Sdílet prostřednictvím

Řízení přístupu na základě role pro službu Azure Batch

  • Článek

Služba Azure Batch podporuje sadu předdefinovaných rolí Azure, které poskytují různé úrovně oprávnění k účtu Azure Batch. Pomocí řízení přístupu na základě role v Azure (Azure RBAC) můžete autorizační systém pro správu individuálního přístupu k prostředkům Azure přiřadit konkrétní oprávnění uživatelům, instančním objektům nebo jiným identitám, které potřebují pracovat s vaším účtem Batch. Můžete také přiřadit vlastní role s vlastními jemně odstupňovanými oprávněními, která přizpůsobí váš konkrétní scénář použití.

Poznámka:

Všechny role RBAC (předdefinované i vlastní) jsou určené uživatelům ověřeným ID Microsoft Entra, ne pro přihlašovací údaje sdíleného klíče služby Batch. Přihlašovací údaje sdíleného klíče služby Batch poskytují úplná oprávnění k účtu Batch.

Přiřazení Azure RBAC

Pomocí těchto kroků přiřaďte roli Azure RBAC uživateli, skupině, instančnímu objektu nebo spravované identitě. Podrobný postup najdete v tématu Přiřazení rolí Azure pomocí webu Azure Portal.

  1. Na webu Azure Portal přejděte ke svému konkrétnímu účtu Batch.

    Tip

    Azure RBAC můžete také nastavit pro celé skupiny prostředků, předplatná nebo skupiny pro správu. Uděláte to tak, že vyberete požadovanou úroveň oboru a pak přejdete na požadovanou položku. Vyberte například skupiny prostředků a pak přejděte na konkrétní skupinu prostředků.

  2. V levém navigačním panelu vyberte Řízení přístupu (IAM ).

  3. Na stránce Řízení přístupu (IAM) vyberte Přidat přiřazení role.

  4. Na stránce Přidat přiřazení role vyberte kartu Role a pak vyberte jednu z předdefinovaných rolí RBAC služby Azure Batch.

  5. Vyberte kartu Členové a v části Členové vyberte Vybrat členy.

  6. Na obrazovce Vybrat členy vyhledejte a vyberte uživatele, skupinu, instanční objekt nebo spravovanou identitu a pak vyberte Vybrat.

    Poznámka:

    Při konfiguraci aplikace pro ověřování služeb Azure Batch pomocí instančního objektu vyhledejte a vyberte aplikaci a nakonfigurujte její přístup a oprávnění k účtu Azure Batch.

  7. Na stránce Přidat přiřazení role vyberte Zkontrolovat a přiřadit.

Cílová identita by se teď měla zobrazit na kartě Přiřazení rolí na stránce Řízení přístupu (IAM) účtu Batch.

Předdefinované role RBAC služby Azure Batch

Azure Batch má několik předdefinovaných rolí, které řeší běžné scénáře uživatelů a zajišťuje efektivní přiřazení odpovídajících úrovní přístupu k účtu Azure Batch k identitě pro konkrétní povinnost.

