Konfigurieren der Zugriffssteuerung für Device Update-Ressourcen

Damit Benutzer auf Azure Device Update for IoT Hub zugreifen können, müssen Sie ihnen Zugriff auf das Device Update-Konto und die Instanz gewähren. Außerdem müssen Sie dem Device Update-Dienstprinzipal Zugriff auf den verknüpften IoT-Hub gewähren, damit Updates verwaltet und Informationen gesammelt werden können. In diesem Artikel wird beschrieben, wie Sie den erforderlichen Zugriff mithilfe der rollenbasierten Zugriffssteuerung (RBAC) von Azure im Azure-Portal oder der Azure CLI gewähren.

Voraussetzungen

• Die Rolle Besitzer oder Benutzerzugriffsadministrator in Ihrem Azure-Abonnement.
• Ein Device Update-Konto und eine Instanz, die mit einem IoT-Hub konfiguriert sind.
• Um Azure CLI-Befehle auszuführen, die Bash-Umgebung in Azure Cloud Shell oder lokal installierter Azure CLI.

Konfigurieren von Zugriffssteuerung für das Device Update-Konto

Die folgenden Rollen stehen zum Zuweisen des Zugriffs auf Device Update zur Verfügung:

• Device Update-Administrator
• Device Update-Leser
• Device Update-Inhaltsadministrator
• Device Update-Inhaltsleser
• Device Update-Bereitstellungsadministrator
• Device Update-Bereitstellungsleser

Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung (RBAC) und Device Update.

Azure portal

1. Wählen Sie im Azure-Portal in Ihrem Deive Update-Konto im Navigationsmenü die Zugriffssteuerung (IAM) und dann Rollenzuweisung hinzufügen aus.

   

2. Wählen Sie auf der Registerkarte Rolle aus den verfügbaren Optionen eine Device Update-Rolle aus, und klicken Sie dann auf Weiter.

   

3. Wählen Sie auf der Registerkarte Mitglieder die Option Benutzer auswählen aus, und fügen Sie Benutzer oder Gruppen hinzu, denen Sie die Rolle zuweisen möchten.

   

4. Wählen Sie Überprüfen und zuweisen aus.

5. Überprüfen Sie die neuen Rollenzuweisungen, und wählen Sie erneut Überprüfen und zuweisen aus.

6. Azure RBAC fügt die Rollenzuweisungen hinzu, und die ausgewählten Mitglieder können jetzt Geräteupdate aus Ihrem IoT Hub verwenden.

Azure-Befehlszeilenschnittstelle

Konfigurieren Sie mit dem Befehl az role assignment create die Zugriffssteuerung für Ihr Device Update-Konto. Ersetzen Sie im Befehl die folgenden Platzhalter durch Ihre eigenen Informationen:

• <role>: Die Rolle „Device Update“, die Sie zuweisen.
• <user_or_group: Der Benutzer oder die Gruppe, dem Sie die Rolle zuweisen möchten.
• <account_id>: Die Ressourcen-ID für das Device Update-Konto, auf das der Zugriff gewährt werden soll. Sie können die Ressourcen-ID mit az iot du account show abrufen und den ID-Wert mit az iot du account show -n <account_name> --query id abfragen.

az role assignment create --role '<role>' --assignee <user_or_group> --scope <account_id>

Konfigurieren des IoT-Hubzugriffs für den Device Update-Dienstprinzipal

Device Update kommuniziert mit IoT Hub, um Bereitstellungen und Updates zu verwalten und Informationen zu Geräten abzurufen. Um diese Kommunikation zu ermöglichen, müssen Sie dem Azure Device Update-Dienstprinzipal Zugriff auf den IoT-Hub mit der Rolle Mitwirkender an IoT Hub-Daten gewähren.

Azure portal

1. Wählen Sie in Ihrer Device Update-Instanz im Azure-Portal den IoT-Hub aus, der mit der Instanz verbunden ist.

   

2. Wählen Sie auf der IoT-Hubseite im linken Navigationsmenü die Zugriffssteuerung (IAM) aus.

3. Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen.

   

4. Wählen Sie auf der Registerkarte Rolle die Option Mitwirkender an IoT Hub-Daten aus, und wählen Sie dann Weiter aus.

   

5. Wählen Sie auf der Registerkarte Mitglieder die Option Benutzer, Gruppe oder Dienstprinzipal für Zugriff zuweisen zu aus, und wählen Sie dann Mitglieder auswählen aus.

6. Suchen Sie auf dem Bildschirm Mitglieder auswählen nach dem Eintrag Azure Device Update, wählen Sie ihn aus, und wählen Sie dann Auswählen aus.

   

7. Wählen Sie Überprüfen und zuweisen und dann erneut Überprüfen und zuweisen aus.

So überprüfen Sie, ob Sie Berechtigungen richtig festgelegt haben:

1. Navigieren Sie im Azure-Portal zum IoT Hub, der mit Ihrer Device Update-Instanz verbunden ist.
2. Wählen Sie im linken Navigationsmenü Zugriffssteuerung (IAM) aus.
3. Wählen Sie Zugriff überprüfen aus.
4. Wählen Sie Benutzer, Gruppe oder Dienstprinzipal aus, suchen Sie nach Azure Device Update, und wählen Sie es aus.
5. Stellen Sie sicher, dass die Rolle Mitwirkender an IoT Hub-Daten unter Rollenzuweisungen aufgeführt ist.

Azure-Befehlszeilenschnittstelle

Verwenden Sie den Befehl az role assignment create, um eine Rollenzuweisung für den Azure Device Update-Dienstprinzipal zu erstellen.

Ersetzen Sie <resource_id> im Befehl durch die Ressourcen-ID Ihres IoT-Hubs. Sie können die Ressourcen-ID abrufen, indem Sie den Befehl az iot hub show verwenden und den ID-Wert mitaz iot hub show -n <hub_name> --query id abfragen.

az role assignment create --role "IoT Hub Data Contributor" --assignee https://api.adu.microsoft.com/ --scope <resource_id>

Zugehöriger Inhalt

• Rollenbasierte Zugriffssteuerung in Azure (RBAC) und Device Update
• Befehlsreferenz für AZ-Rollenzuweisung