Kontrola dostępu oparta na rolach platformy Azure w usłudze Azure Lab Services
Ważne
Usługi Azure Lab Services zostaną wycofane 28 czerwca 2027 r. Aby uzyskać więcej informacji, zobacz przewodnik po wycofaniu.
Usługa Azure Lab Services udostępnia wbudowaną kontrolę dostępu opartą na rolach (RBAC) platformy Azure dla typowych scenariuszy zarządzania w usługach Azure Lab Services. Osoba, która ma profil w usłudze Microsoft Entra ID, może przypisać te role platformy Azure użytkownikom, grupom, jednostkom usługi lub tożsamościom zarządzanym w celu udzielenia lub odmowy dostępu do zasobów i operacji w zasobach usługi Azure Lab Services. W tym artykule opisano różne wbudowane role obsługiwane przez usługę Azure Lab Services.
Kontrola dostępu oparta na rolach (RBAC) platformy Azure to system autoryzacji oparty na usłudze Azure Resource Manager , który zapewnia szczegółowe zarządzanie dostępem do zasobów platformy Azure.
Kontrola dostępu oparta na rolach platformy Azure określa wbudowane definicje ról, które przedstawiają uprawnienia do zastosowania. Tę definicję roli można przypisać użytkownikowi lub grupie za pomocą przypisania roli dla określonego zakresu. Zakres może być pojedynczym zasobem, grupą zasobów lub w ramach subskrypcji. W następnej sekcji dowiesz się, które wbudowane role obsługuje usługa Azure Lab Services.
Aby uzyskać więcej informacji, zobacz Co to jest kontrola dostępu oparta na rolach platformy Azure (Azure RBAC)?
Uwaga
Po wprowadzeniu zmian przypisania roli propagacja tych aktualizacji może potrwać kilka minut.
Wbudowane role
W tym artykule wbudowane role platformy Azure są logicznie pogrupowane w dwa typy ról na podstawie ich zakresu wpływu:
- Role administratora: wpływ na uprawnienia do planów laboratoriów i laboratoriów
- Role zarządzania laboratoriami: wpływ na uprawnienia do laboratoriów
Poniżej przedstawiono wbudowane role obsługiwane przez usługi Azure Lab Services:
Typ roli | Rola wbudowana | opis |
---|---|---|
Administrator | Właściciel | Udziel pełnej kontroli nad tworzeniem i zarządzaniem planami laboratoriów laboratoryjnych oraz udzielanie uprawnień innym użytkownikom. Dowiedz się więcej o roli Właściciel. |
Administrator | Współautor | Udziel pełnej kontroli nad tworzeniem i zarządzaniem planami laboratoriów laboratoryjnych i laboratoriami, z wyjątkiem przypisywania ról innym użytkownikom. Dowiedz się więcej o roli Współautor. |
Administrator | Współautor usługi Lab Services | Przyznaj te same uprawnienia co rola właściciel, z wyjątkiem przypisywania ról. Dowiedz się więcej o roli Współautor usługi Lab Services. |
Zarządzanie laboratorium | Twórca laboratorium | Udziel uprawnień do tworzenia laboratoriów i masz pełną kontrolę nad utworzonymi laboratoriami. Dowiedz się więcej o roli Twórca laboratorium. |
Zarządzanie laboratorium | Współautor laboratorium | Udziel uprawnień, aby ułatwić zarządzanie istniejącym laboratorium, ale nie twórz nowych laboratoriów. Dowiedz się więcej o roli Współautor laboratorium. |
Zarządzanie laboratorium | Asystent laboratorium | Przyznaj uprawnienie do wyświetlania istniejącego laboratorium. Można również uruchomić, zatrzymać lub odtworzyć dowolną maszynę wirtualną w laboratorium. Dowiedz się więcej o roli Asystenta laboratorium. |
Zarządzanie laboratorium | Czytelnik usługi Lab Services | Udziel uprawnień do wyświetlania istniejących laboratoriów. Dowiedz się więcej o roli Czytelnik usługi Lab Services. |
Zakres przypisania roli
W kontroli dostępu opartej na rolach platformy Azure zakres to zestaw zasobów, do których ma zastosowanie dostęp. Podczas przypisywania roli ważne jest, aby zrozumieć zakres, aby przyznać tylko wymagany dostęp.
