Noções básicas sobre o acesso baseado em função ao workspace do Azure Quantum
Saiba mais sobre as diferentes entidades de segurança e funções que você pode usar para gerenciar o acesso ao workspace do Azure Quantum.
Controle de acesso baseado em função (RBAC) do Azure
O RBAC do Azure (controle de acesso baseado em função) do Azure é o sistema de autorização que você usa para gerenciar o acesso aos recursos do Azure, como um workspace. Para conceder acesso, você atribui funções a uma entidade de segurança.
Entidade de segurança
Uma entidade de segurança é um objeto que representa um usuário, grupo, entidade de serviço ou identidade gerenciada.
| Entidade de segurança | Definição |
|---|---|
| Usuário | Uma conta de usuário que entra no Azure para criar, gerenciar e usar recursos. |
| Grupo | Um grupo de usuários. Usado para gerenciar usuários que precisam do mesmo acesso e permissões aos recursos. |
| Entidade de serviço | Uma identidade de usuário para um aplicativo, serviço ou plataforma que precisa acessar recursos. |
| Identidade gerenciada | Uma identidade gerenciada automaticamente no Azure Active Directory (Azure AD) para os aplicativos usarem ao se conectar a recursos que dão suporte à autenticação do Azure AD. |
Função
Ao conceder acesso a uma entidade de segurança, você atribui uma função interna ou cria uma função personalizada. As funções internas mais usadas são Proprietário, Colaborador e Leitor.
| Função | Nível de acesso |
|---|---|
| Proprietário | Concede o acesso completo para gerenciar todos os recursos, incluindo a capacidade de atribuir funções no Azure RBAC. |
| Colaborador | Concede acesso total para gerenciar todos os recursos, mas não permite que você atribua funções no RBAC do Azure. |
| Leitor | Visualiza todos os recursos, mas não permite a realização de alterações. |
Escopo
As funções são atribuídas em um escopo específico. Escopo é o conjunto de recursos ao qual o acesso se aplica. Os escopos são estruturados em uma relação pai-filho. Cada nível de hierarquia torna o escopo mais específico. O nível que você seleciona determina o quão amplamente a função é aplicada. Os níveis inferiores herdam as permissões de função de níveis superiores. Você pode atribuir funções em quatro níveis de escopo: grupo de gerenciamento, assinatura, grupo de recursos ou recurso.
| Escopo | Descrição |
|---|---|
| Grupo de gerenciamento | Ajuda você a gerenciar o acesso, a política e a conformidade de várias assinaturas. Todas as assinaturas dentro de um grupo de gerenciamento herdam automaticamente as condições aplicadas ao grupo de gerenciamento. Talvez você precise de um grupo de gerenciamento se sua organização tiver várias assinaturas. |
| Assinatura | Associa logicamente as contas de usuário aos recursos que elas criam. Uma conta de usuário é uma identidade de usuário e uma ou mais assinaturas. Uma assinatura representa um conjunto de recursos do Azure. Uma fatura é gerada no escopo da assinatura. Você deve ter uma conta com uma assinatura ativa para criar recursos do Azure. Para obter opções de assinatura, consulte Criar um workspace do Azure Quantum. |
| Grupo de recursos | um contêiner que armazena os recursos relacionados de uma solução do Azure. O grupo de recursos inclui esses recursos que você deseja gerenciar como um grupo. Por exemplo, os seguintes recursos são necessários para executar aplicativos no Azure Quantum:
|
| Recurso | Uma instância de um serviço que você pode criar, como um workspace ou uma conta de armazenamento. |
Observação
Como o acesso pode ter escopo para vários níveis no Azure, um usuário pode ter funções diferentes em cada nível. Por exemplo, alguém com acesso de proprietário a um workspace pode não ter acesso de proprietário ao grupo de recursos que contém o workspace.
Requisitos de função para criar um workspace
Ao criar um novo workspace, primeiro selecione uma assinatura, um grupo de recursos e uma conta de armazenamento para associar ao workspace. Sua capacidade de criar um workspace depende dos níveis de acesso que você tem, começando no escopo da assinatura. Para exibir sua autorização para vários recursos, consulte Verificar suas atribuições de função.
Proprietário da assinatura
Os proprietários de assinatura podem criar workspaces usando as opções de criação rápida ou criação avançada. Você pode escolher um grupo de recursos e uma conta de armazenamento que já existem na assinatura ou criar novos. Você também tem a capacidade de atribuir funções a outros usuários.
Colaborador da assinatura
Os colaboradores da assinatura podem criar workspaces usando a opção de criação avançada.
Para criar uma nova conta de armazenamento, você deve selecionar um grupo de recursos existente do qual você é proprietário.
Para selecionar uma conta de armazenamento existente, você deve ser o proprietário da conta de armazenamento. Você também deve selecionar o grupo de recursos existente ao qual a conta de armazenamento pertence.
Os colaboradores de assinatura não podem atribuir funções a outras pessoas.
Leitor de assinatura
Os leitores de assinatura não podem criar workspaces. Você pode exibir todos os recursos criados na assinatura, mas não pode fazer alterações ou atribuir funções.
Verificar suas atribuições de função
Verifique suas assinaturas
Para ver uma lista de suas assinaturas e funções associadas:
- Entre no portal do Azure.
- Abaixo do título de serviços do Azure, selecione Assinaturas. Se você não vir Assinaturas aqui, use a caixa de pesquisa para encontrá-la.
- O filtro Assinaturas ao lado da caixa de pesquisa pode ser padronizado para o filtro global == Assinaturas. Para ver uma lista de todas as suas assinaturas, selecione o filtro Assinaturas e desmarque a opção "Selecionar apenas assinaturas selecionadas no..." caixa. Em seguida, selecione Aplicar. O filtro deve mostrar Subscriptions == all.
Verifique seus recursos
Para verificar a atribuição de função que você ou outro usuário tem para um recurso específico, consulte Verificar o acesso de um usuário aos recursos do Azure.
Atribuir funções
Para adicionar novos usuários a um espaço de trabalho, você deve ser o proprietário do espaço de trabalho. Para conceder acesso a 10 ou menos usuários ao seu workspace, consulte Compartilhar acesso ao workspace do Azure Quantum. Para conceder acesso a mais de 10 usuários, consulte Adicionar um grupo ao workspace do Azure Quantum.
Para atribuir funções a qualquer recurso em qualquer escopo, incluindo o nível de assinatura, consulte Atribuir funções do Azure usando o portal do Azure.
Solução de problemas
Para obter soluções para problemas comuns, consulte Solucionar problemas do Azure Quantum: criando um workspace do Azure Quantum.
Quando você cria um recurso no Azure, como um workspace, você não é diretamente o proprietário do recurso. Sua função é herdada da função de escopo mais alta na qual você está autorizado nessa assinatura.
Quando você cria novas atribuições de função, às vezes elas podem levar até uma hora para entrar em vigor sobre as permissões armazenadas em cache em toda a pilha.