你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
了解 Azure Quantum 工作区访问
了解如何管理对 Azure Quantum 工作区的访问 (授权) 。
Azure 基于角色的访问控制
Azure 基于角色的访问控制 (Azure RBAC) 是用于管理对 Azure 资源(如工作区)的访问的授权系统。 若要授予访问权限,请将角色分配给安全主体。
安全主体
安全主体是表示用户、组、服务主体或托管标识的对象。
| 安全主体 | 定义 |
|---|---|
| 用户 | 登录到 Azure 以创建、管理和使用资源的用户帐户。 |
| 组 | 一组用户。 用于管理需要对资源具有相同访问权限和权限的用户。 |
| 服务主体 | 需要访问资源的应用程序、服务或平台的用户标识。 |
| 托管的标识 | Azure Active Directory 中的自动托管标识 (Azure AD) ,供应用程序在连接到支持 Azure AD 身份验证的资源时使用。 |
角色
向安全主体授予访问权限时,可以分配 内置角色 或 创建自定义角色。 最常用的内置角色是 所有者、 参与者和 读者。
| 角色 | 访问级别 |
|---|---|
| 所有者 | 授予管理所有资源的完全访问权限,包括允许在 Azure RBAC 中分配角色。 |
| 参与者 | 授予管理所有资源的完全访问权限,但不允许在 Azure RBAC 中分配角色。 |
| 读取器 | 查看所有资源,但不允许进行任何更改。 |
范围
角色是在特定的范围内分配的。 范围是访问权限适用于的资源集。 范围采用父子关系结构。 层次结构的每个级别都会使范围更具针对性。 所选级别决定了角色的应用广泛程度。 较低级别继承较高级别的角色权限。 可以在四个范围级别分配角色:管理组、订阅、资源组或资源。
| 范围 | 说明 |
|---|---|
| 管理组 | 帮助你管理多个订阅的访问权限、策略和合规性。 管理组中的所有订阅都会自动继承应用于管理组的条件。 如果你的组织有多个订阅,则可能需要一个管理组。 |
| 订阅 | 以逻辑方式将 用户帐户 与其创建的资源相关联。 用户帐户是用户标识和一个或多个订阅。 订阅表示 Azure 资源的分组。 发票是在订阅范围内生成的。 必须具有具有活动订阅的帐户才能创建 Azure 资源。 有关订阅选项,请参阅 创建 Azure Quantum 工作区。 |
| 资源组 | 一个容器,用于保存 Azure 解决方案的相关资源。 资源组包括你想要作为一个组进行管理的那些资源。 例如,在 Azure Quantum 中运行应用程序需要以下资源:
|
| 资源 | 可以创建的服务的实例,例如工作区或存储帐户。 |
注意: 由于访问权限的范围可以限定为 Azure 中的多个级别,因此用户在每个级别可能具有不同的角色。 例如,对工作区具有所有者访问权限的人可能没有对包含工作区的资源组的所有者访问权限。
创建工作区的角色要求
创建工作区时,首先选择要与工作区关联的订阅、资源组和存储帐户。 创建工作区的能力取决于你拥有的访问权限级别,从订阅范围开始。 若要查看各种资源的授权,请参阅 检查角色分配。
订阅所有者
订阅所有者可以使用 “快速创建 ”或“ 高级创建 ”选项创建工作区。 可以选择订阅下已存在的资源组和存储帐户,也可以创建新的资源组和存储帐户。 还可以将 角色分配给 其他用户。
订阅参与者
订阅参与者可以使用 “高级创建 ”选项创建工作区。
若要创建新的存储帐户,必须选择自己是其所有者的现有资源组。
若要选择现有存储帐户,必须是存储帐户的所有者。 还必须选择存储帐户所属的现有资源组。
订阅参与者无法将角色分配给其他人。
订阅读者
订阅读取者无法创建工作区。 可以查看在订阅下创建的所有资源,但无法进行任何更改或分配角色。
检查角色分配
检查订阅
若要查看订阅和关联角色的列表,请执行以下操作:
- 登录 Azure 门户。
- 在“Azure 服务”标题下,选择“订阅”。 如果在此处看不到“订阅”,请使用搜索框查找它。
- 搜索框旁边的“订阅”筛选器可能默认为“订阅 == 全局筛选器”。 若要查看所有订阅的列表,请选择“订阅”筛选器并 取消选择 “仅选择在...”中选择的订阅。箱。 然后,选择“应用” 。 然后,筛选器应显示 Subscriptions == all。
检查资源
若要检查你或其他用户对特定资源的角色分配,请参阅检查用户对 Azure 资源的访问权限。
分配角色
若要将新用户添加到工作区,你必须是工作区的所有者。 若要向 10 个或更少的用户授予对工作区的访问权限,请参阅 共享对 Azure Quantum 工作区的访问权限。 若要向超过 10 个用户授予访问权限,请参阅 将组添加到 Azure Quantum 工作区。
若要在任何范围(包括订阅级别)为任何资源分配角色,请参阅使用Azure 门户分配 Azure 角色。
故障排除
你在 Azure 中创建资源(例如工作区)时,并不会直接成为该资源的所有者。 你的角色继承自你在该订阅中获得相应授权的最高范围角色。
有时,新角色分配可能需要长达一小时才能在堆栈中对缓存的权限生效。
有关常见问题的解决方案,请参阅 排查 Azure Quantum:创建 Azure Quantum 工作区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