Kontrola dostępu oparta na rolach dla usługi Azure Batch
Usługa Azure Batch obsługuje zestaw wbudowanych ról platformy Azure, które zapewniają różne poziomy uprawnień do konta usługi Azure Batch. Korzystając z kontroli dostępu opartej na rolach (RBAC) platformy Azure, systemu autoryzacji do zarządzania indywidualnym dostępem do zasobów platformy Azure, można przypisać określone uprawnienia do użytkowników, jednostek usługi lub innych tożsamości, które muszą wchodzić w interakcje z kontem usługi Batch. Role niestandardowe można również przypisywać z niestandardowymi, szczegółowymi uprawnieniami, które dostosowują określony scenariusz użycia.
Uwaga
Wszystkie role RBAC (wbudowane i niestandardowe) są przeznaczone dla użytkowników uwierzytelnionych przez identyfikator Entra firmy Microsoft, a nie dla poświadczeń klucza udostępnionego usługi Batch. Poświadczenia klucza współużytkowanego usługi Batch dają pełne uprawnienia do konta usługi Batch.
Przypisywanie kontroli dostępu opartej na rolach platformy Azure
Wykonaj następujące kroki, aby przypisać rolę RBAC platformy Azure do użytkownika, grupy, jednostki usługi lub tożsamości zarządzanej. Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.
W witrynie Azure Portal przejdź do określonego konta usługi Batch.
Napiwek
Możesz również skonfigurować kontrolę dostępu opartą na rolach platformy Azure dla całych grup zasobów, subskrypcji lub grup zarządzania. Zrób to, wybierając żądany poziom zakresu, a następnie przechodząc do żądanego elementu. Na przykład wybranie pozycji Grupy zasobów, a następnie przejście do określonej grupy zasobów.
Wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) w obszarze nawigacji po lewej stronie.
Na stronie Kontrola dostępu (Zarządzanie dostępem i tożsamościami) wybierz pozycję Dodaj przypisanie roli.
Na stronie Dodawanie przypisania roli wybierz kartę Rola, a następnie wybierz jedną z wbudowanych ról RBAC usługi Azure Batch.
Wybierz kartę Członkowie i wybierz pozycję Wybierz członków w obszarze Członkowie.
Na ekranie Wybieranie członków wyszukaj i wybierz użytkownika, grupę, jednostkę usługi lub tożsamość zarządzaną, a następnie wybierz pozycję Wybierz.
Uwaga
Podczas konfigurowania aplikacji do uwierzytelniania usług Azure Batch za pomocą jednostki usługi wyszukaj i wybierz aplikację tutaj, aby skonfigurować dostęp i uprawnienia do konta usługi Azure Batch.
Wybierz pozycję Przejrzyj i przypisz na stronie Dodawanie przypisania roli.
Tożsamość docelowa powinna być teraz wyświetlana na karcie Przypisania ról na stronie Kontrola dostępu (IAM) konta usługi Batch.
Wbudowane role RBAC usługi Azure Batch
Usługa Azure Batch ma kilka wstępnie zdefiniowanych ról w celu rozwiązania typowych scenariuszy użytkownika, dzięki czemu odpowiednie poziomy dostępu na koncie usługi Azure Batch mogą być efektywnie przypisywane do tożsamości dla ich określonego obowiązku.
Rola wbudowana opis ID Współautor konta usługi Azure Batch Udziela pełnego dostępu do zarządzania wszystkimi zasobami usługi Batch, w tym kontami, pulami i zadaniami usługi Batch. 29fe4964-1e60-436b-bd3a-77fd4c178b3c Czytelnik konta usługi Azure Batch Umożliwia wyświetlenie wszystkich zasobów, w tym pul i zadań na koncie usługi Batch. 11076f67-66f6-4be0-8f6b-f0609fd05cc9 Współautor danych usługi Azure Batch Przyznaje uprawnienia do zarządzania pulami i zadaniami usługi Batch, ale nie do modyfikowania kont. 6aaa78f1-f7de-44ca-8722-c64a23943cae Przesyłanie zadań w usłudze Azure Batch Umożliwia przesyłanie zadań i zarządzanie nimi na koncie usługi Batch. 48e5e92e-a480-4e71-aa9c-2778f4c13781
Uprawnienia Współautor konta usługi Azure Batch Czytelnik konta usługi Azure Batch Współautor danych usługi Azure Batch Przesyłanie zadań w usłudze Azure Batch Wyświetlanie listy kont usługi Batch lub wyświetlanie właściwości konta usługi Batch ✓ ✓ ✓ Tworzenie, aktualizowanie lub usuwanie konta usługi Batch ✓ Wyświetlanie listy kluczy dostępu dla konta usługi Batch ✓ Ponowne generowanie kluczy dostępu dla konta usługi Batch ✓ Wyświetlanie lub wyświetlanie właściwości aplikacji i pakietów aplikacji na koncie usługi Batch ✓ ✓ ✓ ✓ Tworzenie, aktualizowanie lub usuwanie aplikacji i pakietów aplikacji na koncie usługi Batch ✓ ✓ Wyświetlanie lub wyświetlanie właściwości certyfikatów na koncie usługi Batch ✓ ✓ ✓ Tworzenie, aktualizowanie lub usuwanie certyfikatów na koncie usługi Batch ✓ ✓ Wyświetlanie lub wyświetlanie właściwości pul na koncie usługi Batch ✓ ✓ ✓ ✓ Tworzenie, aktualizowanie lub usuwanie pul na koncie usługi Batch ✓ ✓ Wyświetlanie lub wyświetlanie właściwości zadań na koncie usługi Batch ✓ ✓ ✓ ✓ Tworzenie, aktualizowanie lub usuwanie zadań na koncie usługi Batch ✓ ✓ ✓ Wyświetlanie lub wyświetlanie właściwości harmonogramów zadań na koncie usługi Batch ✓ ✓ ✓ ✓ Tworzenie, aktualizowanie lub usuwanie harmonogramów zadań na koncie usługi Batch ✓ ✓ ✓
Ostrzeżenie
Funkcja certyfikatu konta usługi Batch została wycofana.