Na platformie Azure można określić zakres na czterech poziomach: grupa zarządzania, subskrypcja, grupa zasobów i zasób. Zakresy mają strukturę opartą na relacji nadrzędny-podrzędny. Każdy poziom hierarchii sprawia, że zakres jest bardziej szczegółowy. Role można przypisywać na dowolnym z tych poziomów zakresu. Wybrany poziom określa, jak szeroko jest stosowana rola. Niższe poziomy dziedziczą uprawnienia roli z wyższych poziomów. Dowiedz się więcej o zakresie kontroli dostępu opartej na rolach platformy Azure.
W przypadku usług Azure Lab Services należy wziąć pod uwagę następujące zakresy:
Scope | opis |
---|---|
Subskrypcja | Służy do zarządzania rozliczeniami i zabezpieczeniami dla wszystkich zasobów i usług platformy Azure. Zazwyczaj tylko administratorzy mają dostęp na poziomie subskrypcji, ponieważ to przypisanie roli udziela dostępu do wszystkich zasobów w subskrypcji. |
Grupa zasobów | Kontener logiczny do grupowania zasobów. Przypisanie roli dla grupy zasobów przyznaje uprawnienie do grupy zasobów i wszystkich zasobów w niej, takich jak laboratoria i plany laboratoriów. |
Plan laboratorium | Zasób platformy Azure używany do stosowania typowych ustawień konfiguracji podczas tworzenia laboratorium. Przypisanie roli dla planu laboratorium udziela uprawnień tylko do określonego planu laboratorium. |
Laboratorium | Zasób platformy Azure używany do stosowania typowych ustawień konfiguracji do tworzenia i uruchamiania maszyn wirtualnych laboratorium. Przypisanie roli dla laboratorium udziela uprawnień tylko do określonego laboratorium. |
Ważne
W usługach Azure Lab Services plany laboratorium i laboratoria są zasobami równorzędnym dla siebie. W związku z tym laboratoria nie dziedziczą żadnych przypisań ról z planu laboratorium. Jednak przypisania ról z grupy zasobów są dziedziczone przez plany laboratorium i laboratoria w tej grupie zasobów.
Role typowych działań laboratoryjnych
W poniższej tabeli przedstawiono typowe działania laboratorium i rolę potrzebną dla użytkownika do wykonania tego działania.
Działanie | Typ roli | Rola | Scope |
---|---|---|---|
Przyznaj uprawnienie do tworzenia grupy zasobów. Grupa zasobów to logiczny kontener na platformie Azure do przechowywania planów laboratoriów i laboratoriów. Przed utworzeniem planu laboratorium lub laboratorium ta grupa zasobów musi istnieć. | Administrator | Właściciel lub współautor | Subskrypcja |
Udzielanie uprawnień do przesyłania biletu pomocy technicznej firmy Microsoft, w tym żądania pojemności. | Administrator | Właściciel, Współautor, Współautor, Współautor wniosku o pomoc techniczną — współautor | Subskrypcja |
Udziel uprawnień do: — Przypisywanie ról innym użytkownikom. — Tworzenie planów laboratoriów, laboratoriów i innych zasobów w grupie zasobów oraz zarządzanie nimi. — Włączanie/wyłączanie witryny Marketplace i obrazów niestandardowych w planie laboratorium. — Dołączanie/odłączanie galerii obliczeniowej w planie laboratorium. |
Administrator | Właściciel | Grupa zasobów |
Udziel uprawnień do: — Tworzenie planów laboratoriów, laboratoriów i innych zasobów w grupie zasobów oraz zarządzanie nimi. — Włączanie lub wyłączanie witryny Azure Marketplace i obrazów niestandardowych w planie laboratorium. Jednak nie możliwość przypisywania ról innym użytkownikom. |
Administrator | Współautor | Grupa zasobów |
Udzielanie uprawnień do tworzenia własnych laboratoriów lub zarządzania nimi dla wszystkich planów laboratoriów w grupie zasobów. | Zarządzanie laboratorium | Twórca laboratorium | Grupa zasobów |
