使用角色型 存取控制 來管理 Azure Stack HCI 虛擬機器
適用於:Azure Stack HCI 版本 23H2
本文說明如何使用角色型 存取控制 (RBAC) 來控制在 Azure Stack HCI 叢集上執行的 Arc 虛擬機 (虛擬機) 存取。
您可以使用內建的 RBAC 角色來控制對 VM 和 VM 資源的存取,例如虛擬磁碟、網路介面、VM 映像、邏輯網路和記憶體路徑。 您可以將這些角色指派給使用者、群組、服務主體和受控識別。
重要
這項功能目前為「預覽」狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。
關於內建 RBAC 角色
若要控制 Azure Stack HCI 上 VM 和 VM 資源的存取權,您可以使用下列 RBAC 角色:
- Azure Stack HCI 系統管理員 - 此角色會授與 Azure Stack HCI 叢集及其資源的完整存取權。 Azure Stack HCI 系統管理員可以註冊叢集,以及將 Azure Stack HCI VM 參與者和 Azure Stack HCI VM 讀取者角色指派給其他使用者。 它們也可以建立叢集共享資源,例如邏輯網路、VM 映像和記憶體路徑。
- Azure Stack HCI VM 參與者 - 此角色會授與執行所有 VM 動作的許可權,例如啟動、停止、重新啟動 VM。 Azure Stack HCI VM 參與者可以建立和刪除 VM,以及連結至 VM 的資源和擴充功能。 Azure Stack HCI VM 參與者無法註冊叢集或指派角色給其他使用者,也無法建立叢集共用資源,例如邏輯網路、VM 映像和記憶體路徑。
- Azure Stack HCI VM 讀取器 - 此角色會授與僅檢視 VM 的許可權。 VM 讀取器無法在 VM 或 VM 資源和擴充功能上執行任何動作。
下表說明 VM 和各種 VM 資源每個角色所授與的 VM 動作。 VM 資源是指建立 VM 所需的資源,並包含虛擬磁碟、網路介面、VM 映射、邏輯網路和記憶體路徑:
內建角色 | VM | VM 資源 |
---|---|---|
Azure Stack HCI 系統管理員 | 建立、列出、刪除 VM 啟動、停止、重新啟動 VM |
建立、列出、刪除所有 VM 資源,包括邏輯網路、VM 映像和記憶體路徑 |
Azure Stack HCI VM 參與者 | 建立、列出、刪除 VM 啟動、停止、重新啟動 VM |
建立、列出、刪除邏輯網路、VM 映像和記憶體路徑以外的所有 VM 資源 |
Azure Stack HCI VM 讀取器 | 列出所有 VM | 列出所有 VM 資源 |
必要條件
開始之前,請務必完成下列必要條件:
請確定您可以存取已部署和註冊的 Azure Stack HCI 叢集。 在部署期間,也會建立Arc資源網橋和自定義位置。
移至 Azure 中的資源群組。 您可以看到為 Azure Stack HCI 叢集建立的自定義位置和 Azure Arc 資源網橋。 記下您稍後在此案例中使用的訂用帳戶、資源群組和自定義位置。
請確定您有權以擁有者或使用者存取系統管理員身分存取 Azure 訂用帳戶,將角色指派給其他人。
將 RBAC 角色指派給使用者
您可以透過 Azure 入口網站 將 RBAC 角色指派給使用者。 請遵循下列步驟,將 RBAC 角色指派給使用者:
在 Azure 入口網站中,搜尋要授與存取權的範圍,例如搜尋訂用帳戶、資源群組或特定資源。 在此範例中,我們會使用部署 Azure Stack HCI 叢集的訂用帳戶。
移至您的訂用帳戶,然後移至 訪問控制 (IAM) > 角色指派。 從頂端命令行選取 [ + 新增 ],然後選取 [ 新增角色指派]。
如果您沒有指派角色的許可權,則會停用 [ 新增角色指派 ] 選項。
在 [ 角色] 索引 標籤上,選取要指派的 RBAC 角色,並從下列其中一個內建角色中選擇:
- Azure Stack HCI 系統管理員
- Azure Stack HCI VM 參與者
- Azure Stack HCI VM 讀取器
在 [ 成員] 索引 標籤上,選取 [使用者]、[群組] 或服務主體。 同時選取要指派角色的成員。
檢閱角色並加以指派。
確認角色指派。 移至訪問控制 (IAM) > 檢查存取權檢視我的存取>權。 您應該會看到角色指派。
如需角色指派的詳細資訊,請參閱使用 Azure 入口網站 指派 Azure 角色。
下一步
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應