Freigeben über

Erstellen und Zuweisen einer benutzerseitig zugewiesenen verwalteten Identität

  • Artikel

In dieser Schrittanleitung erfahren Sie Folgendes:

  • Erstellen einer benutzerseitig zugewiesenen verwalteten Identität (User-Assigned Managed Identity, UAMI) für Ihren Site Network Service (SNS)
  • Zuweisen von Berechtigungen für diese benutzerseitig zugewiesene verwaltete Identität

Die Anforderung für eine benutzerseitig zugewiesene verwaltete Identität und die erforderlichen Berechtigungen hängen vom Network Service Design (NSD) ab und müssen Ihnen vom Network Service Designer mitgeteilt worden sein.

Voraussetzungen

  • Sie müssen eine benutzerdefinierte Rolle über die Option Benutzerdefinierte Rolle erstellen erstellt haben. In diesem Artikel wird davon ausgegangen, dass Sie die benutzerdefinierte Rolle „Custom Role – AOSM Service Operator access to Publisher“ genannt haben.

  • Der Network Service Designer muss Ihnen mitgeteilt haben, welche anderen Berechtigungen Ihre verwaltete Identität erfordert und welche Network Function Definition Version (NFDV) Ihr SNS verwendet.

  • Um diese Aufgabe auszuführen, benötigen Sie die Rolle „Besitzer“ oder „Benutzerzugriffsadministrator“ für die Network Function Definition Version-Ressource von Ihrem ausgewählten Herausgeber. Sie müssen auch über eine Ressourcengruppe verfügen, für die Sie über die Rollenzuweisung „Besitzer“ oder „Benutzerzugriffsadministrator“ verfügen, um die verwaltete Identität zu erstellen und ihr Berechtigungen zuzuweisen.

Erstellen einer benutzerseitig zugewiesenen verwalteten Identität

Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität. Ausführliche Informationen finden Sie unter Erstellen einer benutzerseitig zugewiesenen verwalteten Identität für Ihren SNS.

Zuweisen einer benutzerdefinierten Rolle

Weisen Sie der benutzerseitig zugewiesenen verwalteten Identität eine benutzerdefinierte Rolle zu.

Auswählen des Bereichs zum Zuweisen einer benutzerdefinierten Rolle

Dies sind die Herausgeberressourcen, denen Sie die benutzerdefinierte Rolle zuweisen müssen:

  • Network Function Definition Version(s)

Sie müssen entscheiden, ob Sie die benutzerdefinierte Rolle diesem NFDV einzeln oder einer übergeordneten Ressource wie der Herausgeberressourcengruppe oder der Network Function Definition-Gruppe zuweisen möchten.

Das Anwenden auf eine übergeordnete Ressource gewährt Zugriff auf alle untergeordneten Ressourcen. Bei Anwendung auf die gesamte Herausgeberressourcengruppe wird der verwalteten Identität beispielsweise Zugriff auf die folgenden Komponenten gewährt:

  • Alle Network Function Definition-Gruppen und Network Function Definition Versions

  • Alle Network Service Design-Gruppen und Network Service Design Versions

  • Alle Konfigurationsgruppenschemas

Die benutzerdefinierten Rollenberechtigungen beschränken den Zugriff auf die Liste der hier gezeigten Berechtigungen:

  • Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/use/action

  • Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/read

  • Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/use/action

  • Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/read

  • Microsoft.HybridNetwork/Publishers/ConfigurationGroupSchemas/read

Hinweis

Gewähren Sie keiner dieser Herausgeberressourcen Schreib- oder Löschzugriff.

Zuweisen einer benutzerdefinierten Rolle

  1. Greifen Sie auf das Azure-Portal zu, und öffnen Sie den ausgewählten Bereich: Herausgeberressourcengruppe oder Network Function Definition Version.

  2. Wählen Sie im seitlichen Menü dieses Elements die Option Zugriffssteuerung (IAM) aus.

  3. Wählen Sie Rollenzuweisung hinzufügen aus.

    Screenshot: Zugriffssteuerungsseite für die Herausgeberressourcengruppe

  4. Suchen Sie unter Auftragsfunktionsrollen in der Liste Ihre benutzerdefinierte Rolle, und fahren Sie dann mit Weiter fort.

    Screenshot: Bildschirm zum Hinzufügen von Rollenzuweisungen

  5. Klicken Sie auf Verwaltete Identität, wählen Sie + Mitglieder auswählen aus, suchen Sie die neue verwaltete Identität, und wählen Sie sie aus. Klicken Sie auf Auswählen.

    Screenshot: Hinzufügen von Rollenzuweisungen und Auswählen verwalteter Identitäten

  6. Wählen Sie Überprüfen und zuweisen aus.

Wiederholen der Rollenzuweisung

Wiederholen Sie die Rollenzuweisungsaufgaben für alle ausgewählten Bereiche.

Zuweisen der Rolle „Operator für verwaltete Identität“ zur verwalteten Identität selbst

  1. Wechseln Sie zum Azure-Portal, und suchen Sie nach Verwaltete Identitäten.

  2. Wählen Sie in der Liste Verwaltete Identitäten die Identität identity-for-nginx-sns aus.

  3. Wählen Sie im Seitenmenü Zugriffssteuerung (IAM) aus.

  4. Klicken Sie auf Rollenzuweisung hinzufügen, und wählen Sie die Rolle Operator für verwaltete Identität aus. Screenshot: Rolle „Operator für verwaltete Identität“ unter „Rollenzuweisung hinzufügen“

  5. Wählen Sie die Rolle Operator für verwaltete Identität aus.

    Screenshot: Rolle „Operator für verwaltete Identität“

  6. Wählen Sie Verwaltete Identität aus.

  7. Wählen Sie + Mitglieder auswählen aus, navigieren Sie zur benutzerseitig zugewiesenen verwalteten Identität, und fahren Sie mit der Zuweisung fort.

    Screenshot: Bildschirm „Rollenzuweisung hinzufügen“ mit ausgewählter Option „Verwaltete Identität“

Durch die Ausführung aller in diesem Artikel beschriebenen Aufgaben wird sichergestellt, dass der Site Network Service (SNS) über die erforderlichen Berechtigungen verfügt, um in der angegebenen Azure-Umgebung effektiv zu funktionieren.

Zuweisen anderer erforderlicher Berechtigungen zur verwalteten Identität

Wiederholen Sie diesen Vorgang, um der von Ihrem Netzwerkdienstentwickler identifizierten verwalteten Identität weitere Berechtigungen zuzuweisen.