Inzicht in op rollen gebaseerde toegang tot uw Azure Quantum-werkruimte
Meer informatie over de verschillende beveiligingsprinciplen en rollen die u kunt gebruiken om de toegang tot uw Azure Quantum-werkruimte te beheren.
Toegangsbeheer op basis van rollen in Azure (RBAC)
Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) is het autorisatiesysteem dat u gebruikt voor het beheren van de toegang tot Azure-resources, zoals een werkruimte. Als u toegang wilt verlenen, wijst u rollen toe aan een beveiligingsprincipaal.
Beveiligingsprincipal
Een beveiligingsprincipaal is een object dat een gebruiker, groep, service-principal of beheerde identiteit vertegenwoordigt.
| Beveiligingsprincipal | Definitie |
|---|---|
| User | Een gebruikersaccount waarmee u zich aanmeldt bij Azure om resources te maken, beheren en gebruiken. |
| Groep | Een groep gebruikers. Wordt gebruikt voor het beheren van gebruikers die dezelfde toegang en machtigingen voor resources nodig hebben. |
| Service/principal | Een gebruikersidentiteit voor een toepassing, service of platform die toegang nodig heeft tot resources. |
| Beheerde identiteit | Een automatisch beheerde identiteit in Azure Active Directory (Azure AD) die toepassingen kunnen gebruiken bij het maken van verbinding met resources die ondersteuning bieden voor Azure AD-verificatie. |
Role
Wanneer u toegang verleent tot een beveiligingsprincipaal, wijst u een ingebouwde rol toe of maakt u een aangepaste rol. De meest gebruikte ingebouwde rollen zijn Eigenaar, Inzender en Lezer.
| Role | Toegangsniveau |
|---|---|
| Eigenaar | Verleent volledige toegang om alle resources te beheren, inclusief de mogelijkheid om rollen toe te wijzen in Azure RBAC. |
| Inzender | Verleent volledige toegang om alle resources te beheren, maar u kunt geen rollen toewijzen in Azure RBAC. |
| Lezer | Bekijk alle resources, maar u kunt geen wijzigingen aanbrengen. |
Bereik
Rollen worden toegewezen aan een bepaald bereik. Bereik is de set resources waarop de toegang van toepassing is. Bereiken zijn gestructureerd in een bovenliggende/onderliggende relatie. Elk niveau van de hiërarchie maakt het bereik specifieker. Het niveau dat u selecteert, bepaalt hoe breed de rol wordt toegepast. Lagere niveaus nemen rolmachtigingen over van hogere niveaus. U kunt rollen toewijzen op vier niveaus van bereik: beheergroep, abonnement, resourcegroep of resource.
| Bereik | Beschrijving |
|---|---|
| Beheergroep | Helpt u bij het beheren van toegang, beleid en naleving voor meerdere abonnementen. Alle abonnementen in een beheergroep nemen automatisch de voorwaarden over die worden toegepast op de beheergroep. Mogelijk hebt u een beheergroep nodig als uw organisatie meerdere abonnementen heeft. |
| Abonnement | Hiermee worden gebruikersaccounts logisch gekoppeld aan de resources die ze maken. Een gebruikersaccount is een gebruikersidentiteit en een of meer abonnementen. Een abonnement vertegenwoordigt een groepering van Azure-resources. Er wordt een factuur gegenereerd voor het abonnementsbereik. U moet een account met een actief abonnement hebben om Azure-resources te maken. Zie Een Azure Quantum-werkruimte maken voor abonnementsopties. |
| Resourcegroep | Een container met gerelateerde resources voor een Azure-oplossing. De resourcegroep bevat die resources die u als groep wilt beheren. De volgende resources zijn bijvoorbeeld vereist voor het uitvoeren van toepassingen in Azure Quantum:
|
| Bron | Een exemplaar van een service die u kunt maken, zoals een werkruimte of opslagaccount. |
Notitie
Omdat de toegang kan worden beperkt tot meerdere niveaus in Azure, kan een gebruiker verschillende rollen hebben op elk niveau. Iemand met eigenaarstoegang tot een werkruimte heeft bijvoorbeeld mogelijk geen eigenaarstoegang tot de resourcegroep die de werkruimte bevat.
