管理 Azure 負載測試的存取權
在本文中,您將瞭解如何管理 Azure 負載測試資源的存取權(授權)。 Azure 角色型訪問控制 (Azure RBAC) 可用來管理對 Azure 資源的存取,例如建立新資源或使用現有資源的能力。 您可以使用 Azure 入口網站、Azure 命令行工具或 Azure 管理 API,將角色型存取權授與使用者。
必要條件
若要指派 Azure 角色,您的 Azure 帳戶必須具有:
Microsoft.Authorization/roleAssignments/write
許可權,例如使用者存取 管理員 istrator 或 Owner。
若要建立新的負載測試資源,您的 Azure 帳戶必須具有:
- 在負載測試資源的資源群組中建立資源的許可權,例如參與者或擁有者角色。
Azure 負載測試中的角色
在 Azure 負載測試中,會將適當的 Azure 角色指派給負載測試資源範圍中的使用者、群組和應用程式,以授與存取權。 以下是負載測試資源支援的內建角色:
角色 | 描述 |
---|---|
負載測試讀取器 | 負載測試資源中的唯讀動作。 讀者可以在資源中列出和檢視測試和測試回合。 讀取器無法建立、更新或執行測試。 |
負載測試參與者 | 在負載測試資源中檢視、建立、編輯或刪除 (如果適用)測試和測試回合。 |
負載測試擁有者 | 負載測試資源的完整存取權,包括檢視、建立、編輯或刪除資源中資產的能力。 例如,您可以修改或刪除負載測試資源。 |
如果您有訂用帳戶層級的 擁有者、 參與者或 負載測試擁有者 角色,則會自動擁有與資源層級的 負載測試擁有者 相同的許可權。
重要
角色存取的範圍可設定為 Azure 中的多個層級。 例如,具有資源擁有者存取權的人員可能沒有包含資源之資源群組的擁有者存取權。 如需詳細資訊,請參閱 Azure RBAC 的運作方式。
角色權限
下表描述提供給每個角色的特定許可權。 這些許可權可以包含 可授與許可權的動作,以及 限制這些許可權的「非動作」。
負載測試擁有者
負載測試擁有者可以管理所有專案,包括存取權。 下表顯示授與角色的權限:
動作 | 描述 |
---|---|
Microsoft.Resources/deployments/* | 建立和管理資源群組部署。 |
Microsoft.Resources/subscriptions/resourceGroups/read | 取得或列出資源群組。 |
Microsoft.Insights/alertRules/* | 建立和管理警示規則。 |
Microsoft.Authorization/*/read | 讀取授權。 |
Microsoft.LoadTestService/* | 建立和管理負載測試資源。 |
DataActions | 描述 |
---|---|
Microsoft.LoadTestService/loadtests/* | 啟動、停止及管理負載測試。 |
負載測試參與者
負載測試參與者可以管理存取以外的所有專案。 下表顯示授與角色的權限:
動作 | 描述 |
---|---|
Microsoft.Resources/deployments/* | 建立和管理資源群組部署。 |
Microsoft.Resources/subscriptions/resourceGroups/read | 取得或列出資源群組。 |
Microsoft.Insights/alertRules/* | 建立和管理警示規則。 |
Microsoft.Authorization/*/read | 讀取授權。 |
Microsoft.LoadTestService/*/read | 建立和管理負載測試資源。 |
DataActions | 描述 |
---|---|
Microsoft.LoadTestService/loadtests/* | 啟動、停止及管理負載測試。 |
負載測試讀取器
負載測試讀取器可以檢視負載測試資源中的所有資源,但無法進行任何變更。 下表顯示授與角色的權限:
動作 | 描述 |
---|---|
Microsoft.Resources/deployments/* | 建立和管理資源群組部署。 |
Microsoft.Resources/subscriptions/resourceGroups/read | 取得或列出資源群組。 |
Microsoft.Insights/alertRules/* | 建立和管理警示規則。 |
Microsoft.Authorization/*/read | 讀取授權。 |
Microsoft.LoadTestService/*/read | 建立和管理負載測試資源。 |
DataActions | 描述 |
---|---|
Microsoft.LoadTestService/loadtests/readTest/action | 讀取負載測試。 |
為您的負載測試資源設定 Azure RBAC
下一節說明如何透過 Azure 入口網站 和 PowerShell 在負載測試資源上設定 Azure RBAC。
使用 Azure 入口網站 設定 Azure RBAC
登入 Azure 入口網站,然後從 [Azure 負載測試] 頁面開啟負載測試資源。