Udzielanie uprawnień do tworzenia własnych laboratoriów lub zarządzania nimi dla określonego planu laboratorium. | Zarządzanie laboratorium | Twórca laboratorium | Plan laboratorium |
Udzielanie uprawnień do współzarządzania laboratorium, ale nie do tworzenia laboratoriów. | Zarządzanie laboratorium | Współautor laboratorium | Laboratorium |
Przyznaj uprawnienie tylko do uruchamiania/zatrzymywania/ponownego obrazu maszyn wirtualnych dla wszystkich laboratoriów w grupie zasobów. | Zarządzanie laboratorium | Asystent laboratorium | Grupa zasobów |
Przyznaj uprawnienie tylko do uruchamiania/zatrzymywania/reimage maszyn wirtualnych dla określonego laboratorium. | Zarządzanie laboratorium | Asystent laboratorium | Laboratorium |
Ważne
Subskrypcja organizacji służy do zarządzania rozliczeniami i zabezpieczeniami dla wszystkich zasobów i usług platformy Azure. Możesz przypisać rolę Właściciel lub Współautor w subskrypcji. Zazwyczaj tylko administratorzy mają dostęp na poziomie subskrypcji, ponieważ obejmuje to pełny dostęp do wszystkich zasobów w subskrypcji.
Role administratorów
Aby przyznać użytkownikom uprawnienia do zarządzania usługami Azure Lab Services w ramach subskrypcji organizacji, należy przypisać im rolę Właściciel, Współautor lub Współautor usługi Lab Services.
Przypisz te role w grupie zasobów. Laboratorium planuje i laboratoria w grupie zasobów dziedziczą te przypisania ról.
W poniższej tabeli porównaliśmy różne role administratora po przypisaniu ich do grupy zasobów.
Plan laboratorium/Laboratorium | Działanie | Właściciel | Współautor | Współautor usługi Lab Services |
---|---|---|---|---|
Plan laboratorium | Wyświetlanie wszystkich planów laboratorium w grupie zasobów | Tak | Tak | Tak |
Plan laboratorium | Tworzenie, zmienianie lub usuwanie wszystkich planów laboratorium w grupie zasobów | Tak | Tak | Tak |
Plan laboratorium | Przypisywanie ról do planów laboratorium w grupie zasobów | Tak | Nie. | Nie. |
Laboratorium | Tworzenie laboratoriów w grupie zasobów** | Tak | Tak | Tak |
Laboratorium | Wyświetlanie laboratoriów innych użytkowników w grupie zasobów | Tak | Tak | Tak |
Laboratorium | Zmienianie lub usuwanie laboratoriów innych użytkowników w grupie zasobów | Tak | Tak | Nie. |
Laboratorium | Przypisywanie ról do laboratoriów innych użytkowników w grupie zasobów | Tak | Nie. | Nie. |
** Użytkownicy otrzymują automatycznie uprawnienia do wyświetlania, zmieniania ustawień, usuwania i przypisywania ról dla tworzonych przez nich laboratoriów.
Rola właściciela
Przypisz rolę Właściciel, aby przyznać użytkownikowi pełną kontrolę nad tworzeniem planów laboratoriów i laboratoriami oraz zarządzaniem nimi oraz udzielanie uprawnień innym użytkownikom. Gdy użytkownik ma rolę Właściciel w grupie zasobów, może wykonać następujące działania we wszystkich zasobach w grupie zasobów:
- Przypisz role do administratorów, aby mogli zarządzać zasobami powiązanymi z laboratorium.
- Przypisz role menedżerom laboratoriów, aby mogli tworzyć laboratoria i zarządzać nimi.
- Tworzenie planów laboratoriów i laboratoriów.
- Wyświetlanie, usuwanie i zmienianie ustawień dla wszystkich planów laboratorium, w tym dołączanie lub odłączanie galerii obliczeniowej oraz włączanie lub wyłączanie witryny Azure Marketplace oraz obrazów niestandardowych w planach laboratorium.
- Wyświetlanie, usuwanie i zmienianie ustawień dla wszystkich laboratoriów.
