Udostępnij za pośrednictwem


Kontrola dostępu oparta na rolach platformy Azure w usłudze Azure Lab Services

Ważne

Usługi Azure Lab Services zostaną wycofane 28 czerwca 2027 r. Aby uzyskać więcej informacji, zobacz przewodnik po wycofaniu.

Usługa Azure Lab Services udostępnia wbudowaną kontrolę dostępu opartą na rolach (RBAC) platformy Azure dla typowych scenariuszy zarządzania w usługach Azure Lab Services. Osoba, która ma profil w usłudze Microsoft Entra ID, może przypisać te role platformy Azure użytkownikom, grupom, jednostkom usługi lub tożsamościom zarządzanym w celu udzielenia lub odmowy dostępu do zasobów i operacji w zasobach usługi Azure Lab Services. W tym artykule opisano różne wbudowane role obsługiwane przez usługę Azure Lab Services.

Kontrola dostępu oparta na rolach (RBAC) platformy Azure to system autoryzacji oparty na usłudze Azure Resource Manager , który zapewnia szczegółowe zarządzanie dostępem do zasobów platformy Azure.

Kontrola dostępu oparta na rolach platformy Azure określa wbudowane definicje ról, które przedstawiają uprawnienia do zastosowania. Tę definicję roli można przypisać użytkownikowi lub grupie za pomocą przypisania roli dla określonego zakresu. Zakres może być pojedynczym zasobem, grupą zasobów lub w ramach subskrypcji. W następnej sekcji dowiesz się, które wbudowane role obsługuje usługa Azure Lab Services.

Aby uzyskać więcej informacji, zobacz Co to jest kontrola dostępu oparta na rolach platformy Azure (Azure RBAC)?

Uwaga

Po wprowadzeniu zmian przypisania roli propagacja tych aktualizacji może potrwać kilka minut.

Wbudowane role

W tym artykule wbudowane role platformy Azure są logicznie pogrupowane w dwa typy ról na podstawie ich zakresu wpływu:

  • Role administratora: wpływ na uprawnienia do planów laboratoriów i laboratoriów
  • Role zarządzania laboratoriami: wpływ na uprawnienia do laboratoriów

Poniżej przedstawiono wbudowane role obsługiwane przez usługi Azure Lab Services:

Typ roli Rola wbudowana opis
Administrator Właściciel Udziel pełnej kontroli nad tworzeniem i zarządzaniem planami laboratoriów laboratoryjnych oraz udzielanie uprawnień innym użytkownikom. Dowiedz się więcej o roli Właściciel.
Administrator Współautor Udziel pełnej kontroli nad tworzeniem i zarządzaniem planami laboratoriów laboratoryjnych i laboratoriami, z wyjątkiem przypisywania ról innym użytkownikom. Dowiedz się więcej o roli Współautor.
Administrator Współautor usługi Lab Services Przyznaj te same uprawnienia co rola właściciel, z wyjątkiem przypisywania ról. Dowiedz się więcej o roli Współautor usługi Lab Services.
Zarządzanie laboratorium Twórca laboratorium Udziel uprawnień do tworzenia laboratoriów i masz pełną kontrolę nad utworzonymi laboratoriami. Dowiedz się więcej o roli Twórca laboratorium.
Zarządzanie laboratorium Współautor laboratorium Udziel uprawnień, aby ułatwić zarządzanie istniejącym laboratorium, ale nie twórz nowych laboratoriów. Dowiedz się więcej o roli Współautor laboratorium.
Zarządzanie laboratorium Asystent laboratorium Przyznaj uprawnienie do wyświetlania istniejącego laboratorium. Można również uruchomić, zatrzymać lub odtworzyć dowolną maszynę wirtualną w laboratorium. Dowiedz się więcej o roli Asystenta laboratorium.
Zarządzanie laboratorium Czytelnik usługi Lab Services Udziel uprawnień do wyświetlania istniejących laboratoriów. Dowiedz się więcej o roli Czytelnik usługi Lab Services.

Zakres przypisania roli

W kontroli dostępu opartej na rolach platformy Azure zakres to zestaw zasobów, do których ma zastosowanie dostęp. Podczas przypisywania roli ważne jest, aby zrozumieć zakres, aby przyznać tylko wymagany dostęp.

