Noções básicas sobre o acesso baseado em função ao seu espaço de trabalho do Azure Quantum
Saiba mais sobre as diferentes entidades de segurança e funções que você pode usar para gerenciar o acesso ao seu espaço de trabalho do Azure Quantum.
Controlo de acesso baseado em funções do Azure (RBAC)
O controle de acesso baseado em função do Azure (Azure RBAC) é o sistema de autorização que você usa para gerenciar o acesso aos recursos do Azure, como um espaço de trabalho. Para conceder acesso, atribua funções a uma entidade de segurança.
Principal de segurança
Uma entidade de segurança é um objeto que representa um usuário, grupo, entidade de serviço ou identidade gerenciada.
| Principal de segurança | Definição |
|---|---|
| User | Uma conta de utilizador que inicia sessão no Azure para criar, gerir e utilizar recursos. |
| Grupo | Um grupo de usuários. Usado para gerenciar usuários que precisam do mesmo acesso e permissões para recursos. |
| Principal de serviço | Uma identidade de usuário para um aplicativo, serviço ou plataforma que precisa acessar recursos. |
| Identidade gerida | Uma identidade gerenciada automaticamente no Azure Ative Directory (Azure AD) para aplicativos usarem ao se conectar a recursos que dão suporte à autenticação do Azure AD. |
Role
Ao conceder acesso a uma entidade de segurança, você atribui uma função interna ou cria uma função personalizada. As funções internas mais usadas são Owner, Contributor, Quantum Workspace Data Contributore Reader.
| Role | Nível de acesso |
|---|---|
| Proprietário | Concede acesso total para gerenciar todos os recursos, incluindo a capacidade de atribuir funções no RBAC do Azure. |
| Colaborador | Concede acesso total para gerenciar todos os recursos, mas não permite atribuir funções no RBAC do Azure. |
| Colaborador de dados do Quantum Workspace | Concede acesso para enviar e exibir trabalhos no espaço de trabalho, mas não permite que você crie, exclua ou modifique um espaço de trabalho. |
| Reader | Exiba todos os recursos, mas não permite que você faça alterações. |
Âmbito
As funções são atribuídas em um escopo específico. O âmbito é o conjunto de recursos ao qual o acesso se aplica. Os âmbitos são estruturados numa relação de principal-subordinado. Cada nível de hierarquia torna o âmbito mais específico. O nível selecionado determina a extensão da aplicação da função. Níveis inferiores herdam permissões de função de níveis superiores. Você pode atribuir funções em quatro níveis de escopo: grupo de gerenciamento, assinatura, grupo de recursos ou recurso.
| Âmbito | Description |
|---|---|
| Grupo de gestão | Ajuda a gerenciar o acesso, a política e a conformidade de várias assinaturas. Todas as assinaturas em um grupo de gerenciamento herdam automaticamente as condições aplicadas ao grupo de gerenciamento. Poderá necessitar de um grupo de gestão se a sua organização tiver várias subscrições. |
| Subscrição | Associa logicamente as contas de usuário aos recursos que eles criam. Uma conta de usuário é uma identidade de usuário e uma ou mais assinaturas. Uma assinatura representa um agrupamento de recursos do Azure. Uma fatura é gerada no âmbito da subscrição. Você deve ter uma conta com uma assinatura ativa para criar recursos do Azure. Para opções de assinatura, consulte Criar um espaço de trabalho do Azure Quantum. |
| Grupo de recursos | um contentor que contém os recursos relacionados de uma solução do Azure. O grupo de recursos inclui os recursos que pretende gerir como um grupo. Por exemplo, os seguintes recursos são necessários para executar aplicativos no Azure Quantum:
|
| Recurso | Uma instância de um serviço que você pode criar, como um espaço de trabalho ou uma conta de armazenamento. |
Nota
Como o acesso pode ter escopo para vários níveis no Azure, um usuário pode ter funções diferentes em cada nível. Por exemplo, alguém com acesso de proprietário a um espaço de trabalho pode não ter acesso de proprietário ao grupo de recursos que contém o espaço de trabalho.
Requisitos de função para criar um espaço de trabalho
Ao criar um novo espaço de trabalho, você primeiro seleciona uma assinatura, um grupo de recursos e uma conta de armazenamento para associar ao espaço de trabalho. Sua capacidade de criar um espaço de trabalho depende dos níveis de acesso que você tem, começando no escopo da assinatura. Para exibir sua autorização para vários recursos, consulte Verificar suas atribuições de função.
Proprietário da Subscrição
Os proprietários de assinaturas podem criar espaços de trabalho usando as opções Criação rápida ou Criação avançada. Você pode escolher um grupo de recursos e uma conta de armazenamento que já existe na assinatura ou criar novos. Você também tem a capacidade de atribuir funções a outros usuários.
Contribuidor da Subscrição
Os colaboradores da assinatura podem criar espaços de trabalho usando a opção Criação avançada.
Para criar uma nova conta de armazenamento, você deve selecionar um grupo de recursos existente do qual seja proprietário.
Para selecionar uma conta de armazenamento existente, você deve ser um proprietário da conta de armazenamento. Você também deve selecionar o grupo de recursos existente ao qual a conta de armazenamento pertence.
Os colaboradores da subscrição não podem atribuir funções a outros.
Leitor de Subscrição
Os leitores de assinatura não podem criar espaços de trabalho. Você pode exibir todos os recursos criados na assinatura, mas não pode fazer alterações ou atribuir funções.
Verifique suas atribuições de função
Verifique as suas subscrições
Para ver uma lista das suas subscrições e funções associadas:
- Inicie sessão no portal do Azure.
- No título Serviços do Azure, selecione Assinaturas. Se não vir Subscrições aqui, utilize a caixa de pesquisa para encontrar a opção.
- O filtro Subscrições ao lado da caixa de pesquisa pode predefinir o filtro global Subscrições == . Para ver uma lista de todas as suas subscrições, selecione o filtro Subscrições e desmarque a opção "Selecionar apenas subscrições selecionadas no..." caixa. Em seguida, selecione Aplicar. O filtro deve então mostrar Subscrições == todas.
Verifique os seus recursos
Para verificar a atribuição de função que você ou outro usuário tem para um recurso específico, consulte Verificar o acesso de um usuário aos recursos do Azure.
Atribuir funções
Para adicionar novos usuários a um espaço de trabalho, você deve ser um proprietário do espaço de trabalho. Para conceder acesso a 10 ou menos usuários ao seu espaço de trabalho, consulte Compartilhar acesso ao seu espaço de trabalho do Azure Quantum. Para conceder acesso a mais de 10 usuários, consulte Adicionar um grupo ao seu espaço de trabalho do Azure Quantum.
Para atribuir funções a qualquer recurso em qualquer âmbito, incluindo o nível de subscrição, consulte Atribuir funções do Azure utilizando o portal do Azure.
Resolução de Problemas
Para obter soluções para problemas comuns, consulte Solucionar problemas do Azure Quantum: criando um espaço de trabalho do Azure Quantum.
Quando você cria um recurso no Azure, como um espaço de trabalho, você não é diretamente o proprietário do recurso. Sua função é herdada da função de escopo mais alto para a qual você está autorizado nessa assinatura.
Quando você cria novas atribuições de função, às vezes elas podem levar até uma hora para entrar em vigor sobre as permissões armazenadas em cache na pilha.