Op rollen gebaseerd toegangsbeheer voor Azure Batch-service
Azure Batch Service ondersteunt een set ingebouwde Azure-rollen die verschillende machtigingsniveaus bieden voor een Azure Batch-account. Met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC), een autorisatiesysteem voor het beheren van afzonderlijke toegang tot Azure-resources, kunt u specifieke machtigingen toewijzen aan gebruikers, service-principals of andere identiteiten die moeten communiceren met uw Batch-account. U kunt ook aangepaste rollen toewijzen met aangepaste, verfijnde machtigingen waarmee uw specifieke gebruiksscenario wordt aangepast.
Notitie
Alle RBAC-rollen (zowel ingebouwde als aangepaste) rollen zijn voor gebruikers geverifieerd door Microsoft Entra-id, niet voor de referenties voor gedeelde sleutels van Batch. De referenties van de gedeelde Batch-sleutel geven volledige machtigingen voor het Batch-account.
Azure RBAC toewijzen
Volg deze stappen om een Azure RBAC-rol toe te wijzen aan een gebruiker, groep, service-principal of beheerde identiteit. Raadpleeg Azure-rollen toewijzen met de Azure Portal voor informatie over het toewijzen van rollen.
Navigeer in Azure Portal naar uw specifieke Batch-account.
Tip
U kunt Azure RBAC ook instellen voor hele resourcegroepen, abonnementen of beheergroepen. Doe dit door het gewenste bereikniveau te selecteren en vervolgens naar het gewenste item te navigeren. Selecteer bijvoorbeeld Resourcegroepen en navigeer naar een specifieke resourcegroep.
Selecteer Toegangsbeheer (IAM) in de linkernavigatie.
Selecteer Op de pagina Toegangsbeheer (IAM) de optie Roltoewijzing toevoegen.
Selecteer op de pagina Roltoewijzing toevoegen het tabblad Rol en selecteer vervolgens een van de ingebouwde RBAC-rollen van Azure Batch.
Selecteer het tabblad Leden en selecteer Leden selecteren onder Leden.
Zoek en selecteer een gebruiker, groep, service-principal of beheerde identiteit in het scherm Leden selecteren en selecteer deze.
Notitie
Wanneer u een toepassing configureert voor het verifiëren van Azure Batch-services met service-principal, zoekt en selecteert u uw toepassing hier om de toegang en machtigingen voor het Azure Batch-account te configureren.
Selecteer Beoordelen en toewijzen op de pagina Roltoewijzing toevoegen.
De doelidentiteit moet nu worden weergegeven op het tabblad Roltoewijzingen van de pagina Toegangsbeheer (IAM) van het Batch-account.
Ingebouwde RBAC-rollen van Azure Batch
Azure Batch heeft een aantal vooraf gedefinieerde rollen om algemene gebruikersscenario's aan te pakken, waardoor de juiste toegangsniveaus in het Azure Batch-account efficiënt kunnen worden toegewezen aan een identiteit voor hun specifieke taak.
Ingebouwde rol Description Id Inzender voor Azure Batch-accounts Hiermee verleent u volledige toegang tot het beheren van alle Batch-resources, waaronder Batch-accounts, pools en taken. 29fe4964-1e60-436b-bd3a-77fd4c178b3c Azure Batch-accountlezer Hiermee kunt u alle resources weergeven, inclusief pools en taken in het Batch-account. 11076f67-66f6-4be0-8f6b-f0609fd05cc9 Inzender voor Azure Batch-gegevens Verleent machtigingen voor het beheren van Batch-pools en -taken, maar niet voor het wijzigen van accounts. 6aaa78f1-f7de-44ca-8722-c64a23943cae Azure Batch Job Submitter Hiermee kunt u taken verzenden en beheren in het Batch-account. 48e5e92e-a480-4e71-aa9c-2778f4c13781
Machtigingen Inzender voor Azure Batch-accounts Azure Batch-accountlezer Inzender voor Azure Batch-gegevens Azure Batch Job Submitter Batch-accounts weergeven of eigenschappen van een Batch-account weergeven ✓ ✓ ✓ Een Batch-account maken, bijwerken of verwijderen ✓ Toegangssleutels weergeven voor een Batch-account ✓ Toegangssleutels voor een Batch-account opnieuw genereren ✓ Eigenschappen van toepassingen en toepassingspakketten in een Batch-account weergeven of weergeven ✓ ✓ ✓ ✓ Toepassingen en toepassingspakketten maken, bijwerken of verwijderen in een Batch-account ✓ ✓ Eigenschappen van certificaten in een Batch-account weergeven of weergeven ✓ ✓ ✓ Certificaten maken, bijwerken of verwijderen in een Batch-account ✓ ✓ Eigenschappen van pools in een Batch-account weergeven of weergeven ✓ ✓ ✓ ✓ Pools maken, bijwerken of verwijderen in een Batch-account ✓ ✓ Eigenschappen van taken in een Batch-account weergeven of weergeven ✓ ✓ ✓ ✓ Taken in een Batch-account maken, bijwerken of verwijderen ✓ ✓ ✓ Eigenschappen van taakplanningen weergeven of weergeven in een Batch-account ✓ ✓ ✓ ✓ Taakplanningen maken, bijwerken of verwijderen in een Batch-account ✓ ✓ ✓
Waarschuwing
De functie Batch-accountcertificaat is buiten gebruik gesteld.
