Zarządzanie lokalnymi maszynami wirtualnymi platformy Azure przy użyciu kontroli dostępu opartej na rolach
Dotyczy: Azure Local 2311.2 i nowsze
W tym artykule opisano sposób używania kontroli dostępu opartej na rolach (RBAC) do kontrolowania dostępu do maszyn wirtualnych usługi Arc działających na platformie Azure Lokalnie.
Za pomocą wbudowanych ról RBAC można kontrolować dostęp do maszyn wirtualnych i zasobów maszyn wirtualnych, takich jak dyski wirtualne, interfejsy sieciowe, obrazy maszyn wirtualnych, sieci logiczne i ścieżki magazynu. Te role można przypisywać do użytkowników, grup, jednostek usługi i tożsamości zarządzanych.
Informacje o wbudowanych rolach RBAC
Aby kontrolować dostęp do maszyn wirtualnych i zasobów maszyn wirtualnych na platformie Azure Lokalnie, możesz użyć następujących ról RBAC:
- Administrator rozwiązania Azure Stack HCI — ta rola udziela pełnego dostępu do lokalnej instancji platformy Azure i jego zasobów. Administrator rozwiązania Azure Stack HCI może zarejestrować system, a także przypisać rolę współautora maszyn wirtualnych oraz rolę czytelnika maszyn wirtualnych innym użytkownikom. Mogą również tworzyć udostępnione zasoby, takie jak sieci logiczne, obrazy maszyn wirtualnych i ścieżki przechowywania.
- Współautor maszyny wirtualnej rozwiązania Azure Stack HCI — ta rola przyznaje uprawnienia do wykonywania wszystkich akcji maszyn wirtualnych, takich jak uruchamianie, zatrzymywanie, ponowne uruchamianie maszyn wirtualnych. Współautor maszyny wirtualnej rozwiązania Azure Stack HCI może tworzyć i usuwać maszyny wirtualne, a także zasoby i rozszerzenia dołączone do maszyn wirtualnych. Współautor maszyny wirtualnej rozwiązania Azure Stack HCI nie może zarejestrować systemu ani przypisać ról innym użytkownikom ani utworzyć zasobów udostępnionych przez system, takich jak sieci logiczne, obrazy maszyn wirtualnych i ścieżki magazynu.
- Azure Stack HCI VM Reader — ta rola przyznaje uprawnienia tylko do wyświetlania maszyn wirtualnych. Czytnik maszyn wirtualnych nie może wykonywać żadnych akcji na maszynach wirtualnych lub zasobach i rozszerzeniach maszyn wirtualnych.
Poniżej znajduje się tabela opisująca działania przyznane maszynom wirtualnym przez każdą rolę oraz różne zasoby maszyn wirtualnych. Zasoby maszyny wirtualnej są określane jako zasoby wymagane do utworzenia maszyny wirtualnej i obejmują dyski wirtualne, interfejsy sieciowe, obrazy maszyn wirtualnych, sieci logiczne i ścieżki magazynu:
Rola wbudowana | Maszyny wirtualne | Zasoby maszyny wirtualnej |
---|---|---|
Azure Stack HCI Administrator | Tworzenie, wyświetlanie listy, usuwanie maszyn wirtualnych Uruchamianie, zatrzymywanie, ponowne uruchamianie maszyn wirtualnych |
Twórz, wyświetlaj i usuwaj wszystkie zasoby maszyn wirtualnych, w tym sieci logiczne, obrazy maszyn wirtualnych i ścieżki przechowywania |
Rola współautora maszyny wirtualnej w rozwiązaniu Azure Stack HCI | Tworzenie, wyświetlanie listy, usuwanie maszyn wirtualnych Uruchamianie, zatrzymywanie, ponowne uruchamianie maszyn wirtualnych |
Tworzenie, wyświetlanie, usuwanie wszystkich zasobów VM z wyjątkiem sieci logicznych, obrazów VM i ścieżek magazynu. |
Czytnik VM dla Azure Stack HCI | Wyświetlanie listy wszystkich maszyn wirtualnych | Wyświetlanie listy wszystkich zasobów maszyny wirtualnej |
Wymagania wstępne
Przed rozpoczęciem upewnij się, że spełnisz następujące wymagania wstępne:
Upewnij się, że spełnisz wymagania lokalne platformy Azure.
Upewnij się, że masz dostęp do subskrypcji platformy Azure jako właściciel lub administrator dostępu użytkowników, aby przypisać role innym osobom.
Przypisz role RBAC użytkownikom
Role RBAC można przypisywać do użytkownika za pośrednictwem witryny Azure Portal. Wykonaj następujące kroki, aby przypisać role RBAC do użytkowników:
W witrynie Azure Portal wyszukaj zakres udzielania dostępu, na przykład wyszukaj subskrypcje, grupy zasobów lub określony zasób. W tym przykładzie używamy subskrypcji, w której wdrożono usługę Azure Local.
Przejdź do subskrypcji, a następnie przejdź do Kontrola dostępu (IAM) > Przypisania ról. Na górnym pasku poleceń wybierz pozycję + Dodaj, a następnie wybierz pozycję Dodaj przypisanie roli.
Jeśli nie masz uprawnień do przypisywania ról, opcja Dodaj przypisanie roli jest wyłączona.
Na karcie Rola wybierz rolę RBAC do przypisania i wybierz jedną z następujących ról wbudowanych:
- Azure Stack HCI Administrator
- Wkład dla maszyn wirtualnych w Azure Stack HCI
- Czytelnik maszyn wirtualnych rozwiązania Azure Stack HCI
Na karcie Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi. Również wybierz członka, aby przypisać rolę.
Przejrzyj rolę i przypisz ją.
Sprawdź przypisanie roli. Przejdź do Kontrola dostępu (IAM) > Sprawdź dostęp > Wyświetl mój dostęp. Powinieneś zobaczyć przypisanie roli.
Aby uzyskać więcej informacji na temat przypisywania ról, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.