Управление доступом на основе ролей для службы пакетная служба Azure
служба пакетная служба Azure поддерживает набор встроенных ролей Azure, которые предоставляют различные уровни разрешений для пакетная служба Azure учетной записи. Используя управление доступом на основе ролей Azure (Azure RBAC), систему авторизации для управления отдельным доступом к ресурсам Azure, можно назначить определенные разрешения пользователям, субъектам-службам или другим удостоверениям, которые должны взаимодействовать с учетной записью пакетной службы. Вы также можете назначить пользовательские роли с настраиваемыми точными разрешениями, которые адаптируют конкретный сценарий использования.
Примечание.
Все роли RBAC (как встроенные, так и пользовательские) предназначены для пользователей, прошедших проверку подлинности с помощью идентификатора Microsoft Entra, а не для учетных данных общего ключа пакетной службы. Учетные данные общего ключа пакетной службы предоставляют полное разрешение учетной записи пакетной службы.
Назначение Azure RBAC
Выполните следующие действия, чтобы назначить роль Azure RBAC пользователю, группе, субъекту-службе или управляемому удостоверению. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.
В портал Azure перейдите к определенной учетной записи пакетной службы.
Совет
Можно также настроить Azure RBAC для всей группы ресурсов, подписок или групп управления. Для этого выберите нужный уровень области и перейдите к требуемому элементу. Например, выберите группы ресурсов и перейдите к определенной группе ресурсов.
Выберите Управление доступом (IAM) в области навигации слева.
На странице управления доступом (IAM) выберите " Добавить назначение роли".
На странице "Добавление назначения ролей" выберите вкладку "Роль", а затем выберите одну из пакетная служба Azure встроенных ролей RBAC.
Перейдите на вкладку "Члены" и выберите " Выбрать участников " в разделе "Участники".
На экране "Выбор участников" найдите и выберите пользователя, группу, субъект-службу или управляемое удостоверение, а затем нажмите кнопку "Выбрать".
Примечание.
При настройке приложения для проверки подлинности служб пакетная служба Azure с помощью субъекта-службы выполните поиск и выберите приложение здесь, чтобы настроить доступ и разрешения для учетной записи пакетная служба Azure.
Выберите "Рецензирование" и " Назначить" на странице "Добавление назначения ролей".
Целевое удостоверение теперь должно отображаться на вкладке назначений ролей на странице управления доступом учетной записи пакетной службы (IAM).
пакетная служба Azure встроенные роли RBAC
пакетная служба Azure имеет некоторые предопределенные роли для решения распространенных сценариев пользователей, обеспечивая соответствующие уровни доступа для учетной записи пакетная служба Azure может быть эффективно назначено удостоверению для конкретной обязанности.
Встроенная роль Description Идентификатор участник учетной записи пакетная служба Azure Предоставляет полный доступ ко всем ресурсам пакетной службы, включая учетные записи пакетной службы, пулы и задания. 29fe4964-1e60-436b-bd3a-77fd4c178b3c средство чтения учетных записей пакетная служба Azure Позволяет просматривать все ресурсы, включая пулы и задания в учетной записи пакетной службы. 11076f67-66f6-4be0-8f6b-f0609fd05cc9 участник данных пакетная служба Azure Предоставляет разрешения на управление пулами и заданиями пакетной службы, но не для изменения учетных записей. 6aaa78f1-f7de-44ca-8722-c64a23943cae Отправка заданий пакетная служба Azure Позволяет отправлять задания и управлять ими в учетной записи пакетной службы. 48e5e92e-a480-4e71-aa9c-2778f4c13781
Разрешения участник учетной записи пакетная служба Azure средство чтения учетных записей пакетная служба Azure участник данных пакетная служба Azure Отправка заданий пакетная служба Azure Вывод списка учетных записей пакетной службы или просмотр свойств учетной записи пакетной службы ✓ ✓ ✓ Создание, обновление или удаление учетной записи пакетной службы ✓ Вывод списка ключей доступа для учетной записи пакетной службы ✓ Повторное создание ключей доступа для учетной записи пакетной службы ✓ Вывод списка или просмотра свойств приложений и пакетов приложений в учетной записи пакетной службы ✓ ✓ ✓ ✓ Создание, обновление или удаление приложений и пакетов приложений в учетной записи пакетной службы ✓ ✓ Вывод списка или просмотра свойств сертификатов в учетной записи пакетной службы ✓ ✓ ✓ Создание, обновление или удаление сертификатов в учетной записи пакетной службы ✓ ✓ Перечисление или просмотр свойств пулов в учетной записи пакетной службы ✓ ✓ ✓ ✓ Создание, обновление или удаление пулов в учетной записи пакетной службы ✓ ✓ Вывод списка или просмотра свойств заданий в учетной записи пакетной службы ✓ ✓ ✓ ✓ Создание, обновление или удаление заданий в учетной записи пакетной службы ✓ ✓ ✓ Вывод списка или просмотра свойств расписаний заданий в учетной записи пакетной службы ✓ ✓ ✓ ✓ Создание, обновление или удаление расписаний заданий в учетной записи пакетной службы ✓ ✓ ✓
Предупреждение
Функция сертификата учетной записи пакетной службы прекращена.