Předdefinovaná role Popis ID
Přispěvatel účtu Azure Batch Uděluje úplný přístup ke správě všech prostředků Batch, včetně účtů Batch, fondů a úloh. 29fe4964-1e60-436b-bd3a-77fd4c178b3c
Čtenář účtu Azure Batch Umožňuje zobrazit všechny prostředky včetně fondů a úloh v účtu Batch. 11076f67-66f6-4be0-8f6b-f0609fd05cc9
Přispěvatel dat Azure Batch Uděluje oprávnění ke správě fondů a úloh Služby Batch, ale ne ke změnám účtů. 6aaa78f1-f7de-44ca-8722-c64a23943cae
Odesílejte úlohu Azure Batch Umožňuje odesílat a spravovat úlohy v účtu Batch. 48e5e92e-a480-4e71-aa9c-2778f4c13781
Oprávnění Přispěvatel účtu Azure Batch Čtenář účtu Azure Batch Přispěvatel dat Azure Batch Odesílejte úlohu Azure Batch
Výpis účtů Batch nebo zobrazení vlastností účtu Batch
Vytvoření, aktualizace nebo odstranění účtu Batch
Výpis přístupových klíčů pro účet Batch
Opětovné vygenerování přístupových klíčů pro účet Batch
Zobrazení nebo zobrazení vlastností aplikací a balíčků aplikací v účtu Batch
Vytvoření, aktualizace nebo odstranění aplikací a balíčků aplikací v účtu Batch
Zobrazení nebo zobrazení vlastností certifikátů v účtu Batch
Vytvoření, aktualizace nebo odstranění certifikátů v účtu Batch
Zobrazení nebo zobrazení vlastností fondů v účtu Batch
Vytvoření, aktualizace nebo odstranění fondů na účtu Batch
Zobrazení nebo zobrazení vlastností úloh v účtu Batch
Vytvoření, aktualizace nebo odstranění úloh v účtu Batch
Zobrazení nebo zobrazení vlastností plánů úloh v účtu Batch
Vytvoření, aktualizace nebo odstranění plánů úloh v účtu Batch

Upozorňující

Funkce certifikátu účtu Batch byla vyřazena.

Přispěvatel účtu Azure Batch

Uděluje úplný přístup ke správě všech prostředků Batch, včetně účtů Batch, fondů a úloh.

Akce Popis
Microsoft.Authorization/*/read Načtení rolí a přiřazení rolí.
Microsoft.Insights/alertRules/* Vytvoření a správa klasického upozornění na metriky
Microsoft.Resources/deployments/* Vytvoření a správa nasazení
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
Microsoft.Batch/batchAccounts/*
NotActions
žádné
Akce dat
Microsoft.Batch/batchAccounts/*
NotDataActions
žádné 
{
    "assignableScopes": [
        "/"
    ],
    "description": "Grants full access to manage all Batch resources, including Batch accounts, pools and jobs.",
    "id": "/providers/Microsoft.Authorization/roleDefinitions/29fe4964-1e60-436b-bd3a-77fd4c178b3c",
    "permissions": [
        {
            "actions": [
                "Microsoft.Authorization/*/read",
                "Microsoft.Batch/batchAccounts/*",
                "Microsoft.Insights/alertRules/*",
                "Microsoft.Resources/deployments/*",
                "Microsoft.Resources/subscriptions/resourceGroups/read"
            ],
            "dataActions": [
                "Microsoft.Batch/batchAccounts/*"
            ],
            "notActions": [],
            "notDataActions": []
        }
    ],
    "roleName": "Azure Batch Account Contributor",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions"
}

Čtenář účtu Azure Batch

Umožňuje zobrazit všechny prostředky včetně fondů a úloh v účtu Batch.

Akce Popis
Microsoft.Batch/batchAccounts/read Zobrazí seznam účtů Batch nebo získá vlastnosti účtu Batch.
Microsoft.Batch/batchAccounts/*/read Zobrazení všech prostředků v účtu Batch
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
NotActions
žádné
Akce dat
Microsoft.Batch/*/read Zobrazení všech prostředků v účtu Batch
NotDataActions
žádné 
{
    "assignableScopes": [
        "/"
    ],
    "description": "Lets you view all resources including pools and jobs in the Batch account.",
    "id": "/providers/Microsoft.Authorization/roleDefinitions/11076f67-66f6-4be0-8f6b-f0609fd05cc9",
    "permissions": [
        {
            "actions": [
                "Microsoft.Batch/batchAccounts/read",
                "Microsoft.Batch/batchAccounts/*/read",
                "Microsoft.Resources/subscriptions/resourceGroups/read"
            ],
            "dataActions": [
                "Microsoft.Batch/batchAccounts/*/read"
            ],
            "notActions": [],
            "notDataActions": []
        }
    ],
    "roleName": "Azure Batch Account Reader",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions"
}

Přispěvatel dat Azure Batch

Uděluje oprávnění ke správě fondů a úloh Služby Batch, ale ne ke změnám účtů.