Na platformie Azure można określić zakres na czterech poziomach: grupa zarządzania, subskrypcja, grupa zasobów i zasób. Zakresy mają strukturę opartą na relacji nadrzędny-podrzędny. Każdy poziom hierarchii sprawia, że zakres jest bardziej szczegółowy. Role można przypisywać na dowolnym z tych poziomów zakresu. Wybrany poziom określa, jak szeroko jest stosowana rola. Niższe poziomy dziedziczą uprawnienia roli z wyższych poziomów. Dowiedz się więcej o zakresie kontroli dostępu opartej na rolach platformy Azure.

W przypadku usług Azure Lab Services należy wziąć pod uwagę następujące zakresy:

Scope opis
Subskrypcja Służy do zarządzania rozliczeniami i zabezpieczeniami dla wszystkich zasobów i usług platformy Azure. Zazwyczaj tylko administratorzy mają dostęp na poziomie subskrypcji, ponieważ to przypisanie roli udziela dostępu do wszystkich zasobów w subskrypcji.
Grupa zasobów Kontener logiczny do grupowania zasobów. Przypisanie roli dla grupy zasobów przyznaje uprawnienie do grupy zasobów i wszystkich zasobów w niej, takich jak laboratoria i plany laboratoriów.
Plan laboratorium Zasób platformy Azure używany do stosowania typowych ustawień konfiguracji podczas tworzenia laboratorium. Przypisanie roli dla planu laboratorium udziela uprawnień tylko do określonego planu laboratorium.
Laboratorium Zasób platformy Azure używany do stosowania typowych ustawień konfiguracji do tworzenia i uruchamiania maszyn wirtualnych laboratorium. Przypisanie roli dla laboratorium udziela uprawnień tylko do określonego laboratorium.

Diagram przedstawiający zakresy przypisywania ról dla usług Azure Lab Services.

Ważne

W usługach Azure Lab Services plany laboratorium i laboratoria są zasobami równorzędnym dla siebie. W związku z tym laboratoria nie dziedziczą żadnych przypisań ról z planu laboratorium. Jednak przypisania ról z grupy zasobów są dziedziczone przez plany laboratorium i laboratoria w tej grupie zasobów.

Role typowych działań laboratoryjnych

W poniższej tabeli przedstawiono typowe działania laboratorium i rolę potrzebną dla użytkownika do wykonania tego działania.

Działanie Typ roli Rola Scope
Przyznaj uprawnienie do tworzenia grupy zasobów. Grupa zasobów to logiczny kontener na platformie Azure do przechowywania planów laboratoriów i laboratoriów. Przed utworzeniem planu laboratorium lub laboratorium ta grupa zasobów musi istnieć. Administrator Właściciel lub współautor Subskrypcja
Udzielanie uprawnień do przesyłania biletu pomocy technicznej firmy Microsoft, w tym żądania pojemności. Administrator Właściciel, Współautor, Współautor, Współautor wniosku o pomoc techniczną — współautor Subskrypcja
Udziel uprawnień do:
— Przypisywanie ról innym użytkownikom.
— Tworzenie planów laboratoriów, laboratoriów i innych zasobów w grupie zasobów oraz zarządzanie nimi.
— Włączanie/wyłączanie witryny Marketplace i obrazów niestandardowych w planie laboratorium.
— Dołączanie/odłączanie galerii obliczeniowej w planie laboratorium.
Administrator Właściciel Grupa zasobów
Udziel uprawnień do:
— Tworzenie planów laboratoriów, laboratoriów i innych zasobów w grupie zasobów oraz zarządzanie nimi.
— Włączanie lub wyłączanie witryny Azure Marketplace i obrazów niestandardowych w planie laboratorium.

Jednak nie możliwość przypisywania ról innym użytkownikom.
Administrator Współautor Grupa zasobów
Udzielanie uprawnień do tworzenia własnych laboratoriów lub zarządzania nimi dla wszystkich planów laboratoriów w grupie zasobów. Zarządzanie laboratorium Twórca laboratorium Grupa zasobów
Udzielanie uprawnień do tworzenia własnych laboratoriów lub zarządzania nimi dla określonego planu laboratorium. Zarządzanie laboratorium Twórca laboratorium Plan laboratorium
Udzielanie uprawnień do współzarządzania laboratorium, ale nie do tworzenia laboratoriów. Zarządzanie laboratorium Współautor laboratorium Laboratorium
Przyznaj uprawnienie tylko do uruchamiania/zatrzymywania/ponownego obrazu maszyn wirtualnych dla wszystkich laboratoriów w grupie zasobów. Zarządzanie laboratorium Asystent laboratorium Grupa zasobów
Przyznaj uprawnienie tylko do uruchamiania/zatrzymywania/reimage maszyn wirtualnych dla określonego laboratorium. Zarządzanie laboratorium Asystent laboratorium Laboratorium