участник учетной записи пакетная служба Azure
Предоставляет полный доступ ко всем ресурсам пакетной службы, включая учетные записи пакетной службы, пулы и задания.
Действия Описание Microsoft.Authorization/*/read Чтение ролей и их назначений. Microsoft.Insights/alertRules/* Создание и управление классическим оповещением метрик. Microsoft.Resources/deployments/* Создание развертывания и управление ими. Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список. Microsoft.Batch/batchAccounts/* NotActions none Действия с данными Microsoft.Batch/batchAccounts/* NotDataActions none
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all Batch resources, including Batch accounts, pools and jobs.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/29fe4964-1e60-436b-bd3a-77fd4c178b3c",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Batch/batchAccounts/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/batchAccounts/*"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Account Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
средство чтения учетных записей пакетная служба Azure
Позволяет просматривать все ресурсы, включая пулы и задания в учетной записи пакетной службы.
Действия Description Microsoft.Batch/batchAccounts/read Выводит список учетных записей пакетной службы или получает свойства учетной записи пакетной службы. Microsoft.Batch/batchAccounts/*/read Просмотр всех ресурсов в учетной записи пакетной службы. Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список. NotActions none Действия с данными Microsoft.Batch/*/read Просмотр всех ресурсов в учетной записи пакетной службы. NotDataActions none
{
"assignableScopes": [
"/"
],
"description": "Lets you view all resources including pools and jobs in the Batch account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/11076f67-66f6-4be0-8f6b-f0609fd05cc9",
"permissions": [
{
"actions": [
"Microsoft.Batch/batchAccounts/read",
"Microsoft.Batch/batchAccounts/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/batchAccounts/*/read"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Account Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
участник данных пакетная служба Azure
Предоставляет разрешения на управление пулами и заданиями пакетной службы, но не для изменения учетных записей.
Действия Описание Microsoft.Authorization/*/read Чтение ролей и их назначений. Microsoft.Batch/batchAccounts/read Выводит список учетных записей пакетной службы или получает свойства учетной записи пакетной службы. Microsoft.Batch/batchAccounts/applications/* Создание приложений и пакетов приложений и управление ими в учетной записи пакетной службы. Microsoft.Batch/batchAccounts/certificates/* Создание сертификатов и управление ими в учетной записи пакетной службы. Microsoft.Batch/batchAccounts/certificateOperationResults/* Возвращает результаты длительной операции сертификата в учетной записи пакетной службы. Microsoft.Batch/pools/* Создание пулов и управление ими в учетной записи пакетной службы. Microsoft.Batch/poolOperationResults/* Возвращает результаты длительной операции пула в учетной записи пакетной службы. Microsoft.Batch/locations/*/read Получение результата операции учетной записи пакетной службы, квоты пакетной службы или поддерживаемого размера виртуальной машины в указанном расположении. Microsoft.Insights/alertRules/* Создание и управление классическим оповещением метрик. Microsoft.Resources/deployments/* Создание развертывания и управление ими. Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список. NotActions none Действия с данными Microsoft.Batch/batchAccounts/jobSchedules/* Создание расписаний заданий и управление ими в учетной записи пакетной службы. Microsoft.Batch/batchAccounts/jobs/* Создание заданий и управление ими в учетной записи пакетной службы. NotDataActions none
{
"assignableScopes": [
"/"
],
"description": "Grants permissions to manage Batch pools and jobs but not to modify accounts.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6aaa78f1-f7de-44ca-8722-c64a23943cae",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Batch/batchAccounts/read",
"Microsoft.Batch/batchAccounts/applications/*",
"Microsoft.Batch/batchAccounts/certificates/*",
"Microsoft.Batch/batchAccounts/certificateOperationResults/*",
"Microsoft.Batch/batchAccounts/pools/*",
"Microsoft.Batch/batchAccounts/poolOperationResults/*",
"Microsoft.Batch/locations/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/batchAccounts/jobSchedules/*",
"Microsoft.Batch/batchAccounts/jobs/*"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Data Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Отправка заданий пакетная служба Azure
Позволяет отправлять задания и управлять ими в учетной записи пакетной службы.
