Поделиться через

Просмотр поставщиков служб и управление ими

  • Статья

Клиенты могут посетить поставщиков услуг в портал Azure для контроля и видимости своих поставщиков услуг, использующих Azure Lighthouse. В поставщиках услуг клиенты могут делегировать определенные ресурсы, просматривать новые или обновленные предложения, удалять доступ к поставщику услуг и многое другое.

Чтобы получить доступ к поставщикам служб в портал Azure, введите "Поставщики услуг" в поле поиска в заголовке страницы портал Azure. Вы также можете перейти в Azure Lighthouse в портал Azure, а затем выберите "Просмотреть предложения поставщика услуг".

Примечание.

Чтобы просмотреть поставщиков услуг, пользователь в клиенте клиента должен иметь встроенную роль читателя (или другую встроенную роль , которая включает доступ читателя).

Для добавления или обновления предложений, делегирования ресурсов и удаления предложений пользователь должен иметь роль с Microsoft.Authorization/roleAssignments/write разрешением, например Владельца.

Поставщики услуг отображают только сведения о поставщиках услуг, имеющих доступ к подпискам или группам ресурсов клиента через Azure Lighthouse. В нем не отображаются сведения о дополнительных поставщиках услуг, которые не используют Azure Lighthouse.

Просмотр сведений о поставщике услуг

Чтобы просмотреть сведения о текущих поставщиках услуг, использующих Azure Lighthouse для работы с клиентом клиента, выберите предложения поставщика услуг в меню служб поставщиков услуг.

Каждое предложение показывает имя поставщика услуг и связанное с ним предложение. Выберите предложение для просмотра описания и других сведений, включая назначения ролей, предоставленные поставщику услуг.

В столбце "Делегирования " для предложения можно увидеть, сколько подписок и (или) групп ресурсов были делегированы поставщику услуг. Поставщик услуг может работать с этими подписками и (или) группами ресурсов в соответствии с уровнями доступа, указанными в предложении.

Добавление предложений поставщиков услуг

Вы можете добавить новое предложение поставщика услуг в предложениях поставщика услуг.

Чтобы добавить предложение из Marketplace, выберите " Добавить предложение " на панели команд, а затем нажмите кнопку "Добавить через Marketplace". Чтобы просмотреть предложения управляемой службы, опубликованные специально для клиента, выберите частные продукты. В противном случае найдите общедоступное предложение. Когда вы найдете интересующее вас предложение, выберите его, чтобы просмотреть сведения. Чтобы добавить предложение, нажмите кнопку "Создать", а затем укажите необходимые сведения.

Чтобы добавить предложение из шаблона, выберите "Добавить предложение " на панели команд, а затем нажмите кнопку "Добавить через шаблон". Откроется панель "Шаблон предложения отправки", которая позволяет отправлять шаблон из поставщика услуг и подключить подписку (или группу ресурсов). Подробные инструкции см. в разделе "Развертывание" в портал Azure.

Обновление предложений поставщиков услуг

После добавления предложения поставщик услуг может опубликовать обновленную версию того же предложения в Azure Marketplace, например добавить новое определение роли. Если опубликована новая версия предложения, в строке для этого предложения появится значок обновления. Выберите этот значок, чтобы просмотреть изменения в текущей версии предложения.

Значок обновления предложения

После просмотра изменений можно выполнить обновление до новой версии. При этом авторизация и другие параметры, указанные в новой версии, применяются к любым подпискам и (или) группам ресурсов, которые ранее были делегированы для этого предложения.

Удаление предложений поставщиков услуг

Предложение поставщика услуг можно удалить в любое время, щелкнув значок корзины в строке этого предложения.

После подтверждения удаления поставщик услуг больше не может получить доступ к ресурсам, которые ранее были делегированы для этого предложения.

Внимание

Если у подписки есть два или более предложений от одного поставщика услуг, удаление одного из них может привести к тому, что некоторые пользователи поставщика услуг потеряют доступ, предоставленный другими делегированиями. Эта проблема возникает только в том случае, если один и тот же пользователь и роль включены в несколько делегирований, то один из делегирований удаляется. Чтобы восстановить доступ, процесс подключения должен повторяться для предложений, которые вы не хотите удалить.

Делегирование ресурсов

Прежде чем поставщик услуг сможет получить доступ к ресурсам клиента и управлять ими, необходимо делегировать одну или несколько конкретных подписок или групп ресурсов. Когда клиент добавляет предложение без делегирования ресурсов, в верхней части раздела предложений поставщика услуг появится примечание. Поставщик услуг не может работать над ресурсами в клиенте клиента, пока делегирование не будет завершено.

Чтобы делегировать подписки или группы ресурсов:

  1. Установите флажок для строки, содержащей поставщика услуг, предложение и имя. Затем вверху экрана выберите Делегировать ресурсы.
  2. В разделе сведений о предложении области ресурсов делегата просмотрите сведения о поставщике услуг и предложении. Чтобы просмотреть назначения ролей для предложения, выберите Щелкните, чтобы просмотреть сведения о выбранном предложении.
  3. В разделе Делегирование выберите Делегировать подписки или Делегировать группы ресурсов.
  4. Выберите подписки и/или группы ресурсов, которые вы хотите делегировать для этого предложения, а затем выберите команду Добавить.
  5. Установите флажок, чтобы убедиться, что вы хотите предоставить этому поставщику услуг доступ к этим ресурсам, а затем выберите "Делегат".

Просмотреть делегирования

Делегирование представляет собой связь конкретных ресурсов клиента (подписок или групп ресурсов) с назначениями ролей, которые предоставляют разрешения поставщику услуг для этих ресурсов. Чтобы просмотреть сведения о делегировании, выберите "Делегирования" в меню службы.

Фильтры в верхней части панели позволяют сортировать и группировать сведения о делегировании. Вы также можете фильтровать по определенным поставщикам услуг, предложениям или ключевым словам.

Примечание.

При просмотре назначений ролей для делегированной области в портал Azure или через API клиенты не могут видеть назначения ролей для пользователей из клиента поставщика услуг, имеющих доступ через Azure Lighthouse. Аналогичным образом пользователи в клиенте поставщика услуг не могут видеть назначения ролей для пользователей в клиенте клиента независимо от назначенной им роли.

Классические назначения администраторов в клиенте клиента могут отображаться пользователями в управляемом клиенте или другим способом, так как классические роли администратора не используют модель развертывания Resource Manager.

Аудит и ограничение делегирований в вашей среде

Клиентам может потребоваться просмотреть все подписки и (или) группы ресурсов, делегированные в Azure Lighthouse, или разместить ограничения для клиентов, которыми они могут быть делегированы. Эти варианты особенно полезны для клиентов с большим количеством подписок или у которых много пользователей, выполняющих задачи управления.

Мы предоставляем Определение встроенной Политики Azure для аудита делегирования областей клиенту, выполняющему функции управления. Эту политику можно назначить группе управления, которая включает все подписки, подлежащие аудиту. При проверке соответствия этой политике все делегированные подписки и (или) группы ресурсов в этой группе управления отображаются в несоответствующее состояние. Затем можно проверить результаты и убедиться в отсутствии непредвиденных делегирований.

Другое Определение встроенной политики позволяет ограничить делегирование только конкретным клиентами управления. Эта политика может быть назначена группе управления, включающей все подписки, для которых требуется ограничить делегирование. После развертывания политики все попытки делегировать подписку клиенту за пределами указанных вами отказов.

Дополнительные сведения о назначении политики и просмотре результатов состояния соответствия требованиям см. в разделе Краткое руководство. Создание назначения политики.

Следующие шаги