Поделиться через

Пример конфигурации RBAC для нескольких бизнес-пользователей

  • Статья

Многие клиенты Azure Sphere хотят настроить доступ к RBAC, чтобы инженерные группы могли выполнять связанные с разработкой функции на принадлежащих инженерии устройствах и группах устройств, но не позволяют инженерным командам напрямую обращаться к рабочим группам устройств, которые обычно управляются операционной группой. В следующем сценарии описано, как настроить набор групп пользователей и разрешений RBAC, чтобы предоставить команде инженеров и операционной группе доступ только к нужным функциям и ресурсам. В этом сценарии существует 3 различные группы бизнес-пользователей со следующими общими обязанностями:

  • Пользователи администратора Azure Sphere — группа пользователей Azure Sphere с наивысшими привилегиями для пользователей, которым необходимо создавать, настраивать и администрировать новые каталоги Azure Sphere и их дочерние ресурсы, в том числе запрашивать устройства в каталогах (постоянно связывать запрошенные устройства только с этим каталогом), а также интегрировать существующие клиенты Azure Sphere (устаревшие версии) с каталогами Azure Sphere (интегрированные).
  • Пользователи группы продуктов — для пользователей, которым требуются привилегии для элементов, принадлежащих самому ресурсу каталога, таких как образы и сертификаты, но которым не должны быть привилегии для всех групп устройств, принадлежащих к каталогу, например для потенциально конфиденциальной рабочей группы устройств. Эта группа пользователей особенно подходит для пользователей разработки продуктов, которые загружают файлы возможностей устройств, перемещают устройства между группами устройств для разработки, тестирования на местах и оценки ОС, развертывают новое программное обеспечение и могут собирать файлы аварийных дампов в группах устройств для оценки ОС для полевых тестов и тестов, но которые не имеют прав на управление производственными устройствами в группах устройств для оценки ос в рабочей среде и рабочей ос.
  • Пользователи Группы операций — для пользователей, которые управляют парком производственных устройств, которым требуются разрешения для рабочей группы устройств, где они будут развертывать новые образы программного обеспечения и встроенного ПО, потенциально включить сбор файлов аварийных дампов и проверить, работает ли розничная версия ОС в группе устройств Оценка операционной системы.

Пример конфигурации RBAC.

Предупреждение

  • У пользователей, которым необходимо интегрировать клиенты Azure Sphere (устаревшие версии) с каталогами Azure Sphere (интегрированные), должна быть применена роль участника Azure Sphere к группе ресурсов, которой принадлежит подписка, к которой принадлежит клиент.

  • Хотя пользователю можно назначить роль RBAC только в группе продуктов или устройств, но не в родительском каталоге, пользователь не сможет выполнить поиск продукта или группы устройств или родительского каталога на начальном экране Azure. Они могут получить доступ к продукту или группе устройств только через URL-адрес, указывающий непосредственно на него. Для удобства пользователей рекомендуется, чтобы все пользователи имели по крайней мере доступ читателя Azure Sphere к каталогу.