Akce Popis
Microsoft.Authorization/*/read Načtení rolí a přiřazení rolí.
Microsoft.Batch/batchAccounts/read Zobrazí seznam účtů Batch nebo získá vlastnosti účtu Batch.
Microsoft.Batch/batchAccounts/applications/* Vytvářejte a spravujte aplikace a balíčky aplikací v účtu Batch.
Microsoft.Batch/batchAccounts/certificates/* Vytvořte a spravujte certifikáty v účtu Batch.
Microsoft.Batch/batchAccounts/certificateOperationResults/* Získá výsledky dlouhotrvající operace certifikátu v účtu Batch.
Microsoft.Batch/pools/* Vytvářejte a spravujte fondy na účtu Batch.
Microsoft.Batch/poolOperationResults/* Získá výsledky dlouhotrvající operace fondu na účtu Batch.
Microsoft.Batch/locations/*/read Získejte výsledek operace účtu Batch, kvótu služby Batch nebo podporovanou velikost virtuálního počítače v daném umístění.
Microsoft.Insights/alertRules/* Vytvoření a správa klasického upozornění na metriky
Microsoft.Resources/deployments/* Vytvoření a správa nasazení
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
NotActions
žádné
Akce dat
Microsoft.Batch/batchAccounts/jobSchedules/* Vytvářejte a spravujte plány úloh v účtu Batch.
Microsoft.Batch/batchAccounts/jobs/* Vytváření a správa úloh na účtu Batch
NotDataActions
žádné 
{
    "assignableScopes": [
        "/"
    ],
    "description": "Grants permissions to manage Batch pools and jobs but not to modify accounts.",
    "id": "/providers/Microsoft.Authorization/roleDefinitions/6aaa78f1-f7de-44ca-8722-c64a23943cae",
    "permissions": [
        {
            "actions": [
                "Microsoft.Authorization/*/read",
                "Microsoft.Batch/batchAccounts/read",
                "Microsoft.Batch/batchAccounts/applications/*",
                "Microsoft.Batch/batchAccounts/certificates/*",
                "Microsoft.Batch/batchAccounts/certificateOperationResults/*",
                "Microsoft.Batch/batchAccounts/pools/*",
                "Microsoft.Batch/batchAccounts/poolOperationResults/*",
                "Microsoft.Batch/locations/*/read",
                "Microsoft.Insights/alertRules/*",
                "Microsoft.Resources/deployments/*",
                "Microsoft.Resources/subscriptions/resourceGroups/read"
            ],
            "dataActions": [
                "Microsoft.Batch/batchAccounts/jobSchedules/*",
                "Microsoft.Batch/batchAccounts/jobs/*"
            ],
            "notActions": [],
            "notDataActions": []
        }
    ],
    "roleName": "Azure Batch Data Contributor",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions"
}

Odesílejte úlohu Azure Batch

Umožňuje odesílat a spravovat úlohy v účtu Batch.

Akce Popis
Microsoft.Batch/batchAccounts/applications/read Zobrazí seznam aplikací nebo získá vlastnosti aplikace.
Microsoft.Batch/batchAccounts/applications/versions/read Získá vlastnosti balíčku aplikace.
Microsoft.Batch/pools/read Zobrazí seznam fondů na účtu Batch nebo získá vlastnosti fondu.
Microsoft.Insights/alertRules/* Vytvoření a správa klasického upozornění na metriky
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
NotActions
žádné
Akce dat
Microsoft.Batch/batchAccounts/jobSchedules/* Vytvářejte a spravujte plány úloh v účtu Batch.
Microsoft.Batch/batchAccounts/jobs/* Vytváření a správa úloh na účtu Batch
NotDataActions
žádné 
{
    "assignableScopes": [
        "/"
    ],
    "description": "Lets you submit and manage jobs in the Batch account.",
    "id": "/providers/Microsoft.Authorization/roleDefinitions/48e5e92e-a480-4e71-aa9c-2778f4c13781",
    "permissions": [
        {
            "actions": [
                "Microsoft.Batch/batchAccounts/applications/read",
                "Microsoft.Batch/batchAccounts/applications/versions/read",
                "Microsoft.Batch/batchAccounts/pools/read",
                "Microsoft.Insights/alertRules/*",
                "Microsoft.Resources/subscriptions/resourceGroups/read"
            ],
            "dataActions": [
                "Microsoft.Batch/batchAccounts/jobSchedules/*",
                "Microsoft.Batch/batchAccounts/jobs/*"
            ],
            "notActions": [],
            "notDataActions": []
        }
    ],
    "roleName": "Azure Batch Job Submitter",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions"
}

