Sdílet prostřednictvím

Principy přístupu na základě role k pracovnímu prostoru Azure Quantum

  • Článek

Seznamte se s různými objekty zabezpečení a rolemi, které můžete použít ke správě přístupu k pracovnímu prostoru Azure Quantum.

Řízení přístupu na základě role Azure

Řízení přístupu na základě role v Azure (Azure RBAC) je autorizační systém, který používáte ke správě přístupu k prostředkům Azure, jako je pracovní prostor. Pokud chcete udělit přístup, přiřaďte role k objektu zabezpečení.

Objekt zabezpečení

Objekt zabezpečení je objekt, který představuje uživatele, skupinu, instanční objekt nebo spravovanou identitu.

Objekt zabezpečení Definice
Uživatelská Uživatelský účet, který se přihlásí k Azure k vytváření, správě a používání prostředků.
Skupina Skupina uživatelů. Slouží ke správě uživatelů, kteří potřebují stejný přístup a oprávnění k prostředkům.
Instanční objekt Identita uživatele pro aplikaci, službu nebo platformu, která potřebuje přístup k prostředkům.
Spravovaná identita Automaticky spravovaná identita v Azure Active Directory (Azure AD) pro aplikace, které se používají při připojování k prostředkům, které podporují ověřování Azure AD.

Role

Když udělíte přístup k objektu zabezpečení, přiřadíte předdefinované role nebo vytvoříte vlastní roli. Nejčastěji používané předdefinované role jsou Vlastník, Přispěvatel a Čtenář.

Role Úroveň přístupu
Vlastník Uděluje úplný přístup ke správě všech prostředků, včetně možnosti přiřazovat role v Azure RBAC.
Přispěvatel Uděluje úplný přístup ke správě všech prostředků, ale neumožňuje přiřazovat role v Azure RBAC.
Čtenář Zobrazit všechny prostředky, ale neumožňuje provádět žádné změny.

Obor

Role se přiřazují v určitém oboru. Obor je sada prostředků, na které se vztahuje přístup. Obory jsou strukturovány ve vztahu nadřazený-podřízený obor. Každá úroveň hierarchie zpřístupňuje obor konkrétněji. Úroveň, kterou vyberete, určuje, jak široce se role použije. Nižší úrovně dědí oprávnění role z vyšších úrovní. Role můžete přiřadit na čtyřech úrovních oboru: skupina pro správu, předplatné, skupina prostředků nebo prostředek.

Diagram znázorňující čtyři úrovně rozsahu

Scope Popis
Skupina pro správu Pomáhá spravovat přístup, zásady a dodržování předpisů pro více předplatných. Všechna předplatná ve skupině pro správu automaticky dědí podmínky použité pro skupinu pro správu. Pokud má vaše organizace více předplatných, budete možná potřebovat skupinu pro správu.
Předplatné Logicky přidruží uživatelské účty k prostředkům, které vytvoří. Uživatelský účet je identita uživatele a jedno nebo více předplatných. Předplatné představuje seskupení prostředků Azure. Faktura se vygeneruje v oboru předplatného. Abyste mohli vytvářet prostředky Azure, musíte mít účet s aktivním předplatným. Možnosti předplatného najdete v tématu Vytvoření pracovního prostoru Azure Quantum.
Skupina prostředků Kontejner, který obsahuje související prostředky pro řešení Azure. Skupina prostředků zahrnuje ty prostředky, které chcete spravovat jako skupinu. Například pro spouštění aplikací v Azure Quantum jsou potřeba následující prostředky:
  • Účet úložiště Azure: Ukládá vstupní a výstupní data pro kvantové úlohy.
  • Pracovní prostor Azure Quantum: kolekce prostředků přidružených ke spouštění kvantových aplikací.
Tyto prostředky žijí v jedné skupině prostředků.
Prostředek Instance služby, kterou můžete vytvořit, například pracovní prostor nebo účet úložiště.