Ważne

Subskrypcja organizacji służy do zarządzania rozliczeniami i zabezpieczeniami dla wszystkich zasobów i usług platformy Azure. Możesz przypisać rolę Właściciel lub Współautor w subskrypcji. Zazwyczaj tylko administratorzy mają dostęp na poziomie subskrypcji, ponieważ obejmuje to pełny dostęp do wszystkich zasobów w subskrypcji.

Role administratorów

Aby przyznać użytkownikom uprawnienia do zarządzania usługami Azure Lab Services w ramach subskrypcji organizacji, należy przypisać im rolę Właściciel, Współautor lub Współautor usługi Lab Services.

Przypisz te role w grupie zasobów. Laboratorium planuje i laboratoria w grupie zasobów dziedziczą te przypisania ról.

Diagram przedstawiający hierarchię zasobów i trzy role administratora przypisane do grupy zasobów.

W poniższej tabeli porównaliśmy różne role administratora po przypisaniu ich do grupy zasobów.

Plan laboratorium/Laboratorium Działanie Właściciel Współautor Współautor usługi Lab Services
Plan laboratorium Wyświetlanie wszystkich planów laboratorium w grupie zasobów Tak Tak Tak
Plan laboratorium Tworzenie, zmienianie lub usuwanie wszystkich planów laboratorium w grupie zasobów Tak Tak Tak
Plan laboratorium Przypisywanie ról do planów laboratorium w grupie zasobów Tak Nie. Nie.
Laboratorium Tworzenie laboratoriów w grupie zasobów** Tak Tak Tak
Laboratorium Wyświetlanie laboratoriów innych użytkowników w grupie zasobów Tak Tak Tak
Laboratorium Zmienianie lub usuwanie laboratoriów innych użytkowników w grupie zasobów Tak Tak Nie.
Laboratorium Przypisywanie ról do laboratoriów innych użytkowników w grupie zasobów Tak Nie. Nie.

** Użytkownicy otrzymują automatycznie uprawnienia do wyświetlania, zmieniania ustawień, usuwania i przypisywania ról dla tworzonych przez nich laboratoriów.

Rola właściciela

Przypisz rolę Właściciel, aby przyznać użytkownikowi pełną kontrolę nad tworzeniem planów laboratoriów i laboratoriami oraz zarządzaniem nimi oraz udzielanie uprawnień innym użytkownikom. Gdy użytkownik ma rolę Właściciel w grupie zasobów, może wykonać następujące działania we wszystkich zasobach w grupie zasobów:

  • Przypisz role do administratorów, aby mogli zarządzać zasobami powiązanymi z laboratorium.
  • Przypisz role menedżerom laboratoriów, aby mogli tworzyć laboratoria i zarządzać nimi.
  • Tworzenie planów laboratoriów i laboratoriów.
  • Wyświetlanie, usuwanie i zmienianie ustawień dla wszystkich planów laboratorium, w tym dołączanie lub odłączanie galerii obliczeniowej oraz włączanie lub wyłączanie witryny Azure Marketplace oraz obrazów niestandardowych w planach laboratorium.
  • Wyświetlanie, usuwanie i zmienianie ustawień dla wszystkich laboratoriów.

Uwaga

Po przypisaniu roli Właściciel lub Współautor w grupie zasobów te uprawnienia dotyczą również zasobów niezwiązanych z laboratorium, które istnieją w grupie zasobów. Na przykład zasoby, takie jak sieci wirtualne, konta magazynu, galerie obliczeniowe i inne.