Inzender voor Azure Batch-accounts
Hiermee verleent u volledige toegang tot het beheren van alle Batch-resources, waaronder Batch-accounts, pools en taken.
Acties Beschrijving Microsoft.Authorization/*/read Rollen en roltoewijzingen lezen. Microsoft.Insights/alertRules/* Een klassieke waarschuwing voor metrische gegevens maken en beheren. Microsoft.Resources/deployments/* Een implementatie maken en beheren. Microsoft.Resources/subscriptions/resourceGroups/read Hiermee haalt u resourcegroepen op of vermeldt u deze. Microsoft.Batch/batchAccounts/* NotActions geen DataActions Microsoft.Batch/batchAccounts/* NotDataActions geen
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all Batch resources, including Batch accounts, pools and jobs.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/29fe4964-1e60-436b-bd3a-77fd4c178b3c",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Batch/batchAccounts/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/batchAccounts/*"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Account Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Batch-accountlezer
Hiermee kunt u alle resources weergeven, inclusief pools en taken in het Batch-account.
Acties Beschrijving Microsoft.Batch/batchAccounts/read Hiermee geeft u Batch-accounts weer of haalt u de eigenschappen van een Batch-account op. Microsoft.Batch/batchAccounts/*/read Bekijk alle resources in het Batch-account. Microsoft.Resources/subscriptions/resourceGroups/read Hiermee haalt u resourcegroepen op of vermeldt u deze. NotActions geen DataActions Microsoft.Batch/*/read Bekijk alle resources in het Batch-account. NotDataActions geen
{
"assignableScopes": [
"/"
],
"description": "Lets you view all resources including pools and jobs in the Batch account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/11076f67-66f6-4be0-8f6b-f0609fd05cc9",
"permissions": [
{
"actions": [
"Microsoft.Batch/batchAccounts/read",
"Microsoft.Batch/batchAccounts/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/batchAccounts/*/read"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Account Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Inzender voor Azure Batch-gegevens
Verleent machtigingen voor het beheren van Batch-pools en -taken, maar niet voor het wijzigen van accounts.
Acties Beschrijving Microsoft.Authorization/*/read Rollen en roltoewijzingen lezen. Microsoft.Batch/batchAccounts/read Hiermee geeft u Batch-accounts weer of haalt u de eigenschappen van een Batch-account op. Microsoft.Batch/batchAccounts/applications/* Toepassingen en toepassingspakketten maken en beheren in een Batch-account. Microsoft.Batch/batchAccounts/certificates/* Certificaten maken en beheren in een Batch-account. Microsoft.Batch/batchAccounts/certificateOperationResults/* Hiermee haalt u de resultaten op van een langdurige certificaatbewerking in een Batch-account. Microsoft.Batch/pools/* Pools maken en beheren in een Batch-account. Microsoft.Batch/poolOperationResults/* Haalt de resultaten op van een langlopende poolbewerking in een Batch-account. Microsoft.Batch/locations/*/read Haal het resultaat van de Batch-accountbewerking op/batchquotum/ondersteunde VM-grootte op de opgegeven locatie. Microsoft.Insights/alertRules/* Een klassieke waarschuwing voor metrische gegevens maken en beheren. Microsoft.Resources/deployments/* Een implementatie maken en beheren. Microsoft.Resources/subscriptions/resourceGroups/read Hiermee haalt u resourcegroepen op of vermeldt u deze. NotActions geen DataActions Microsoft.Batch/batchAccounts/jobSchedules/* Taakplanningen maken en beheren in een Batch-account. Microsoft.Batch/batchAccounts/jobs/* Taken in een Batch-account maken en beheren. NotDataActions geen
{
"assignableScopes": [
"/"
],
"description": "Grants permissions to manage Batch pools and jobs but not to modify accounts.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6aaa78f1-f7de-44ca-8722-c64a23943cae",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Batch/batchAccounts/read",
"Microsoft.Batch/batchAccounts/applications/*",
"Microsoft.Batch/batchAccounts/certificates/*",
"Microsoft.Batch/batchAccounts/certificateOperationResults/*",
"Microsoft.Batch/batchAccounts/pools/*",
"Microsoft.Batch/batchAccounts/poolOperationResults/*",
"Microsoft.Batch/locations/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/batchAccounts/jobSchedules/*",
"Microsoft.Batch/batchAccounts/jobs/*"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Data Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Batch Job Submitter
Hiermee kunt u taken verzenden en beheren in het Batch-account.
