验室上分配实验室服务读取者角色时,用户可以:
- 仅查看特定实验室。
标识和访问管理 (IAM)
Azure 门户中的访问控制(IAM)页用于在 Azure 实验室服务资源上配置 Azure 基于角色的访问控制。 可以为 Active Directory 中的个人和组使用内置角色。 以下屏幕截图显示在 Azure 门户中使用访问控制 (IAM) 的 Active Directory 集成 (Azure RBAC):
有关详细步骤,请参阅使用 Azure 门户分配 Azure 角色。
资源组和实验室计划结构
组织应提前投入时间来规划资源组和实验室计划的结构。 在资源组上分配角色时,这一点尤其重要,因为它也会向资源组中的所有资源应用权限。
若要确保仅向用户授予对相应资源的权限,请执行以下操作:
创建仅包含实验室相关资源的资源组。
根据应具有访问权限的用户,将实验室计划和实验室组织到单独的资源组中。
例如,可为不同的部门创建单独的资源组,以隔离每个部门的实验室资源。 然后,可以向一个部门的实验室创建者授予对资源组的权限,该资源组仅授予他们对其部门实验室资源的访问权限。
重要
提前规划资源组和实验室计划结构,因为创建实验室计划或实验室后无法将实验室计划或实验室移到其他资源组。
访问多个资源组
可以向用户授予对多个资源组的访问权限。 在 Azure 实验室服务网站中,用户可以从资源组列表中选择以查看其实验室。
访问多个实验室计划
你可以向用户授予对多个实验室计划的访问权限。 例如,向包含多个实验室计划的资源组上的用户分配实验室创建者角色时。 然后,用户可以在创建新实验室时从实验室计划列表中选择。
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