Współautor konta usługi Azure Batch
Udziela pełnego dostępu do zarządzania wszystkimi zasobami usługi Batch, w tym kontami, pulami i zadaniami usługi Batch.
Akcje Opis Microsoft.Authorization/*/read Odczytywanie ról i przypisań ról. Microsoft.Insights/alertRules/* Tworzenie alertu dotyczącego metryk klasycznych i zarządzanie nimi. Microsoft.Resources/deployments/* Tworzenie wdrożenia i zarządzanie nim. Microsoft.Resources/subscriptions/resourceGroups/read Pobiera lub wyświetla listę grup zasobów. Microsoft.Batch/batchAccounts/* NotActions none DataActions Microsoft.Batch/batchAccounts/* NotDataActions none
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all Batch resources, including Batch accounts, pools and jobs.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/29fe4964-1e60-436b-bd3a-77fd4c178b3c",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Batch/batchAccounts/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/batchAccounts/*"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Account Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Czytelnik konta usługi Azure Batch
Umożliwia wyświetlenie wszystkich zasobów, w tym pul i zadań na koncie usługi Batch.
Akcje opis Microsoft.Batch/batchAccounts/read Wyświetla listę kont usługi Batch lub pobiera właściwości konta usługi Batch. Microsoft.Batch/batchAccounts/*/read Wyświetl wszystkie zasoby na koncie usługi Batch. Microsoft.Resources/subscriptions/resourceGroups/read Pobiera lub wyświetla listę grup zasobów. NotActions none DataActions Microsoft.Batch/*/read Wyświetl wszystkie zasoby na koncie usługi Batch. NotDataActions none
{
"assignableScopes": [
"/"
],
"description": "Lets you view all resources including pools and jobs in the Batch account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/11076f67-66f6-4be0-8f6b-f0609fd05cc9",
"permissions": [
{
"actions": [
"Microsoft.Batch/batchAccounts/read",
"Microsoft.Batch/batchAccounts/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/batchAccounts/*/read"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Account Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor danych usługi Azure Batch
Przyznaje uprawnienia do zarządzania pulami i zadaniami usługi Batch, ale nie do modyfikowania kont.
Akcje Opis Microsoft.Authorization/*/read Odczytywanie ról i przypisań ról. Microsoft.Batch/batchAccounts/read Wyświetla listę kont usługi Batch lub pobiera właściwości konta usługi Batch. Microsoft.Batch/batchAccounts/applications/* Tworzenie aplikacji i pakietów aplikacji oraz zarządzanie nimi na koncie usługi Batch. Microsoft.Batch/batchAccounts/certificates/* Tworzenie certyfikatów na koncie usługi Batch i zarządzanie nimi. Microsoft.Batch/batchAccounts/certificateOperationResults/* Pobiera wyniki długotrwałej operacji certyfikatu na koncie usługi Batch. Microsoft.Batch/pools/* Tworzenie pul na koncie usługi Batch i zarządzanie nimi. Microsoft.Batch/poolOperationResults/* Pobiera wyniki długotrwałej operacji puli na koncie usługi Batch. Microsoft.Batch/locations/*/read Pobierz wynik operacji konta usługi Batch/limit przydziału usługi Batch/obsługiwany rozmiar maszyny wirtualnej w danej lokalizacji. Microsoft.Insights/alertRules/* Tworzenie alertu dotyczącego metryk klasycznych i zarządzanie nimi. Microsoft.Resources/deployments/* Tworzenie wdrożenia i zarządzanie nim. Microsoft.Resources/subscriptions/resourceGroups/read Pobiera lub wyświetla listę grup zasobów. NotActions none DataActions Microsoft.Batch/batchAccounts/jobSchedules/* Tworzenie harmonogramów zadań i zarządzanie nimi na koncie usługi Batch. Microsoft.Batch/batchAccounts/jobs/* Tworzenie zadań i zarządzanie nimi na koncie usługi Batch. NotDataActions none
{
"assignableScopes": [
"/"
],
"description": "Grants permissions to manage Batch pools and jobs but not to modify accounts.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6aaa78f1-f7de-44ca-8722-c64a23943cae",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Batch/batchAccounts/read",
"Microsoft.Batch/batchAccounts/applications/*",
"Microsoft.Batch/batchAccounts/certificates/*",
"Microsoft.Batch/batchAccounts/certificateOperationResults/*",
"Microsoft.Batch/batchAccounts/pools/*",
"Microsoft.Batch/batchAccounts/poolOperationResults/*",
"Microsoft.Batch/locations/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/batchAccounts/jobSchedules/*",
"Microsoft.Batch/batchAccounts/jobs/*"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Data Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Przesyłanie zadań w usłudze Azure Batch
Umożliwia przesyłanie zadań i zarządzanie nimi na koncie usługi Batch.