Rola współautora

Przypisz rolę Współautor, aby zapewnić użytkownikowi pełną kontrolę nad tworzeniem planów laboratoriów i laboratoriami w grupie zasobów lub zarządzanie nimi. Rola Współautor ma takie same uprawnienia jak rola Właściciel, z wyjątkiem :

  • Wykonywanie przypisań ról

Rola Współautor usługi Lab Services

Współautor usługi Lab Services to najbardziej restrykcyjne role administratora. Przypisz rolę Współautor usługi Lab Services, aby włączyć te same działania co rola właściciel, z wyjątkiem :

  • Wykonywanie przypisań ról
  • Zmienianie lub usuwanie laboratoriów innych użytkowników

Uwaga

Rola Współautor usługi Lab Services nie zezwala na zmiany zasobów, które nie są powiązane z usługami Azure Lab Services. Z drugiej strony rola Współautor umożliwia zmianę wszystkich zasobów platformy Azure w grupie zasobów.

Role zarządzania laboratorium

Użyj następujących ról, aby przyznać użytkownikom uprawnienia do tworzenia laboratoriów i zarządzania nimi:

  • Twórca laboratorium
  • Współautor laboratorium
  • Asystent laboratorium
  • Czytelnik usługi Lab Services

Te role zarządzania laboratorium udzielają uprawnień tylko do wyświetlania planów laboratorium. Te role nie zezwalają na tworzenie, zmienianie, usuwanie ani przypisywanie ról do planów laboratorium. Ponadto użytkownicy z tymi rolami nie mogą dołączać ani odłączać galerii obliczeniowej oraz włączać ani wyłączać obrazów maszyn wirtualnych.

Rola twórcy laboratorium

Przypisz rolę Twórca laboratorium, aby przyznać użytkownikowi uprawnienia do tworzenia laboratoriów i mieć pełną kontrolę nad utworzonymi laboratoriami. Mogą na przykład zmienić ustawienia laboratoriów, usunąć laboratoria, a nawet przyznać innym użytkownikom uprawnienia do swoich laboratoriów.

Przypisz rolę Twórca laboratorium dla grupy zasobów lub planu laboratorium.

Diagram przedstawiający hierarchię zasobów i rolę twórcy laboratorium przypisaną do grupy zasobów i planu laboratorium.

W poniższej tabeli porównaliśmy przypisanie roli Twórca laboratorium dla grupy zasobów lub planu laboratorium.

Działanie Grupa zasobów Plan laboratorium
Tworzenie laboratoriów w grupie zasobów** Tak Tak
Wyświetlanie utworzonych laboratoriów Tak Tak
Wyświetlanie laboratoriów innych użytkowników w grupie zasobów Tak Nie.
Zmienianie lub usuwanie laboratoriów utworzonych przez użytkownika Tak Tak
Zmienianie lub usuwanie laboratoriów innych użytkowników w grupie zasobów Nie Nie.
Przypisywanie ról do laboratoriów innych użytkowników w grupie zasobów Nie Nie.

** Użytkownicy otrzymują automatycznie uprawnienia do wyświetlania, zmieniania ustawień, usuwania i przypisywania ról dla tworzonych przez nich laboratoriów.

Rola Współautor laboratorium

Przypisz rolę Współautor laboratorium, aby udzielić użytkownikowi uprawnień do zarządzania istniejącym laboratorium.

Przypisz rolę Współautor laboratorium w laboratorium.

Diagram przedstawiający hierarchię zasobów i rolę Współautor laboratorium przypisaną do laboratorium.

Po przypisaniu roli Współautor laboratorium w laboratorium użytkownik może zarządzać przypisanym laboratorium. W szczególności użytkownik:

  • Może wyświetlać, zmieniać wszystkie ustawienia lub usuwać przypisane laboratorium.
  • Użytkownik nie może wyświetlać laboratoriów innych użytkowników.
  • Nie można tworzyć nowych laboratoriów.

Rola Asystenta laboratorium

Przypisz rolę Asystenta laboratorium, aby udzielić użytkownikowi uprawnień do wyświetlania laboratorium oraz uruchamiania, zatrzymywania i ponownego tworzenia obrazów maszyn wirtualnych laboratorium dla laboratorium.

Przypisz rolę Asystenta laboratorium w grupie zasobów lub laboratorium.

Diagram przedstawiający hierarchię zasobów i rolę Asystenta laboratorium przypisaną do grupy zasobów i laboratorium.

Po przypisaniu roli Asystenta laboratorium w grupie zasobów użytkownik:

  • Może wyświetlać wszystkie laboratoria w grupie zasobów i uruchamiać, zatrzymywać lub odtwarzać maszyny wirtualne laboratorium reimage dla każdego laboratorium.
  • Nie można usunąć ani wprowadzić żadnych innych zmian w laboratoriach.

