Grundlegendes zum rollenbasierten Zugriff auf Ihren Azure Quantum-Arbeitsbereich
Erfahren Sie mehr über die verschiedenen Sicherheitsprinzipale und Rollen, die Sie zum Verwalten des Zugriffs auf Ihren Azure Quantum-Arbeitsbereich verwenden können.
Azure rollenbasierte Zugriffssteuerung (RBAC)
Die rollenbasierte Azure-Zugriffssteuerung (Azure RBAC) ist das Autorisierungssystem, das Sie zum Verwalten des Zugriffs auf Azure-Ressourcen wie z. B. einen Arbeitsbereich verwenden. Um Zugriff zu gewähren, weisen Sie einem Sicherheitsprinzipal Rollen zu.
Sicherheitsprinzipal
Ein Sicherheitsprinzipal ist ein Objekt, das einen Benutzer, eine Gruppe, einen Dienstprinzipal oder eine verwaltete Identität darstellt.
Sicherheitsprinzipal | Definition |
---|---|
Benutzer | Ein Benutzerkonto, das sich bei Azure anmeldet, um Ressourcen zu erstellen, zu verwalten und zu verwenden. |
Gruppieren | Eine Gruppe von Benutzern. Wird verwendet, um Benutzer zu verwalten, die denselben Zugriff und dieselben Berechtigungen für Ressourcen benötigen. |
Dienstprinzipal | Eine Benutzeridentität für eine Anwendung, einen Dienst oder eine Plattform, die auf Ressourcen zugreifen muss. |
Verwaltete Identität | Eine automatisch verwaltete Identität in Azure Active Directory (Azure AD) für Anwendungen, die beim Herstellen einer Verbindung mit Ressourcen verwendet werden sollen, die die Azure AD-Authentifizierung unterstützen. |
Role
Wenn Sie einem Sicherheitsprinzipal Zugriff gewähren, weisen Sie eine integrierte Rolle zu oder erstellen eine benutzerdefinierte Rolle. Die am häufigsten verwendeten integrierten Rollen sind Besitzer, Mitwirkender und Leser.
Role | Zugriffsebene |
---|---|
Besitzer | Hiermit wird Vollzugriff zum Verwalten aller Ressourcen gewährt, einschließlich der Möglichkeit, Rollen in Azure RBAC zuzuweisen. |
Mitwirkender | Gewährt vollzugriff auf die Verwaltung aller Ressourcen, ermöglicht ihnen jedoch nicht das Zuweisen von Rollen in Azure RBAC. |
Leser | Hiermit können Sie alle Ressourcen anzeigen, aber keine Änderungen vornehmen. |
`Scope`
Rollen werden einem bestimmten Bereich zugewiesen. Ein Bereich ist der für den Zugriff geltende Ressourcensatz. Bereiche sind in einer Beziehung zwischen über- und untergeordneten Elementen strukturiert. Mit jeder Hierarchieebene wird der Bereich spezifischer. Die von Ihnen ausgewählte Ebene bestimmt, wie umfassend die Rolle angewendet wird. Niedrigere Ebenen erben die Rollenberechtigungen von höheren Ebenen. Sie können Rollen auf vier Ebenen des Bereichs zuweisen: Verwaltungsgruppe, Abonnement, Ressourcengruppe oder Ressource.
`Scope` | Beschreibung |
---|---|
Verwaltungsgruppe | Unterstützt Sie beim Verwalten von Zugriff, Richtlinien und Compliance für mehrere Abonnements. Alle Abonnements in einer Verwaltungsgruppe erben automatisch die auf die Verwaltungsgruppe angewendeten Bedingungen. Möglicherweise benötigen Sie eine Verwaltungsgruppe, wenn Ihre Organisation über mehrere Abonnements verfügt. |
Abonnement | Ordnet Benutzerkonten logisch den von ihnen erstellten Ressourcen zu. Ein Benutzerkonto ist eine Benutzeridentität und ein oder mehrere Abonnements. Ein Abonnement stellt eine Gruppierung von Azure-Ressourcen dar. Eine Rechnung wird für den Abonnementbereich generiert. Sie müssen über ein Konto mit einem aktiven Abonnement verfügen, um Azure-Ressourcen zu erstellen. Abonnementoptionen finden Sie unter Erstellen eines Azure Quantum-Arbeitsbereichs. |
Ressourcengruppe | Hierbei handelt es sich um einen Container, der verwandte Ressourcen für eine Azure-Lösung enthält. Die Ressourcengruppe enthält die Ressourcen, die Sie als Gruppe verwalten möchten. Zum Ausführen von Anwendungen in Azure Quantum sind beispielsweise die folgenden Ressourcen erforderlich:
|
Resource | Eine Instanz eines Diensts, den Sie erstellen können, z. B. einen Arbeitsbereich oder ein Speicherkonto. |
Hinweis
Da der Zugriff auf mehrere Ebenen in Azure festgelegt werden kann, verfügt ein Benutzer möglicherweise über unterschiedliche Rollen auf jeder Ebene. Es kann z. B. sein, dass ein Benutzer mit Vollzugriff für einen Arbeitsbereich für die Ressourcengruppe, die diesen Arbeitsbereich enthält, keinen Vollzugriff hat.