Действия Description Microsoft.Batch/batchAccounts/applications/read Выводит список приложений или получает свойства приложения. Microsoft.Batch/batchAccounts/applications/versions/read Возвращает свойства пакета приложения. Microsoft.Batch/pools/read Перечисляет пулы в учетной записи пакетной службы или получает свойства пула. Microsoft.Insights/alertRules/* Создание и управление классическим оповещением метрик. Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список. NotActions none Действия с данными Microsoft.Batch/batchAccounts/jobSchedules/* Создание расписаний заданий и управление ими в учетной записи пакетной службы. Microsoft.Batch/batchAccounts/jobs/* Создание заданий и управление ими в учетной записи пакетной службы. NotDataActions none
{
"assignableScopes": [
"/"
],
"description": "Lets you submit and manage jobs in the Batch account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/48e5e92e-a480-4e71-aa9c-2778f4c13781",
"permissions": [
{
"actions": [
"Microsoft.Batch/batchAccounts/applications/read",
"Microsoft.Batch/batchAccounts/applications/versions/read",
"Microsoft.Batch/batchAccounts/pools/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/batchAccounts/jobSchedules/*",
"Microsoft.Batch/batchAccounts/jobs/*"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Job Submitter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Назначение настраиваемой роли
Если пакетная служба Azure встроенные роли не соответствуют вашим потребностям, пользовательские роли Azure можно использовать для предоставления пользователю детального разрешения на отправку заданий, задач и т. д. Пользовательскую роль можно использовать для предоставления или запрета разрешений идентификатору Microsoft Entra для следующих пакетная служба Azure операций RBAC.
- Microsoft.Batch/batchAccounts/pools/write
- Microsoft.Batch/batchAccounts/pools/delete
- Microsoft.Batch/batchAccounts/pools/read
- Microsoft.Batch/batchAccounts/jobSchedules/write
- Microsoft.Batch/batchAccounts/jobSchedules/delete
- Microsoft.Batch/batchAccounts/jobSchedules/read
- Microsoft.Batch/batchAccounts/jobs/write
- Microsoft.Batch/batchAccounts/jobs/delete
- Microsoft.Batch/batchAccounts/jobs/read
- Microsoft.Batch/batchAccounts/certificates/write
- Microsoft.Batch/batchAccounts/certificates/delete
- Microsoft.Batch/batchAccounts/certificates/read
- Microsoft.Batch/batchAccounts/applications/write
- Microsoft.Batch/batchAccounts/applications/delete
- Microsoft.Batch/batchAccounts/applications/read
- Microsoft.Batch/batchAccounts/applications/versions/write
- Microsoft.Batch/batchAccounts/applications/versions/delete
- Microsoft.Batch/batchAccounts/applications/versions/read
- Microsoft.Batch/batchAccounts/read для любой операции чтения
- Microsoft.Batch/batchAccounts/listKeys/action для любой операции
Совет
Для заданий, использующих автопул , требуются разрешения на запись на уровне пула.
Примечание.
Некоторые назначения ролей должны быть указаны в actions поле, а другие должны быть указаны в dataActions поле. Необходимо изучить и actionsdataActions понять полную область возможностей, назначенных роли. Дополнительные сведения см. в разделе Операции с поставщиками ресурсов Azure.
В следующем примере показано определение пользовательской роли пакетная служба Azure:
{
"properties":{
"roleName":"Azure Batch Custom Job Submitter",
"type":"CustomRole",
"description":"Allows a user to submit autopool jobs to Azure Batch",
"assignableScopes":[
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
],
"permissions":[
{
"actions":[
"Microsoft.Batch/*/read",
"Microsoft.Batch/batchAccounts/pools/write",
"Microsoft.Batch/batchAccounts/pools/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Insights/alertRules/*"
],
"notActions":[
],
"dataActions":[
"Microsoft.Batch/batchAccounts/jobs/*",
"Microsoft.Batch/batchAccounts/jobSchedules/*"
],
"notDataActions":[
]
}
]
}
}