Po przypisaniu roli Asystenta laboratorium w laboratorium użytkownik:

  • Może wyświetlać przypisane laboratorium i uruchamiać, zatrzymywać lub odtwarzać maszyny wirtualne laboratorium reimage.
  • Nie można usunąć ani wprowadzić żadnych innych zmian w laboratorium.
  • Nie można tworzyć nowych laboratoriów.

Jeśli masz rolę Asystenta laboratorium, aby wyświetlić inne laboratoria, do których masz dostęp, upewnij się, że wybierz filtr Wszystkie laboratoria w witrynie internetowej usługi Azure Lab Services.

Rola czytelnika usługi Lab Services

Przypisz rolę Czytelnik usługi Lab Services, aby przyznać użytkownikowi widok uprawnień istniejących laboratoriów. Użytkownik nie może wprowadzać żadnych zmian w istniejących laboratoriach.

Przypisz rolę Czytelnik usługi Lab Services w grupie zasobów lub laboratorium.

Diagram przedstawiający hierarchię zasobów i rolę Czytelnik usługi Lab Services przypisaną do grupy zasobów i laboratorium.

Po przypisaniu roli Czytelnik usługi Lab Services w grupie zasobów użytkownik może:

  • Wyświetl wszystkie laboratoria w grupie zasobów.

Po przypisaniu roli Czytelnik usługi Lab Services w laboratorium użytkownik może:

  • Wyświetlaj tylko określone laboratorium.

Zarządzanie dostępem i tożsamościami (IAM)

Strona Kontrola dostępu (IAM) w witrynie Azure Portal służy do konfigurowania kontroli dostępu opartej na rolach na platformie Azure w zasobach usługi Azure Lab Services. Wbudowane role można używać dla użytkowników indywidualnych i grup w usłudze Active Directory. Poniższy zrzut ekranu przedstawia integrację usługi Active Directory (Azure RBAC) przy użyciu kontroli dostępu (IAM) w witrynie Azure Portal:

Zrzut ekranu przedstawiający stronę Kontrola dostępu w witrynie Azure Portal w celu zarządzania przypisaniami ról.

Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

Struktura planu grupy zasobów i laboratorium

Twoja organizacja powinna zainwestować czas z wyprzedzeniem, aby zaplanować strukturę grup zasobów i planów laboratoryjnych. Jest to szczególnie ważne w przypadku przypisywania ról w grupie zasobów, ponieważ ma również zastosowanie uprawnień do wszystkich zasobów w grupie zasobów.

Aby upewnić się, że użytkownicy mają uprawnienia tylko do odpowiednich zasobów:

  • Utwórz grupy zasobów, które zawierają tylko zasoby związane z laboratorium.

  • Organizowanie planów laboratoriów i laboratoriów w oddzielne grupy zasobów zgodnie z użytkownikami, którzy powinni mieć dostęp.

Możesz na przykład utworzyć oddzielne grupy zasobów dla różnych działów, aby odizolować zasoby laboratorium poszczególnych działów. Twórcy laboratorium w jednym dziale mogą następnie mieć uprawnienia do grupy zasobów, która udziela im dostępu tylko do zasobów laboratorium swojego działu.

Ważne

Zaplanuj strukturę grupy zasobów i planu laboratorium z góry, ponieważ nie można przenieść planów laboratoriów ani laboratoriów do innej grupy zasobów po ich utworzeniu.

Dostęp do wielu grup zasobów

Możesz udzielić użytkownikom dostępu do wielu grup zasobów. W witrynie internetowej usługi Azure Lab Services użytkownik może wybrać jedną z listy grup zasobów, aby wyświetlić swoje laboratoria.

Zrzut ekranu przedstawiający sposób wybierania grup zasobów w witrynie internetowej usługi Azure Lab Services.

Dostęp do wielu planów laboratoryjnych

Możesz udzielić użytkownikom dostępu do wielu planów laboratorium. Na przykład w przypadku przypisania roli Twórca laboratorium do użytkownika w grupie zasobów zawierającej więcej niż jeden plan laboratorium. Użytkownik może następnie wybrać z listy planów laboratorium podczas tworzenia nowego laboratorium.

Zrzut ekranu przedstawiający sposób wybierania planów laboratorium podczas tworzenia laboratorium w witrynie internetowej usługi Azure Lab Services.

Następne kroki