Rollenanforderungen für das Erstellen eines Arbeitsbereichs
Wenn Sie einen neuen Arbeitsbereich erstellen, wählen Sie zuerst ein Abonnement, eine Ressourcengruppe und ein Speicherkonto aus, das dem Arbeitsbereich zugeordnet werden soll. Ihre Fähigkeit zum Erstellen eines Arbeitsbereichs hängt von den Zugriffsebenen ab, die Sie haben, beginnend mit dem Abonnementbereich. Informationen zum Anzeigen Ihrer Autorisierung für verschiedene Ressourcen finden Sie unter Überprüfen Ihrer Rollenzuweisungen.
Besitzer des Abonnements
Abonnementbesitzer können Arbeitsbereiche entweder mithilfe der Optionen "Schnellerstellung " oder "Erweiterte Erstellung " erstellen. Sie können entweder eine Ressourcengruppe und ein Speicherkonto auswählen, das bereits im Abonnement vorhanden ist, oder neue konten erstellen. Sie haben auch die Möglichkeit, anderen Benutzern Rollen zuzuweisen.
Mitwirkender des Abonnements
Abonnementmitwirkende können Arbeitsbereiche mithilfe der Option "Erweitert erstellen " erstellen.
Zum Erstellen eines neuen Speicherkontos müssen Sie eine vorhandene Ressourcengruppe auswählen, bei der Sie Besitzer sind.
Um ein vorhandenes Speicherkonto auszuwählen, müssen Sie besitzer des Speicherkontos sein. Sie müssen auch die vorhandene Ressourcengruppe auswählen, zu der das Speicherkonto gehört.
Abonnementmitwirkende können anderen Personen keine Rollen zuweisen.
Abonnementleser
Abonnementleser können keine Arbeitsbereiche erstellen. Sie können alle Ressourcen anzeigen, die unter dem Abonnement erstellt wurden, aber keine Änderungen vornehmen oder Rollen zuweisen.
Überprüfen Ihrer Rollenzuweisungen
Überprüfen Ihrer Abonnements
So zeigen Sie eine Liste Ihrer Abonnements und zugehörigen Rollen an:
- Melden Sie sich beim Azure-Portal an.
- Wählen Sie unter der Überschrift „Azure-Dienste“ die Option Abonnements aus. Wenn hier Abonnements nicht angezeigt wird, verwenden Sie das Suchfeld, um die Option zu finden.
- Der Filter "Abonnements" neben dem Suchfeld kann standardmäßig auf Abonnements == globaler Filter festgelegt werden. Um eine Liste aller Abonnements anzuzeigen, wählen Sie den Filter "Abonnements" aus, und deaktivieren Sie die Option "Nur in den..." Schachtel. Wählen Sie dann Anwenden aus. Der Filter sollte dann Abonnements anzeigen == alle.
Überprüfen Ihrer Ressourcen
Informationen zum Überprüfen der Rollenzuweisung, die Sie oder ein anderer Benutzer für eine bestimmte Ressource hat, finden Sie unter "Überprüfen des Zugriffs auf einen Benutzer auf Azure-Ressourcen".
Zuweisen von Rollen
Um einem Arbeitsbereich neue Benutzer hinzuzufügen, müssen Sie besitzer des Arbeitsbereichs sein. Informationen zum Gewähren des Zugriffs auf 10 oder weniger Benutzer für Ihren Arbeitsbereich finden Sie unter "Freigeben des Zugriffs auf Ihren Azure Quantum-Arbeitsbereich". Informationen zum Gewähren des Zugriffs auf mehr als 10 Benutzer finden Sie unter Hinzufügen einer Gruppe zu Ihrem Azure Quantum-Arbeitsbereich.
Informationen zum Zuweisen von Rollen für jede Ressource in einem beliebigen Bereich, einschließlich der Abonnementebene, finden Sie unter Zuweisen von Azure-Rollen mithilfe der Azure-Portal.
Problembehandlung
Lösungen für häufige Probleme finden Sie unter "Problembehandlung bei Azure Quantum: Erstellen eines Azure Quantum"-Arbeitsbereichs.
Wenn Sie eine Ressource in Azure erstellen, z. B. einen Arbeitsbereich, sind Sie nicht direkt der Besitzer der Ressource. Ihre Rolle wird von der Rolle mit dem höchsten Geltungsbereich geerbt, für die Sie in diesem Abonnement autorisiert sind.
Wenn Sie neue Rollenzuweisungen erstellen, kann es manchmal bis zu einer Stunde dauern, bis sie über zwischengespeicherte Berechtigungen im Stapel wirksam werden.