Gestire l'accesso alle risorse nell'hub di Azure Stack con il controllo degli accessi in base al ruolo
L'hub di Azure Stack supporta il controllo degli accessi in base al ruolo, lo stesso modello di sicurezza per la gestione degli accessi usato da Microsoft Azure. È possibile usare RBAC per gestire l'accesso di utenti, gruppi o app a sottoscrizioni, risorse e servizi.
Nozioni di base sulla gestione degli accessi
Il controllo degli accessi in base al ruolo fornisce un controllo di accesso granulare che è possibile usare per proteggere l'ambiente. Si concedono agli utenti le autorizzazioni esatte di cui hanno bisogno assegnando un ruolo RBAC a un determinato ambito. L'ambito dell'assegnazione di ruolo può essere una sottoscrizione, un gruppo di risorse o una singola risorsa. Per informazioni più dettagliate sulla gestione degli accessi, vedere l'articolo Role-Based Controllo di accesso nel portale di Azure.
Nota
Quando l'hub di Azure Stack viene distribuito utilizzando Active Directory Federation Services come fornitore di identità, sono supportati solo i gruppi universali per gli scenari di controllo degli accessi basati sul ruolo.
Ruoli predefiniti
L'hub di Azure Stack ha tre ruoli di base che è possibile applicare a tutti i tipi di risorse:
- Proprietario: garantisce l'accesso completo per gestire tutte le risorse, inclusa la possibilità di assegnare ruoli nel controllo degli accessi in base al ruolo di Azure Stack.
- Collaboratore: offre l'accesso completo per gestire tutte le risorse, ma non consente di assegnare ruoli nell'RBAC di Azure Stack.
- Lettore: può visualizzare tutti gli elementi, ma non può apportare modifiche.
Gerarchia delle risorse e ereditarietà
L'hub di Azure Stack ha la gerarchia di risorse seguente:
- Ogni sottoscrizione appartiene a una directory.
- Ogni gruppo di risorse appartiene a una sottoscrizione.
- Ogni risorsa appartiene a un gruppo di risorse.
L'accesso concesso a un ambito padre viene ereditato in ambiti figlio. Per esempio:
- Assegni il ruolo di lettore a un gruppo Microsoft Entra nel contesto della sottoscrizione. I membri di tale gruppo possono visualizzare ogni gruppo di risorse e risorsa nella sottoscrizione.
- Assegni il ruolo di collaboratore a un'app nell'ambito del gruppo di risorse. L'app può gestire le risorse di tutti i tipi in tale gruppo di risorse, ma non altri gruppi di risorse nella sottoscrizione.
Assegnazione di ruoli
È possibile assegnare più ruoli a un utente e ogni ruolo può essere associato a un ambito diverso. Per esempio:
- Si assegna a Subscription-1 il ruolo Lettore TestUser-A .
- Assegni il ruolo di Proprietario a TestUser-A su TestVM-1.
L'articolo di Azure sulle assegnazioni dei ruoli fornisce informazioni dettagliate sulla visualizzazione, l'assegnazione e l'eliminazione dei ruoli.
Impostare le autorizzazioni di accesso per un utente
La procedura seguente descrive come configurare le autorizzazioni per un utente.
Accedere con un account con autorizzazioni di proprietario per la risorsa che si vuole gestire.
Nel riquadro di spostamento a sinistra scegliere Gruppi di risorse.
Scegliere il nome del gruppo di risorse su cui si desidera impostare le autorizzazioni.
Nel pannello di navigazione del gruppo di risorse scegliere Controllo di accesso (IAM).
La visualizzazione Assegnazioni di Ruolo elenca gli elementi che hanno accesso al gruppo di risorse. È possibile filtrare e raggruppare i risultati.Sulla barra dei menu Controllo di accesso scegliere Aggiungi.
Nel riquadro Aggiungi autorizzazioni :
- Scegli il Ruolo che vuoi assegnare dall'elenco a discesa Ruolo.
- Scegli la risorsa che vuoi assegnare dall'elenco a discesa Assegna l'accesso a.
- Selezionare l'utente, il gruppo o l'app nella directory a cui si vuole concedere l'accesso. È possibile eseguire ricerche nella directory con nomi visualizzati, indirizzi di posta elettronica e identificatori di oggetto.
Selezionare Salva.