Acties Beschrijving Microsoft.Batch/batchAccounts/applications/read Hiermee geeft u toepassingen weer of haalt u de eigenschappen van een toepassing op. Microsoft.Batch/batchAccounts/applications/versions/read Hiermee haalt u de eigenschappen van een toepassingspakket op. Microsoft.Batch/pools/lezen Bevat pools in een Batch-account of haalt de eigenschappen van een pool op. Microsoft.Insights/alertRules/* Een klassieke waarschuwing voor metrische gegevens maken en beheren. Microsoft.Resources/subscriptions/resourceGroups/read Hiermee haalt u resourcegroepen op of vermeldt u deze. NotActions geen DataActions Microsoft.Batch/batchAccounts/jobSchedules/* Taakplanningen maken en beheren in een Batch-account. Microsoft.Batch/batchAccounts/jobs/* Taken in een Batch-account maken en beheren. NotDataActions geen
{
"assignableScopes": [
"/"
],
"description": "Lets you submit and manage jobs in the Batch account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/48e5e92e-a480-4e71-aa9c-2778f4c13781",
"permissions": [
{
"actions": [
"Microsoft.Batch/batchAccounts/applications/read",
"Microsoft.Batch/batchAccounts/applications/versions/read",
"Microsoft.Batch/batchAccounts/pools/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/batchAccounts/jobSchedules/*",
"Microsoft.Batch/batchAccounts/jobs/*"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Job Submitter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Een aangepaste rol toewijzen
Als ingebouwde Azure Batch-rollen niet aan uw behoeften voldoen, kunnen aangepaste Azure-rollen worden gebruikt om een gebruiker gedetailleerde machtigingen te verlenen voor het verzenden van taken, taken en meer. U kunt een aangepaste rol gebruiken om machtigingen aan een Microsoft Entra-id te verlenen of te weigeren voor de volgende Azure Batch RBAC-bewerkingen.
- Microsoft.Batch/batchAccounts/pools/write
- Microsoft.Batch/batchAccounts/pools/delete
- Microsoft.Batch/batchAccounts/pools/read
- Microsoft.Batch/batchAccounts/jobSchedules/write
- Microsoft.Batch/batchAccounts/jobSchedules/delete
- Microsoft.Batch/batchAccounts/jobSchedules/read
- Microsoft.Batch/batchAccounts/jobs/write
- Microsoft.Batch/batchAccounts/jobs/delete
- Microsoft.Batch/batchAccounts/jobs/read
- Microsoft.Batch/batchAccounts/certificates/write
- Microsoft.Batch/batchAccounts/certificates/delete
- Microsoft.Batch/batchAccounts/certificates/read
- Microsoft.Batch/batchAccounts/applications/write
- Microsoft.Batch/batchAccounts/applications/delete
- Microsoft.Batch/batchAccounts/applications/read
- Microsoft.Batch/batchAccounts/applications/versions/write
- Microsoft.Batch/batchAccounts/applications/versions/delete
- Microsoft.Batch/batchAccounts/applications/versions/read
- Microsoft.Batch/batchAccounts/read, voor elke leesbewerking
- Microsoft.Batch/batchAccounts/listKeys/action, voor elke bewerking
Tip
Voor taken die gebruikmaken van autopool zijn schrijfmachtigingen op poolniveau vereist.
Notitie
Bepaalde roltoewijzingen moeten worden opgegeven in het actions veld, terwijl andere in het dataActions veld moeten worden opgegeven. U moet beide actions onderzoeken en dataActions inzicht krijgen in het volledige bereik van de mogelijkheden die zijn toegewezen aan een rol. Zie Bewerkingen van de Azure-resourceprovider voor meer informatie.
In het volgende voorbeeld ziet u een aangepaste azure Batch-roldefinitie:
{
"properties":{
"roleName":"Azure Batch Custom Job Submitter",
"type":"CustomRole",
"description":"Allows a user to submit autopool jobs to Azure Batch",
"assignableScopes":[
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
],
"permissions":[
{
"actions":[
"Microsoft.Batch/*/read",
"Microsoft.Batch/batchAccounts/pools/write",
"Microsoft.Batch/batchAccounts/pools/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Insights/alertRules/*"
],
"notActions":[
],
"dataActions":[
"Microsoft.Batch/batchAccounts/jobs/*",
"Microsoft.Batch/batchAccounts/jobSchedules/*"
],
"notDataActions":[
]
}
]
}
}