Akcje opis Microsoft.Batch/batchAccounts/applications/read Wyświetla listę aplikacji lub pobiera właściwości aplikacji. Microsoft.Batch/batchAccounts/applications/versions/read Pobiera właściwości pakietu aplikacji. Microsoft.Batch/pools/read Wyświetla listę pul na koncie usługi Batch lub pobiera właściwości puli. Microsoft.Insights/alertRules/* Tworzenie alertu dotyczącego metryk klasycznych i zarządzanie nimi. Microsoft.Resources/subscriptions/resourceGroups/read Pobiera lub wyświetla listę grup zasobów. NotActions none DataActions Microsoft.Batch/batchAccounts/jobSchedules/* Tworzenie harmonogramów zadań i zarządzanie nimi na koncie usługi Batch. Microsoft.Batch/batchAccounts/jobs/* Tworzenie zadań i zarządzanie nimi na koncie usługi Batch. NotDataActions none
{
"assignableScopes": [
"/"
],
"description": "Lets you submit and manage jobs in the Batch account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/48e5e92e-a480-4e71-aa9c-2778f4c13781",
"permissions": [
{
"actions": [
"Microsoft.Batch/batchAccounts/applications/read",
"Microsoft.Batch/batchAccounts/applications/versions/read",
"Microsoft.Batch/batchAccounts/pools/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/batchAccounts/jobSchedules/*",
"Microsoft.Batch/batchAccounts/jobs/*"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Job Submitter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Przypisywanie roli niestandardowej
Jeśli wbudowane role usługi Azure Batch nie spełniają Twoich potrzeb, role niestandardowe platformy Azure mogą służyć do udzielania użytkownikowi szczegółowych uprawnień do przesyłania zadań, zadań i nie tylko. Możesz użyć roli niestandardowej, aby udzielić lub odmówić uprawnień do identyfikatora Entra firmy Microsoft dla następujących operacji kontroli dostępu opartej na rolach usługi Azure Batch.
- Microsoft.Batch/batchAccounts/pools/write
- Microsoft.Batch/batchAccounts/pools/delete
- Microsoft.Batch/batchAccounts/pools/read
- Microsoft.Batch/batchAccounts/jobSchedules/write
- Microsoft.Batch/batchAccounts/jobSchedules/delete
- Microsoft.Batch/batchAccounts/jobSchedules/read
- Microsoft.Batch/batchAccounts/jobs/write
- Microsoft.Batch/batchAccounts/jobs/delete
- Microsoft.Batch/batchAccounts/jobs/read
- Microsoft.Batch/batchAccounts/certificates/write
- Microsoft.Batch/batchAccounts/certificates/delete
- Microsoft.Batch/batchAccounts/certificates/read
- Microsoft.Batch/batchAccounts/applications/write
- Microsoft.Batch/batchAccounts/applications/delete
- Microsoft.Batch/batchAccounts/applications/read
- Microsoft.Batch/batchAccounts/applications/versions/write
- Microsoft.Batch/batchAccounts/applications/versions/delete
- Microsoft.Batch/batchAccounts/applications/versions/read
- Microsoft.Batch/batchAccounts/read dla dowolnej operacji odczytu
- Microsoft.Batch/batchAccounts/listKeys/action, dla dowolnej operacji
Napiwek
Zadania korzystające z puli automatycznej wymagają uprawnień do zapisu na poziomie puli.
Uwaga
Niektóre przypisania ról muszą być określone w actions polu, podczas gdy inne muszą być określone w dataActions polu. Należy zbadać zarówno funkcje actions , jak i dataActions zrozumieć pełny zakres możliwości przypisanych do roli. Aby uzyskać więcej informacji, zobacz Operacje dostawcy zasobów platformy Azure.
W poniższym przykładzie przedstawiono definicję roli niestandardowej usługi Azure Batch:
{
"properties":{
"roleName":"Azure Batch Custom Job Submitter",
"type":"CustomRole",
"description":"Allows a user to submit autopool jobs to Azure Batch",
"assignableScopes":[
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
],
"permissions":[
{
"actions":[
"Microsoft.Batch/*/read",
"Microsoft.Batch/batchAccounts/pools/write",
"Microsoft.Batch/batchAccounts/pools/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Insights/alertRules/*"
],
"notActions":[
],
"dataActions":[
"Microsoft.Batch/batchAccounts/jobs/*",
"Microsoft.Batch/batchAccounts/jobSchedules/*"
],
"notDataActions":[
]
}
]
}
}