Поделиться через


Использование контроль доступа на основе ролей для управления локальными виртуальными машинами Azure

Область применения: Azure Local 2311.2 и более поздних версий

В этой статье описывается, как использовать контроль доступа на основе ролей (RBAC) для управления доступом к виртуальным машинам Arc, работающим в локальной среде Azure.

Встроенные роли RBAC можно использовать для управления доступом к виртуальным машинам и ресурсам виртуальных машин, таким как виртуальные диски, сетевые интерфейсы, образы виртуальных машин, логические сети и пути к хранилищу. Эти роли можно назначать пользователям, группам, служебным принципалам и управляемым удостоверениям.

Сведения о встроенных ролях RBAC

Чтобы управлять доступом к виртуальным машинам и ресурсам виртуальных машин в локальной среде Azure, можно использовать следующие роли RBAC:

  • Администратор Azure Stack HCI. Эта роль предоставляет полный доступ к локальному экземпляру Azure и его ресурсам. Администратор Azure Stack HCI может зарегистрировать систему, а также назначить роли участника виртуальных машин Azure Stack HCI и роли читателя виртуальных машин Azure Stack HCI другим пользователям. Они также могут создавать общие ресурсы, такие как логические сети, образы виртуальных машин и пути к хранилищу.
  • Участник виртуальной машины Azure Stack HCI. Эта роль предоставляет разрешения на выполнение всех действий виртуальных машин, таких как запуск, остановка, перезапуск виртуальных машин. Участник виртуальной машины Azure Stack HCI может создавать и удалять виртуальные машины, а также ресурсы и расширения, подключенные к виртуальным машинам. Участник виртуальной машины Azure Stack HCI не может зарегистрировать систему или назначать роли другим пользователям, а также создавать общие для системы ресурсы, такие как логические сети, образы виртуальных машин и пути к хранилищу.
  • Azure Stack HCI VM Reader - эта роль предоставляет разрешения только для просмотра виртуальных машин. Средство чтения виртуальных машин не может выполнять никаких действий на виртуальных машинах или ресурсах виртуальных машин и расширениях.

Ниже приведена таблица, описывающая действия виртуальной машины, предоставляемые каждой ролью для виртуальных машин и различных ресурсов виртуальных машин. Ресурсы виртуальной машины ссылаются на ресурсы, необходимые для создания виртуальной машины и включают виртуальные диски, сетевые интерфейсы, образы виртуальных машин, логические сети и пути к хранилищу:

Встроенная роль Виртуальные машины Ресурсы ВМ
Администратор Azure Stack HCI Создание, перечисление, удаление виртуальных машин

Запуск, остановка, перезапуск виртуальных машин
Создание, перечисление, удаление всех ресурсов виртуальных машин, включая логические сети, образы виртуальных машин и пути к хранилищу
Участник Azure Stack HCI VM Создание, перечисление, удаление виртуальных машин

Запуск, остановка, перезапуск виртуальных машин
Создание, перечисление, удаление всех ресурсов виртуальных машин, кроме логических сетей, образов виртуальных машин и путей к хранилищу
Средство чтения виртуальных машин Azure Stack HCI Вывод списка всех виртуальных машин Перечисление всех ресурсов виртуальной машины

Предварительные условия

Перед началом работы обязательно выполните следующие предварительные требования:

  1. Убедитесь, что выполнены локальные требования Azure.

  2. Убедитесь, что у вас есть доступ к подписке Azure в качестве владельца или администратора доступа пользователей, чтобы назначить роли другим пользователям.

Назначение пользователям ролей RBAC

Роли RBAC можно назначить пользователю с помощью портал Azure. Выполните следующие действия, чтобы назначить роли RBAC пользователям:

  1. В портале Azure найдите область, в которой хотите предоставить доступ, например, подписки, группы ресурсов или конкретный ресурс. В этом примере мы используем подписку, в которой развернута локальная служба Azure.

  2. Перейдите к своей подписке, а затем перейдите в Назначения ролей управления доступом (IAM). На верхней панели команд нажмите кнопку +Добавить , а затем выберите "Добавить назначение ролей".

    Если у вас нет разрешений на назначение ролей, параметр "Добавить назначение ролей" отключен.

    Снимок экрана, показывающий назначение ролей RBAC в портале Azure для Azure Local.

  3. На вкладке "Роль" выберите роль RBAC, чтобы назначить и выбрать одну из следующих встроенных ролей:

    • Администратор Azure Stack HCI
    • Сотрудник виртуальной машины Azure Stack HCI
    • Средство чтения виртуальных машин Azure Stack HCI

    Снимок экрана: вкладка

  4. На вкладке "Участники" выберите пользователя, группу или субъект-службу. Выберите также участника для назначения роли.

    Снимок экрана: вкладка

  5. Просмотрите роль и назначьте ее.

    Снимок экрана, показывающий вкладку «Просмотр и назначение» во время назначения ролей в портале Azure для вашего локального экземпляра Azure.

  6. Проверьте назначение роли. Перейдите к управлению доступом (IAM) > Проверка доступа > Просмотр моего доступа. Вы должны увидеть назначение роли.

    Снимок экрана, показывающий недавно назначенную роль в вашем локальном экземпляре Azure на портале Azure.

Дополнительные сведения о назначении ролей см. в статье "Назначение ролей в Azure посредством портала Azure".

Следующие шаги