Přiřazení vlastní role

Pokud předdefinované role Služby Azure Batch nevyhovují vašim potřebám, můžete vlastní role Azure použít k udělení podrobného oprávnění uživateli pro odesílání úloh, úkolů a dalších. Pomocí vlastní role můžete udělit nebo odepřít oprávnění k ID Microsoft Entra pro následující operace RBAC služby Azure Batch.

  • Microsoft.Batch/batchAccounts/pools/write
  • Microsoft.Batch/batchAccounts/pools/delete
  • Microsoft.Batch/batchAccounts/pools/read
  • Microsoft.Batch/batchAccounts/jobSchedules/write
  • Microsoft.Batch/batchAccounts/jobSchedules/delete
  • Microsoft.Batch/batchAccounts/jobSchedules/read
  • Microsoft.Batch/batchAccounts/jobs/write
  • Microsoft.Batch/batchAccounts/jobs/delete
  • Microsoft.Batch/batchAccounts/jobs/read
  • Microsoft.Batch/batchAccounts/certificates/write
  • Microsoft.Batch/batchAccounts/certificates/delete
  • Microsoft.Batch/batchAccounts/certificates/read
  • Microsoft.Batch/batchAccounts/applications/write
  • Microsoft.Batch/batchAccounts/applications/delete
  • Microsoft.Batch/batchAccounts/applications/read
  • Microsoft.Batch/batchAccounts/applications/versions/write
  • Microsoft.Batch/batchAccounts/applications/versions/delete
  • Microsoft.Batch/batchAccounts/applications/versions/read
  • Microsoft.Batch/batchAccounts/read pro jakoukoli operaci čtení
  • Microsoft.Batch/batchAccounts/listKeys/action pro libovolnou operaci

Tip

Úlohy, které používají automatické zařazování , vyžadují oprávnění k zápisu na úrovni fondu.

Poznámka:

V poli je třeba zadat actions určitá přiřazení rolí, zatímco jiné musí být v poli zadány dataActions . Musíte prozkoumat obojí actions a dataActions porozumět plnému rozsahu funkcí přiřazených k roli. Další informace najdete v tématu Operace poskytovatele prostředků Azure.

Následující příklad ukazuje definici vlastní role azure Batch:

{
 "properties":{
    "roleName":"Azure Batch Custom Job Submitter",
    "type":"CustomRole",
    "description":"Allows a user to submit autopool jobs to Azure Batch",
    "assignableScopes":[
      "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
    ],
    "permissions":[
      {
        "actions":[
          "Microsoft.Batch/*/read",
          "Microsoft.Batch/batchAccounts/pools/write",
          "Microsoft.Batch/batchAccounts/pools/delete",
          "Microsoft.Authorization/*/read",
          "Microsoft.Resources/subscriptions/resourceGroups/read",
          "Microsoft.Support/*",
          "Microsoft.Insights/alertRules/*"
        ],
        "notActions":[

        ],
        "dataActions":[
          "Microsoft.Batch/batchAccounts/jobs/*",
          "Microsoft.Batch/batchAccounts/jobSchedules/*"
        ],
        "notDataActions":[

        ]
      }
    ]
  }
}

Další kroky