Partilhar via

Exemplo de configuração RBAC para vários utilizadores empresariais

  • Artigo

Muitos clientes do Azure Sphere querem configurar o acesso RBAC para permitir que as equipas de engenharia executem funções relacionadas com o desenvolvimento em dispositivos pertencentes à engenharia e grupos de dispositivos, mas impedem que as equipas de engenharia acedam diretamente a grupos de dispositivos de produção normalmente geridos por uma equipa de operações. O cenário seguinte detalha como configurar um conjunto de grupos de utilizadores RBAC e permissões para conceder à equipa de engenharia e à equipa de operações acesso apenas às funcionalidades e recursos de que precisam. Neste cenário, existem três grupos de utilizadores empresariais diferentes com as seguintes responsabilidades de trabalho comuns:

  • Utilizadores administradores do Azure Sphere – o grupo de utilizadores com privilégios mais elevados do Azure Sphere para os utilizadores que precisam de criar, configurar e gerir novos catálogos do Azure Sphere e respetivos recursos subordinados, incluindo a afirmação de dispositivos em catálogos (associando permanentemente os dispositivos reclamados apenas a esse catálogo) e a integração de inquilinos existentes do Azure Sphere (Legado) nos catálogos do Azure Sphere (Integrado).
  • Utilizadores da Equipa de Produtos – para utilizadores que precisam de privilégios para itens pertencentes ao próprio recurso do catálogo, como imagens e certificados, mas que não devem ter privilégios para todos os grupos de dispositivos pertencentes ao catálogo, como o grupo de dispositivos de Produção potencialmente sensível. Este grupo de utilizadores é especialmente adequado para utilizadores de desenvolvimento de produtos que transferem ficheiros de capacidade de dispositivos, movem dispositivos entre os grupos de dispositivos Desenvolvimento, Teste de Campo e Avaliação do SO de Teste de Campo e que implementam novo software e recolhem potencialmente ficheiros de informação de falha de sistema nos grupos de dispositivos Teste de Campo e Avaliação do SO de Teste de Campo, mas que não estão autorizados a gerir dispositivos de produção nos grupos de dispositivos avaliação de SO de Produção e Produção.
  • Utilizadores da Equipa de Operações – para os utilizadores que gerem a frota de dispositivos de produção, que precisam de permissões para o grupo de dispositivos de Produção, onde irão implementar novas imagens de software e firmware, ativar potencialmente a recolha de ficheiros de informação de falha de sistema operativo e validar que as versões de avaliação de revenda do SO funcionam conforme esperado no grupo de dispositivos avaliação do SO de Produção.

Configuração rbac de exemplo.

Aviso

  • Os utilizadores que precisam de integrar inquilinos do Azure Sphere (Legado) nos catálogos do Azure Sphere (Integrado) têm de ter a função Contribuidor do Azure Sphere aplicada ao grupo de recursos que detém a subscrição à qual o inquilino pertence.

  • Embora seja possível atribuir uma função RBAC a um utilizador apenas num grupo de produtos ou dispositivos, mas não no catálogo principal, o utilizador não poderá procurar o produto ou grupo de dispositivos, ou o respetivo catálogo principal, a partir do ecrã principal do Azure. Só podem aceder ao produto ou grupo de dispositivos através de um URL que aponte diretamente para o mesmo. Por uma questão de conveniência do utilizador, recomendamos que todos os utilizadores tenham, pelo menos, acesso de Leitor do Azure Sphere ao catálogo.