Rolvereisten voor het maken van een werkruimte
Wanneer u een nieuwe werkruimte maakt, selecteert u eerst een abonnement, resourcegroep en opslagaccount dat u aan de werkruimte wilt koppelen. Uw mogelijkheid om een werkruimte te maken, is afhankelijk van de toegangsniveaus die u hebt, te beginnen bij het abonnementsbereik. Zie Uw roltoewijzingen controleren om uw autorisatie voor verschillende resources weer te geven.
Abonnementseigenaar
Abonnementseigenaren kunnen werkruimten maken met behulp van de opties Snel maken of Geavanceerd maken . U kunt een resourcegroep en een opslagaccount kiezen dat al bestaat onder het abonnement of nieuwe maken. U kunt ook rollen toewijzen aan andere gebruikers.
Abonnementinzender
Abonnementsbijdragers kunnen werkruimten maken met behulp van de optie Geavanceerd maken .
Als u een nieuw opslagaccount wilt maken, moet u een bestaande resourcegroep selecteren waarvan u eigenaar bent.
Als u een bestaand opslagaccount wilt selecteren, moet u eigenaar van het opslagaccount zijn. U moet ook de bestaande resourcegroep selecteren waartoe het opslagaccount behoort.
Inzenders van abonnementen kunnen geen rollen toewijzen aan anderen.
Abonnementslezer
Abonnementslezers kunnen geen werkruimten maken. U kunt alle resources weergeven die zijn gemaakt onder het abonnement, maar u kunt geen wijzigingen aanbrengen of rollen toewijzen.
Uw roltoewijzingen controleren
Uw abonnementen controleren
Een lijst met uw abonnementen en gekoppelde rollen weergeven:
- Meld u aan bij het Azure-portaal.
- Selecteer Abonnementen onder de kop Azure-services. Als u hier geen abonnementen ziet, gebruikt u het zoekvak om het te vinden.
- Het filter Abonnementen naast het zoekvak is mogelijk standaard ingesteld op Abonnementen == globaal filter. Als u een lijst met al uw abonnementen wilt zien, selecteert u het filter Abonnementen en schakelt u de selectie 'Alleen abonnementen selecteren geselecteerd in de... doos. Selecteer vervolgens Toepassen. In het filter moeten vervolgens Abonnementen == alle worden weergegeven.
Uw resources controleren
Zie Toegang controleren voor een gebruiker naar Azure-resources om de roltoewijzing te controleren die u of een andere gebruiker voor een bepaalde resource heeft.
Rollen toewijzen
Als u nieuwe gebruikers aan een werkruimte wilt toevoegen, moet u eigenaar van de werkruimte zijn. Als u 10 of minder gebruikers toegang wilt verlenen tot uw werkruimte, raadpleegt u Toegang tot uw Azure Quantum-werkruimte delen. Als u meer dan 10 gebruikers toegang wilt verlenen, raadpleegt u Een groep toevoegen aan uw Azure Quantum-werkruimte.
Zie Azure-rollen toewijzen met behulp van De Azure-portal om rollen toe te wijzen voor elke resource binnen elk bereik, inclusief het abonnementsniveau.
Probleemoplossing
Zie Problemen met Azure Quantum oplossen voor oplossingen voor veelvoorkomende problemen : Een Azure Quantum-werkruimte maken.
Wanneer u een resource maakt in Azure, zoals een werkruimte, bent u niet rechtstreeks de eigenaar van de resource. Uw rol wordt overgenomen van de rol van het hoogste bereik waarvoor u bent gemachtigd in dat abonnement.
Wanneer u nieuwe roltoewijzingen maakt, kan het soms maximaal één uur duren voordat machtigingen in de cache worden doorgevoerd in de stack.