Sdílet prostřednictvím

Příklad konfigurace RBAC pro více podnikových uživatelů

  • Článek

Mnoho zákazníků Azure Sphere chce nakonfigurovat přístup RBAC tak, aby technické týmy mohly provádět funkce související s vývojem na zařízeních a skupinách zařízení vlastněných technikem, ale zabránit technickým týmům v přímém přístupu ke skupinám produkčních zařízení, které obvykle spravuje provozní tým. Následující scénář podrobně popisuje, jak nakonfigurovat sadu skupin uživatelů a oprávnění RBAC, aby technický i provozní tým získaly přístup pouze k funkcím a prostředkům, které potřebují. V tomto scénáři existují 3 různé skupiny podnikových uživatelů s následujícími běžnými úlohami:

  • Správci Azure Sphere – skupina uživatelů Azure Sphere s nejvyššími oprávněními pro uživatele, kteří potřebují vytvářet, konfigurovat a spravovat nové katalogy Azure Sphere a jejich podřízené prostředky, včetně nárokování zařízení do katalogů (trvalé přidružení deklarovaného zařízení jenom s tímto katalogem) a integrace stávajících tenantů Azure Sphere (starší verze) do katalogů Azure Sphere (integrovaných).
  • Uživatelé produktového týmu – pro uživatele, kteří potřebují oprávnění k položkám, které patří do samotného prostředku katalogu, jako jsou obrázky a certifikáty, ale kteří by neměli mít oprávnění pro všechny skupiny zařízení patřící do katalogu, jako je potenciálně citlivá skupina produkčních zařízení. Tato skupina uživatelů je vhodná zejména pro uživatele, kteří stahují soubory funkcí zařízení, přemísťují zařízení mezi skupinami Zařízení pro vývoj, testování v terénu a testování testovacího operačního systému a nasazují nový software a potenciálně shromažďují soubory s výpisem stavu systému ve skupinách zařízení pro testování a testování operačního systému v terénu, ale nemají oprávnění ke správě produkčních zařízení ve skupinách zařízení pro vyhodnocení produkčního a produkčního operačního systému.
  • Uživatelé provozního týmu – pro uživatele, kteří spravují vozový park produkčních zařízení, potřebují oprávnění ke skupině produkčních zařízení, kde nasadí nové image softwaru a firmwaru, případně povolí shromažďování souborů výpisu stavu systému a ověří, že prodejní verze operačního systému fungují podle očekávání ve skupině zařízení Vyhodnocení produkčního operačního systému.

Ukázková konfigurace RBAC

Upozornění

  • Uživatelé, kteří potřebují integrovat tenanty Azure Sphere (starší verze) do katalogů Azure Sphere (integrovaný), musí mít na skupinu prostředků, která vlastní předplatné, do kterého tenant patří, použitou roli Přispěvatel Azure Sphere .

  • I když je možné přiřadit uživateli roli RBAC jenom pro produkt nebo skupinu zařízení, ale ne pro jeho nadřazený katalog, uživatel nebude moct vyhledat produkt, skupinu zařízení ani nadřazený katalog z domovské obrazovky Azure. K produktu nebo skupině zařízení mají přístup jenom přes adresu URL, která na něj přímo odkazuje. Kvůli uživatelskému pohodlí doporučujeme, aby všichni uživatelé měli k katalogu přístup alespoň ke službě Azure Sphere Reader .