Uwaga
Po przypisaniu roli Właściciel lub Współautor w grupie zasobów te uprawnienia dotyczą również zasobów niezwiązanych z laboratorium, które istnieją w grupie zasobów. Na przykład zasoby, takie jak sieci wirtualne, konta magazynu, galerie obliczeniowe i inne.
Rola współautora
Przypisz rolę Współautor, aby zapewnić użytkownikowi pełną kontrolę nad tworzeniem planów laboratoriów i laboratoriami w grupie zasobów lub zarządzanie nimi. Rola Współautor ma takie same uprawnienia jak rola Właściciel, z wyjątkiem :
- Wykonywanie przypisań ról
Rola Współautor usługi Lab Services
Współautor usługi Lab Services to najbardziej restrykcyjne role administratora. Przypisz rolę Współautor usługi Lab Services, aby włączyć te same działania co rola właściciel, z wyjątkiem :
- Wykonywanie przypisań ról
- Zmienianie lub usuwanie laboratoriów innych użytkowników
Uwaga
Rola Współautor usługi Lab Services nie zezwala na zmiany zasobów, które nie są powiązane z usługami Azure Lab Services. Z drugiej strony rola Współautor umożliwia zmianę wszystkich zasobów platformy Azure w grupie zasobów.
Role zarządzania laboratorium
Użyj następujących ról, aby przyznać użytkownikom uprawnienia do tworzenia laboratoriów i zarządzania nimi:
- Twórca laboratorium
- Współautor laboratorium
- Asystent laboratorium
- Czytelnik usługi Lab Services
Te role zarządzania laboratorium udzielają uprawnień tylko do wyświetlania planów laboratorium. Te role nie zezwalają na tworzenie, zmienianie, usuwanie ani przypisywanie ról do planów laboratorium. Ponadto użytkownicy z tymi rolami nie mogą dołączać ani odłączać galerii obliczeniowej oraz włączać ani wyłączać obrazów maszyn wirtualnych.
Rola twórcy laboratorium
Przypisz rolę Twórca laboratorium, aby przyznać użytkownikowi uprawnienia do tworzenia laboratoriów i mieć pełną kontrolę nad utworzonymi laboratoriami. Mogą na przykład zmienić ustawienia laboratoriów, usunąć laboratoria, a nawet przyznać innym użytkownikom uprawnienia do swoich laboratoriów.
Przypisz rolę Twórca laboratorium dla grupy zasobów lub planu laboratorium.
W poniższej tabeli porównaliśmy przypisanie roli Twórca laboratorium dla grupy zasobów lub planu laboratorium.
Działanie | Grupa zasobów | Plan laboratorium |
---|---|---|
Tworzenie laboratoriów w grupie zasobów** | Tak | Tak |
Wyświetlanie utworzonych laboratoriów | Tak | Tak |
Wyświetlanie laboratoriów innych użytkowników w grupie zasobów | Tak | Nie. |
Zmienianie lub usuwanie laboratoriów utworzonych przez użytkownika | Tak | Tak |
Zmienianie lub usuwanie laboratoriów innych użytkowników w grupie zasobów | Nie | Nie. |
Przypisywanie ról do laboratoriów innych użytkowników w grupie zasobów | Nie | Nie. |
** Użytkownicy otrzymują automatycznie uprawnienia do wyświetlania, zmieniania ustawień, usuwania i przypisywania ról dla tworzonych przez nich laboratoriów.
Rola Współautor laboratorium
Przypisz rolę Współautor laboratorium, aby udzielić użytkownikowi uprawnień do zarządzania istniejącym laboratorium.
Przypisz rolę Współautor laboratorium w laboratorium.
Po przypisaniu roli Współautor laboratorium w laboratorium użytkownik może zarządzać przypisanym laboratorium. W szczególności użytkownik:
- Może wyświetlać, zmieniać wszystkie ustawienia lub usuwać przypisane laboratorium.
- Użytkownik nie może wyświetlać laboratoriów innych użytkowników.
- Nie można tworzyć nowych laboratoriów.
Rola Asystenta laboratorium
Przypisz rolę Asystenta laboratorium, aby udzielić użytkownikowi uprawnień do wyświetlania laboratorium oraz uruchamiania, zatrzymywania i ponownego tworzenia obrazów maszyn wirtualnych laboratorium dla laboratorium.
