Udostępnij za pośrednictwem

Zarządzanie lokalnymi maszynami wirtualnymi platformy Azure przy użyciu kontroli dostępu opartej na rolach

  • Artykuł

Dotyczy: Azure Local, wersja 23H2

W tym artykule opisano sposób używania kontroli dostępu opartej na rolach (RBAC) do kontrolowania dostępu do maszyn wirtualnych usługi Arc działających na platformie Azure Lokalnie.

Za pomocą wbudowanych ról RBAC można kontrolować dostęp do maszyn wirtualnych i zasobów maszyn wirtualnych, takich jak dyski wirtualne, interfejsy sieciowe, obrazy maszyn wirtualnych, sieci logiczne i ścieżki magazynu. Te role można przypisywać do użytkowników, grup, jednostek usługi i tożsamości zarządzanych.

Informacje o wbudowanych rolach RBAC

Aby kontrolować dostęp do maszyn wirtualnych i zasobów maszyn wirtualnych na platformie Azure Lokalnie, możesz użyć następujących ról RBAC:

  • Administrator rozwiązania Azure Stack HCI — ta rola udziela pełnego dostępu do lokalnego wystąpienia platformy Azure i jego zasobów. Administrator rozwiązania Azure Stack HCI może zarejestrować system, a także przypisać współautorowi maszyny wirtualnej rozwiązania Azure Stack HCI i roli czytelnika maszyn wirtualnych rozwiązania Azure Stack HCI innym użytkownikom. Mogą również tworzyć udostępnione zasoby, takie jak sieci logiczne, obrazy maszyn wirtualnych i ścieżki magazynu.
  • Współautor maszyny wirtualnej rozwiązania Azure Stack HCI — ta rola przyznaje uprawnienia do wykonywania wszystkich akcji maszyn wirtualnych, takich jak uruchamianie, zatrzymywanie, ponowne uruchamianie maszyn wirtualnych. Współautor maszyny wirtualnej rozwiązania Azure Stack HCI może tworzyć i usuwać maszyny wirtualne, a także zasoby i rozszerzenia dołączone do maszyn wirtualnych. Współautor maszyny wirtualnej rozwiązania Azure Stack HCI nie może zarejestrować systemu ani przypisać ról innym użytkownikom ani utworzyć zasobów udostępnionych przez system, takich jak sieci logiczne, obrazy maszyn wirtualnych i ścieżki magazynu.
  • Czytelnik maszyn wirtualnych usługi Azure Stack HCI — ta rola przyznaje uprawnienia tylko do wyświetlania maszyn wirtualnych. Czytnik maszyn wirtualnych nie może wykonywać żadnych akcji na maszynach wirtualnych lub zasobach i rozszerzeniach maszyn wirtualnych.

Poniżej przedstawiono tabelę opisową akcji maszyn wirtualnych przyznanych przez każdą rolę dla maszyn wirtualnych i różnych zasobów maszyn wirtualnych. Zasoby maszyny wirtualnej są określane jako zasoby wymagane do utworzenia maszyny wirtualnej i obejmują dyski wirtualne, interfejsy sieciowe, obrazy maszyn wirtualnych, sieci logiczne i ścieżki magazynu:

Rola wbudowana Maszyny wirtualne Zasoby maszyny wirtualnej
Azure Stack HCI Administrator Tworzenie, wyświetlanie listy, usuwanie maszyn wirtualnych

Uruchamianie, zatrzymywanie, ponowne uruchamianie maszyn wirtualnych		 Tworzenie, wyświetlanie listy, usuwanie wszystkich zasobów maszyn wirtualnych, w tym sieci logicznych, obrazów maszyn wirtualnych i ścieżek magazynu
Współautor maszyny wirtualnej rozwiązania Azure Stack HCI Tworzenie, wyświetlanie listy, usuwanie maszyn wirtualnych

Uruchamianie, zatrzymywanie, ponowne uruchamianie maszyn wirtualnych		 Tworzenie, wyświetlanie listy, usuwanie wszystkich zasobów maszyn wirtualnych z wyjątkiem sieci logicznych, obrazów maszyn wirtualnych i ścieżek magazynu
Czytelnik maszyn wirtualnych rozwiązania Azure Stack HCI Wyświetlanie listy wszystkich maszyn wirtualnych Wyświetlanie listy wszystkich zasobów maszyny wirtualnej

Wymagania wstępne

Przed rozpoczęciem upewnij się, że spełnisz następujące wymagania wstępne:

  1. Upewnij się, że spełnisz wymagania lokalne platformy Azure.

  2. Upewnij się, że masz dostęp do subskrypcji platformy Azure jako właściciel lub administrator dostępu użytkowników, aby przypisać role innym osobom.

Przypisywanie ról RBAC do użytkowników

Role RBAC można przypisywać do użytkownika za pośrednictwem witryny Azure Portal. Wykonaj następujące kroki, aby przypisać role RBAC do użytkowników:

  1. W witrynie Azure Portal wyszukaj zakres udzielania dostępu, na przykład wyszukaj subskrypcje, grupy zasobów lub określony zasób. W tym przykładzie używamy subskrypcji, w której wdrożono usługę Azure Local.

  2. Przejdź do subskrypcji, a następnie przejdź do pozycji Przypisania ról kontroli dostępu (IAM). > Na górnym pasku poleceń wybierz pozycję + Dodaj, a następnie wybierz pozycję Dodaj przypisanie roli.

    Jeśli nie masz uprawnień do przypisywania ról, opcja Dodaj przypisanie roli jest wyłączona.

    Zrzut ekranu przedstawiający przypisanie roli RBAC w witrynie Azure Portal dla lokalnej platformy Azure.

  3. Na karcie Rola wybierz rolę RBAC do przypisania i wybierz jedną z następujących ról wbudowanych:

    • Azure Stack HCI Administrator
    • Współautor maszyny wirtualnej rozwiązania Azure Stack HCI
    • Czytelnik maszyn wirtualnych rozwiązania Azure Stack HCI

    Zrzut ekranu przedstawiający kartę Rola podczas przypisywania roli RBAC w witrynie Azure Portal dla wystąpienia lokalnego platformy Azure.

  4. Na karcie Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi. Wybierz również członka, aby przypisać rolę.

    Zrzut ekranu przedstawiający kartę Członkowie podczas przypisywania roli w witrynie Azure Portal dla wystąpienia lokalnego platformy Azure.

  5. Przejrzyj rolę i przypisz ją.

    Zrzut ekranu przedstawiający kartę Przeglądanie i przypisywanie podczas przypisywania roli w witrynie Azure Portal dla wystąpienia lokalnego platformy Azure.

  6. Sprawdź przypisanie roli. Przejdź do pozycji Kontrola dostępu (IAM) > Sprawdź dostęp > Wyświetl dostęp. Powinno zostać wyświetlone przypisanie roli.

    Zrzut ekranu przedstawiający nowo przypisaną rolę w witrynie Azure Portal dla wystąpienia lokalnego platformy Azure.

Aby uzyskać więcej informacji na temat przypisywania ról, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

Następne kroki