選取 [訪問控制][IAM], 然後從可用角色清單中選取角色。 您可以選擇 Azure 負載測試資源所支援的任何可用內建角色,或您可能已定義的任何自定義角色。 將角色指派給您想要授與許可權的使用者。
如需詳細步驟,請參閱使用 Azure 入口網站指派 Azure 角色。
從使用者移除角色指派
您可以移除未管理 Azure 負載測試資源之使用者的訪問許可權,或不再為組織工作的使用者。 下列步驟示範如何從用戶移除角色指派。 如需詳細步驟,請參閱 移除 Azure 角色指派:
在您想要移除存取權的範圍中開啟 訪問控制 (IAM), 例如管理群組、訂用帳戶、資源群組或資源。
選取 [ 角色指派] 索引 標籤,以檢視此範圍的所有角色指派。
在角色指派清單中,新增使用者旁邊的複選標記,其中包含您要移除的角色指派。
選取 [移除],然後選取 [ 是 ] 以確認。
使用 PowerShell 設定 Azure RBAC
您也可以使用下列 Azure PowerShell Cmdlet 來設定負載測試資源的角色型存取:
Get-AzRoleDefinition 會列出 Microsoft Entra ID 中可用的所有 Azure 角色。 您可以使用這個 Cmdlet 搭配 Name 參數來列出特定角色可執行的所有動作。
Get-AzRoleDefinition -Name 'Load Test Contributor'
下列代碼段是範例輸出:
Name : Load Test Contributor Id : 00000000-0000-0000-0000-000000000000 IsCustom : False Description : View, create, update, delete and execute load tests. View and list load test resources but can not make any changes. Actions : {Microsoft.LoadTestService/*/read, Microsoft.Authorization/*/read, Microsoft.Resources/deployments/*, Microsoft.Resources/subscriptions/resourceGroups/read…} NotActions : {} DataActions : {Microsoft.LoadTestService/loadtests/*} NotDataActions : {} AssignableScopes : {/}
Get-AzRoleAssignment 會列出指定範圍中的 Azure 角色指派。 如果沒有任何參數,此 Cmdlet 會傳回訂用帳戶下所做的所有角色指派。
ExpandPrincipalGroups
使用 參數來列出指定使用者的存取指派,以及用戶所屬的群組。範例:使用下列 Cmdlet 列出負載測試資源內的所有使用者及其角色。
Get-AzRoleAssignment -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.LoadTestService/loadtests/<Load Test Name>'
使用 New-AzRoleAssignment 將存取權指派給特定範圍的使用者、群組和應用程式。
範例:使用下列命令為負載測試資源範圍中的使用者指派「負載測試讀取器」角色。
New-AzRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName 'Load Test Reader' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.LoadTestService/loadtests/<Load Testing resource name>'
使用 Remove-AzRoleAssignment 從特定範圍移除指定使用者、群組或應用程式的存取權。
範例:使用下列命令,從負載測試資源範圍中的負載測試讀取器角色中移除使用者。
Remove-AzRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName 'Load Test Reader' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.LoadTestService/loadtests/<Load Testing resource name>'
疑難排解
本節列出針對 Azure 負載測試中使用者存取常見問題進行疑難解答的步驟。
無法使用 建立或執行測試 You are not authorized to use this resource
如果您的 Azure 帳戶沒有管理測試的必要許可權,您就會遇到此訊息。 請務必將負載測試擁有者或負載測試參與者角色授與用戶負載測試資源。
相關內容
- 深入瞭解 使用受控識別。
- 深入了解識別效能瓶頸(教學課程)。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應