Przypisz rolę Asystenta laboratorium w grupie zasobów lub laboratorium.
Po przypisaniu roli Asystenta laboratorium w grupie zasobów użytkownik:
- Może wyświetlać wszystkie laboratoria w grupie zasobów i uruchamiać, zatrzymywać lub odtwarzać maszyny wirtualne laboratorium reimage dla każdego laboratorium.
- Nie można usunąć ani wprowadzić żadnych innych zmian w laboratoriach.
Po przypisaniu roli Asystenta laboratorium w laboratorium użytkownik:
- Może wyświetlać przypisane laboratorium i uruchamiać, zatrzymywać lub odtwarzać maszyny wirtualne laboratorium reimage.
- Nie można usunąć ani wprowadzić żadnych innych zmian w laboratorium.
- Nie można tworzyć nowych laboratoriów.
Jeśli masz rolę Asystenta laboratorium, aby wyświetlić inne laboratoria, do których masz dostęp, upewnij się, że wybierz filtr Wszystkie laboratoria w witrynie internetowej usługi Azure Lab Services.
Rola czytelnika usługi Lab Services
Przypisz rolę Czytelnik usługi Lab Services, aby przyznać użytkownikowi widok uprawnień istniejących laboratoriów. Użytkownik nie może wprowadzać żadnych zmian w istniejących laboratoriach.
Przypisz rolę Czytelnik usługi Lab Services w grupie zasobów lub laboratorium.
Po przypisaniu roli Czytelnik usługi Lab Services w grupie zasobów użytkownik może:
- Wyświetl wszystkie laboratoria w grupie zasobów.
Po przypisaniu roli Czytelnik usługi Lab Services w laboratorium użytkownik może:
- Wyświetlaj tylko określone laboratorium.
Zarządzanie dostępem i tożsamościami (IAM)
Strona Kontrola dostępu (IAM) w witrynie Azure Portal służy do konfigurowania kontroli dostępu opartej na rolach na platformie Azure w zasobach usługi Azure Lab Services. Wbudowane role można używać dla użytkowników indywidualnych i grup w usłudze Active Directory. Poniższy zrzut ekranu przedstawia integrację usługi Active Directory (Azure RBAC) przy użyciu kontroli dostępu (IAM) w witrynie Azure Portal:
Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.
Struktura planu grupy zasobów i laboratorium
Twoja organizacja powinna zainwestować czas z wyprzedzeniem, aby zaplanować strukturę grup zasobów i planów laboratoryjnych. Jest to szczególnie ważne w przypadku przypisywania ról w grupie zasobów, ponieważ ma również zastosowanie uprawnień do wszystkich zasobów w grupie zasobów.
Aby upewnić się, że użytkownicy mają uprawnienia tylko do odpowiednich zasobów:
Utwórz grupy zasobów, które zawierają tylko zasoby związane z laboratorium.
Organizowanie planów laboratoriów i laboratoriów w oddzielne grupy zasobów zgodnie z użytkownikami, którzy powinni mieć dostęp.
Możesz na przykład utworzyć oddzielne grupy zasobów dla różnych działów, aby odizolować zasoby laboratorium poszczególnych działów. Twórcy laboratorium w jednym dziale mogą następnie mieć uprawnienia do grupy zasobów, która udziela im dostępu tylko do zasobów laboratorium swojego działu.
Ważne
Zaplanuj strukturę grupy zasobów i planu laboratorium z góry, ponieważ nie można przenieść planów laboratoriów ani laboratoriów do innej grupy zasobów po ich utworzeniu.
Dostęp do wielu grup zasobów
Możesz udzielić użytkownikom dostępu do wielu grup zasobów. W witrynie internetowej usługi Azure Lab Services użytkownik może wybrać jedną z listy grup zasobów, aby wyświetlić swoje laboratoria.
Dostęp do wielu planów laboratoryjnych
Możesz udzielić użytkownikom dostępu do wielu planów laboratorium. Na przykład w przypadku przypisania roli Twórca laboratorium do użytkownika w grupie zasobów zawierającej więcej niż jeden plan laboratorium. Użytkownik może następnie wybrać z listy planów laboratorium podczas tworzenia nowego laboratorium.