你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
创建和分配用户分配的托管标识
本操作指南的内容:
- 为站点网络服务 (SNS) 创建用户分配的托管标识 (UAMI)。
- 分配用户分配的托管标识权限。
用户分配的托管标识的要求和所需权限取决于网络服务设计 (NSD),必须已由网络服务设计者传达给你。
先决条件
你必须已通过创建自定义角色创建了自定义角色。 本文假设你已将自定义角色命名为“自定义角色 - AOSM 服务运营商对发布者的访问权限”。
网络服务设计者必须已告诉你托管标识需要哪些其他权限以及 SNS 使用哪个网络功能定义版本 (NFDV)。
若要执行此任务,你需要“所有者”或“用户访问管理员”角色,该角色针对所选发布者提供的网络功能定义版本资源。 你还必须有一个资源组,在该资源组上分配“所有者”或“用户访问管理员”角色,以便创建托管标识并为其分配权限。
创建用户分配的托管标识
创建用户分配的托管标识。 有关详细信息,请参阅为 SNS 创建用户分配的托管标识。
分配自定义角色
将自定义角色分配给用户分配的托管标识。
选择分配自定义角色的范围
你需要为其分配自定义角色的发布者资源有:
- 网络功能定义版本
你必须决定是要将自定义角色单独分配给该 NFDV,还是分配给父资源(例如发布者资源组或网络功能定义组)。
应用于父资源会授予对所有子资源的访问权限。 例如,应用于整个发布者资源组可让托管标识访问以下项:
所有网络功能定义组和版本。
所有网络服务设计组和版本。
所有配置组架构。
自定义角色权限限制对此处显示的权限列表的访问:
Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/use/action
Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/read
Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/use/action
Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/read
Microsoft.HybridNetwork/Publishers/ConfigurationGroupSchemas/read
注意
请勿提供对这些发布者资源中的任一个的写入或删除访问权限。
分配自定义角色
访问 Azure 门户并打开所选范围:发布者资源组或网络功能定义版本。
在该项的边栏菜单中,选择“访问控制(IAM)”。
选择“添加角色分配”。
在“工作职能角色”下的列表中找到你的“自定义角色”,然后继续执行“下一步”。
选择“托管标识”,接着选择“+ 选择成员”,然后找到并选择你的新托管标识。 选择“选择”。
选择“查看并分配”。
重复角色分配
对选择的所有范围重复角色分配任务。
为托管标识本身分配“托管标识操作员”角色
转到 Azure 门户,搜索“托管标识”。
从“托管标识”列表中选择“identity-for-nginx-sns”。
在边栏菜单中,选择“访问控制(IAM)”。
选择“添加角色分配”,然后选择“托管标识操作员”角色。
选择“托管标识操作员”角色。
选择“托管标识” 。
选择“+ 选择成员”,导航到用户分配的托管标识,然后继续进行分配。
完成本文中概述的所有任务可确保站点网络服务 (SNS) 具有在指定 Azure 环境中有效运行所需的权限。
向托管标识分配其他必需权限
重复此过程,将任何其他权限分配给网络服务设计者所标识的托管标识。