Compartir a través de

Configuración RBAC de ejemplo para varios usuarios empresariales

  • Artículo

Muchos clientes de Azure Sphere desean configurar el acceso RBAC para permitir que los equipos de ingeniería realicen funciones relacionadas con el desarrollo en dispositivos y grupos de dispositivos de propiedad de ingeniería, pero evitar que los equipos de ingeniería accedan directamente a grupos de dispositivos de producción administrados normalmente por un equipo de operaciones. En el escenario siguiente se detalla cómo configurar un conjunto de grupos de usuarios RBAC y permisos para dar al equipo de ingeniería y al equipo de operaciones acceso solo a las características y recursos que necesitan. En este escenario, hay 3 grupos de usuarios empresariales diferentes con las siguientes responsabilidades comunes del trabajo:

  • Usuarios de Azure Sphere Administrator: el grupo de usuarios de Azure Sphere con privilegios más altos para los usuarios que necesitan crear, configurar y administrar nuevos catálogos de Azure Sphere y sus recursos secundarios, incluida la reclamación de dispositivos a los catálogos (asociar permanentemente los dispositivos reclamados solo con ese catálogo) y la integración de inquilinos existentes de Azure Sphere (heredado) en catálogos de Azure Sphere (integrados).
  • Usuarios del equipo de producto: para los usuarios que necesitan privilegios para los elementos que pertenecen al propio recurso del catálogo, como imágenes y certificados, pero que no deben tener privilegios para todos los grupos de dispositivos que pertenecen al catálogo, como el grupo de dispositivos de producción potencialmente confidencial. Este grupo de usuarios es especialmente adecuado para los usuarios de desarrollo de productos que descargan archivos de capacidad de dispositivo, mueven dispositivos entre los grupos de dispositivos de evaluación del SISTEMA operativo de desarrollo, prueba de campo y prueba de campo, y que implementan software nuevo y que pueden recopilar archivos de volcado de memoria en los grupos de dispositivos de evaluación del SO de prueba de campo y prueba de campo, pero que no están autorizados para administrar dispositivos de producción en los grupos de dispositivos de evaluación del sistema operativo de producción y producción.
  • Usuarios del equipo de operaciones : para los usuarios que administran la flota de dispositivos de producción, necesitan permisos para el grupo de dispositivos de producción en el que implementarán nuevas imágenes de software y firmware, habilitarán la recopilación de archivos de volcado de memoria, y validarán que las versiones de eval comercial del sistema operativo funcionan según lo esperado en el grupo de dispositivos de evaluación del sistema operativo de producción.

Configuración RBAC de ejemplo.

Advertencia

  • Los usuarios que necesitan integrar inquilinos de Azure Sphere (heredado) en catálogos de Azure Sphere (integrados) deben tener aplicado el rol colaborador de Azure Sphere al grupo de recursos que posee la suscripción a la que pertenece el inquilino.

  • Aunque es posible asignar a un usuario un rol RBAC solo en un producto o grupo de dispositivos pero no en su catálogo primario, el usuario no podrá buscar el producto o grupo de dispositivos, ni su catálogo primario, desde su pantalla principal de Azure. Solo pueden acceder al producto o grupo de dispositivos a través de una dirección URL que apunta directamente a él. Para mayor comodidad del usuario, recomendamos que todos los usuarios tengan al menos acceso de Azure Sphere Reader al catálogo.