Добавление владельцев, участников и пользователей лаборатории в Azure DevTest Labs
В Azure DevTest Labs применяется управление доступом на основе ролей (RBAC) для назначения участникам ролей, позволяющих выполнять только определенные задачи лаборатории. В DevTest Labs предусмотрено три таких роли: владелец, участник и пользователь DevTest Labs. В этой статье описаны задачи, которые позволяет выполнять каждая роль, а также способы назначения ролей — на портале Azure или с помощью скрипта Azure PowerShell.
Действия, доступные каждой из ролей
В DevTest Labs владелец, участник и пользователь лаборатории могут выполнять следующие действия:
Ответственный
Роль владельца лаборатории позволяет выполнять все перечисленные ниже действия.
Задачи, связанные с лабораторией:
- Добавление пользователей в лабораторию.
- Изменение параметров стоимости.
Основные задачи, связанные с виртуальными машинами:
- Добавление и удаление пользовательских образов.
- Добавление, изменения и удаление формул.
- Разрешение доступа к образам из Marketplace.
Другие задачи, связанные с виртуальными машинами:
- Создание виртуальных машин.
- Запуск, остановка и удаление виртуальных машин.
- Изменение политик виртуальных машин.
- Добавление или удаление дисков данных виртуальных машин.
Задачи, связанные с артефактами:
- Добавление и удаление репозиториев артефактов.
- Применение артефактов к виртуальным машинам.
Участник
Роль участника лаборатории позволяет выполнять такие же действия, как и роль владельца, кроме добавления пользователей.
Пользователь DevTest Labs
Роль пользователя DevTest Labs позволяет выполнять следующие действия:
- Добавление, изменение и удаление формул.
- Создание виртуальных машин.
- Запуск, остановка или удаление виртуальных машин, создаваемых пользователем.
- Добавление и удаление дисков данных с виртуальных машин, создаваемых пользователем.
- Применение артефактов к виртуальным машинам.
Примечание.
Пользователи лаборатории автоматически получают роль владельца для виртуальных машинах, которые они создают.
Добавление владельцев, участников или пользователей DevTest Labs
Владелец лаборатории может назначать пользователям роли на портале Azure или с помощью скрипта Azure PowerShell. Это могут быть внешние пользователи с действительной учетной записью Майкрософт (MSA).
Разрешения Azure распространяются от родительской области к дочерней. Владельцы подписки Azure, к которой относятся лаборатории, автоматически являются владельцами службы DevTest Labs, лабораторий, их виртуальных машин и ресурсов. Владельцы подписки могут добавлять владельцев, участников и пользователей DevTest Labs в лаборатории в своей подписке.
Примечание.
Спектр административных прав у владельцев лаборатории уже, чем у владельца подписки. Добавленные владельцы не имеют полного доступа к некоторым ресурсам, создаваемым службой DevTest Labs.
Необходимые компоненты
Чтобы добавить членов в лабораторию, необходимо:
- Быть владельцем лаборатории либо напрямую, либо путем наследования в качестве владельца подписки.
- Войти на портал Azure с правами владельца или администратора доступа пользователей.
Добавление члена лаборатории на портале Azure
Чтобы добавить члена:
- На уровне подписки откройте страницу подписки.
- На уровне лаборатории откройте группу ресурсов, в которой находится лаборатория, и выберите лабораторию в списке ресурсов.
В области навигации слева выберите Управление доступом (IAM).
Выберите Добавить>Добавить назначение ролей.
На странице Добавить назначение ролей выберите роль Владелец, Участник или Пользователь DevTest Labs и нажмите Далее.
На вкладке Члены нажмите Выбор членов.
На экране Выбор членов укажите нужных и нажмите Выбрать.
Нажмите Просмотр и назначение, проверьте сведения и нажмите Просмотр и назначение еще раз.
Добавление пользователя DevTest Labs в лабораторию с помощью Azure PowerShell
Примечание.
Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Сведения о начале работы см. в статье "Установка Azure PowerShell". Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.
Вы можете добавить пользователя DevTest Labs в лабораторию с помощью следующего скрипта Azure PowerShell. Сценарий требует, чтобы пользователь был в идентификаторе Microsoft Entra. Сведения о добавлении внешнего пользователя в идентификатор Microsoft Entra в качестве гостя см. в разделе "Добавление нового гостевого пользователя". Если пользователь не входит в идентификатор Microsoft Entra, используйте процедуру портала.
В следующем скрипте измените значения параметров под комментарием # Values to change
. Значения subscriptionId
, labResourceGroup
и labName
указаны на главной странице лаборатории на портале Azure.
# Add an external user to a lab user role in DevTest Labs.
# Make sure the guest user is added to Azure AD.
# Values to change
$subscriptionId = "<Azure subscription ID>"
$labResourceGroup = "<Lab's resource group name>"
$labName = "<Lab name>"
$userDisplayName = "<User's display name>"
# Log into your Azure account.
Connect-AzAccount
# Select the Azure subscription that contains the lab. This step is optional if you have only one subscription.
Select-AzSubscription -SubscriptionId $subscriptionId
# Get the user object.
$adObject = Get-AzADUser -SearchString $userDisplayName
# Create the role assignment.
$labId = ('subscriptions/' + $subscriptionId + '/resourceGroups/' + $labResourceGroup + '/providers/Microsoft.DevTestLab/labs/' + $labName)
New-AzRoleAssignment -ObjectId $adObject.Id -RoleDefinitionName 'DevTest Labs User' -Scope $labId