Udostępnij za pośrednictwem

Zarządzanie lokalnymi maszynami wirtualnymi platformy Azure przy użyciu kontroli dostępu opartej na rolach

  • Artykuł

Dotyczy: Azure Local 2311.2 i nowsze

W tym artykule opisano sposób używania kontroli dostępu opartej na rolach (RBAC) do kontrolowania dostępu do maszyn wirtualnych usługi Arc działających na platformie Azure Lokalnie.

Za pomocą wbudowanych ról RBAC można kontrolować dostęp do maszyn wirtualnych i zasobów maszyn wirtualnych, takich jak dyski wirtualne, interfejsy sieciowe, obrazy maszyn wirtualnych, sieci logiczne i ścieżki magazynu. Te role można przypisywać do użytkowników, grup, jednostek usługi i tożsamości zarządzanych.

Informacje o wbudowanych rolach RBAC

Aby kontrolować dostęp do maszyn wirtualnych i zasobów maszyn wirtualnych na platformie Azure Lokalnie, możesz użyć następujących ról RBAC:

  • Administrator rozwiązania Azure Stack HCI — ta rola udziela pełnego dostępu do lokalnej instancji platformy Azure i jego zasobów. Administrator rozwiązania Azure Stack HCI może zarejestrować system, a także przypisać rolę współautora maszyn wirtualnych oraz rolę czytelnika maszyn wirtualnych innym użytkownikom. Mogą również tworzyć udostępnione zasoby, takie jak sieci logiczne, obrazy maszyn wirtualnych i ścieżki przechowywania.
  • Współautor maszyny wirtualnej rozwiązania Azure Stack HCI — ta rola przyznaje uprawnienia do wykonywania wszystkich akcji maszyn wirtualnych, takich jak uruchamianie, zatrzymywanie, ponowne uruchamianie maszyn wirtualnych. Współautor maszyny wirtualnej rozwiązania Azure Stack HCI może tworzyć i usuwać maszyny wirtualne, a także zasoby i rozszerzenia dołączone do maszyn wirtualnych. Współautor maszyny wirtualnej rozwiązania Azure Stack HCI nie może zarejestrować systemu ani przypisać ról innym użytkownikom ani utworzyć zasobów udostępnionych przez system, takich jak sieci logiczne, obrazy maszyn wirtualnych i ścieżki magazynu.
  • Azure Stack HCI VM Reader — ta rola przyznaje uprawnienia tylko do wyświetlania maszyn wirtualnych. Czytnik maszyn wirtualnych nie może wykonywać żadnych akcji na maszynach wirtualnych lub zasobach i rozszerzeniach maszyn wirtualnych.

Poniżej znajduje się tabela opisująca działania przyznane maszynom wirtualnym przez każdą rolę oraz różne zasoby maszyn wirtualnych. Zasoby maszyny wirtualnej są określane jako zasoby wymagane do utworzenia maszyny wirtualnej i obejmują dyski wirtualne, interfejsy sieciowe, obrazy maszyn wirtualnych, sieci logiczne i ścieżki magazynu:

Rola wbudowana Maszyny wirtualne Zasoby maszyny wirtualnej
Azure Stack HCI Administrator Tworzenie, wyświetlanie listy, usuwanie maszyn wirtualnych

Uruchamianie, zatrzymywanie, ponowne uruchamianie maszyn wirtualnych		 Twórz, wyświetlaj i usuwaj wszystkie zasoby maszyn wirtualnych, w tym sieci logiczne, obrazy maszyn wirtualnych i ścieżki przechowywania
Rola współautora maszyny wirtualnej w rozwiązaniu Azure Stack HCI Tworzenie, wyświetlanie listy, usuwanie maszyn wirtualnych

Uruchamianie, zatrzymywanie, ponowne uruchamianie maszyn wirtualnych		 Tworzenie, wyświetlanie, usuwanie wszystkich zasobów VM z wyjątkiem sieci logicznych, obrazów VM i ścieżek magazynu.
Czytnik VM dla Azure Stack HCI Wyświetlanie listy wszystkich maszyn wirtualnych Wyświetlanie listy wszystkich zasobów maszyny wirtualnej

Wymagania wstępne

Przed rozpoczęciem upewnij się, że spełnisz następujące wymagania wstępne:

  1. Upewnij się, że spełnisz wymagania lokalne platformy Azure.

  2. Upewnij się, że masz dostęp do subskrypcji platformy Azure jako właściciel lub administrator dostępu użytkowników, aby przypisać role innym osobom.

Przypisz role RBAC użytkownikom

Role RBAC można przypisywać do użytkownika za pośrednictwem witryny Azure Portal. Wykonaj następujące kroki, aby przypisać role RBAC do użytkowników:

  1. W witrynie Azure Portal wyszukaj zakres udzielania dostępu, na przykład wyszukaj subskrypcje, grupy zasobów lub określony zasób. W tym przykładzie używamy subskrypcji, w której wdrożono usługę Azure Local.

  2. Przejdź do subskrypcji, a następnie przejdź do Kontrola dostępu (IAM) > Przypisania ról. Na górnym pasku poleceń wybierz pozycję + Dodaj, a następnie wybierz pozycję Dodaj przypisanie roli.

    Jeśli nie masz uprawnień do przypisywania ról, opcja Dodaj przypisanie roli jest wyłączona.

    Zrzut ekranu przedstawiający przypisanie roli RBAC w witrynie Azure Portal dla lokalnej platformy Azure.

  3. Na karcie Rola wybierz rolę RBAC do przypisania i wybierz jedną z następujących ról wbudowanych:

    • Azure Stack HCI Administrator
    • Wkład dla maszyn wirtualnych w Azure Stack HCI
    • Czytelnik maszyn wirtualnych rozwiązania Azure Stack HCI

    Zrzut ekranu przedstawiający kartę Rola podczas przypisywania roli RBAC w Azure Portal dla instancji lokalnej Azure.

  4. Na karcie Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi. Również wybierz członka, aby przypisać rolę.

    Zrzut ekranu przedstawiający kartę Członkowie podczas przypisywania roli w witrynie Azure Portal dla wystąpienia lokalnego platformy Azure.

  5. Przejrzyj rolę i przypisz ją.

    Zrzut ekranu przedstawiający kartę Przeglądanie i przypisywanie podczas przypisywania roli w witrynie Azure Portal dla wystąpienia lokalnego platformy Azure.

  6. Sprawdź przypisanie roli. Przejdź do Kontrola dostępu (IAM) > Sprawdź dostęp > Wyświetl mój dostęp. Powinieneś zobaczyć przypisanie roli.

    Zrzut ekranu przedstawiający nowo przypisaną rolę w portalu Azure dla lokalnego wystąpienia Azure.

Aby uzyskać więcej informacji na temat przypisywania ról, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

Następne kroki