Poznámka:

Vzhledem k tomu, že přístup může být vymezen na více úrovní v Azure, může mít uživatel na každé úrovni různé role. Například někdo s přístupem vlastníka k pracovnímu prostoru nemusí mít přístup vlastníka ke skupině prostředků, která tento pracovní prostor obsahuje.

Požadavky na roli pro vytvoření pracovního prostoru

Při vytváření nového pracovního prostoru nejprve vyberete předplatné, skupinu prostředků a účet úložiště, které chcete přidružit k pracovnímu prostoru. Vaše schopnost vytvořit pracovní prostor závisí na úrovních přístupu, které máte, počínaje oborem předplatného. Pokud chcete zobrazit autorizaci pro různé prostředky, přečtěte si téma Kontrola přiřazení rolí.

Vlastník předplatného

Vlastníci předplatného můžou vytvářet pracovní prostory pomocí možností Rychlé vytvoření nebo Rozšířené vytváření . Můžete zvolit skupinu prostředků a účet úložiště, které už v předplatném existují, nebo můžete vytvořit nové. Máte také možnost přiřazovat role jiným uživatelům.

Přispěvatel předplatného

Přispěvatelé předplatného můžou vytvářet pracovní prostory pomocí možnosti Rozšířené vytváření .

  • Pokud chcete vytvořit nový účet úložiště, musíte vybrat existující skupinu prostředků, ve které jste vlastníkem.

  • Pokud chcete vybrat existující účet úložiště, musíte být vlastníkem účtu úložiště. Musíte také vybrat existující skupinu prostředků, do které patří účet úložiště.

Přispěvatelé předplatného nemůžou přiřazovat role ostatním.

Čtenář předplatného

Čtenáři předplatného nemůžou vytvářet pracovní prostory. Můžete zobrazit všechny prostředky vytvořené v rámci předplatného, ale nemůžete provádět žádné změny ani přiřazovat role.

Kontrola přiřazení rolí

Kontrola předplatných

Zobrazení seznamu předplatných a přidružených rolí:

  1. Přihlaste se k portálu Azure.
  2. V části Služby Azure vyberte Předplatná. Pokud tady Odběry nevidíte, vyhledejte je pomocí vyhledávacího pole.
  3. Filtr Předplatná vedle vyhledávacího pole může být výchozí hodnotou Předplatná == globální filtr. Pokud chcete zobrazit seznam všech vašich předplatných, vyberte filtr Předplatná a zrušte zaškrtnutí políčka Vybrat pouze předplatná vybraná v seznamu... krabice. Potom vyberte Použít. Filtr by pak měl zobrazit předplatná == vše. Snímek obrazovky webu Azure Portal, který ukazuje, jak změnit filtr předplatných, aby se vypsaly všechny vaše předplatná

Kontrola prostředků

Pokud chcete zkontrolovat přiřazení role, které pro konkrétní prostředek máte vy nebo jiný uživatel, přečtěte si téma Kontrola přístupu uživatele k prostředkům Azure.

Přiřazení rolí

Pokud chcete do pracovního prostoru přidat nové uživatele, musíte být vlastníkem pracovního prostoru. Pokud chcete udělit přístup 10 nebo méně uživatelům k vašemu pracovnímu prostoru, přečtěte si téma Sdílení přístupu k pracovnímu prostoru Azure Quantum. Pokud chcete udělit přístup více než 10 uživatelům, přečtěte si téma Přidání skupiny do pracovního prostoru Azure Quantum.

Pokud chcete přiřadit role pro jakýkoli prostředek v libovolném oboru, včetně úrovně předplatného, přečtěte si téma Přiřazení rolí Azure pomocí webu Azure Portal.

Řešení problému

Řešení běžných problémů najdete v tématu Řešení potíží s Azure Quantum: Vytvoření pracovního prostoru Azure Quantum.

  • Když v Azure vytvoříte prostředek, například pracovní prostor, nejste přímo vlastníkem prostředku. Vaše role se dědí z role s nejvyšším oborem, vůči které máte oprávnění v tomto předplatném.

  • Když vytváříte nová přiřazení rolí, může někdy trvat až hodinu, než se projeví oprávnění uložená v mezipaměti v rámci zásobníku.