Поделиться через

Общие сведения о доступе на основе ролей к рабочей области Azure Quantum

  • Статья

Узнайте о различных субъектах безопасности и ролях, которые можно использовать для управления доступом к рабочей области Azure Quantum.

Управление доступом на основе ролей в Azure (RBAC)

Управление доступом на основе ролей Azure (Azure RBAC) — это система авторизации, используемая для управления доступом к ресурсам Azure, например рабочей области. Чтобы предоставить доступ, необходимо назначить роли субъекту безопасности.

Субъект безопасности

Субъект безопасности — это объект, представляющий пользователя, группу, субъект-службу или управляемое удостоверение.

Субъект безопасности Определение
User Учетная запись пользователя, которая входит в Azure для создания, управления и использования ресурсов.
Групповое Группа пользователей. Используется для управления пользователями, которым требуется тот же доступ и разрешения для ресурсов.
Субъект-служба Удостоверение пользователя для приложения, службы или платформы, необходимой для доступа к ресурсам.
Управляемое удостоверение Автоматическое управляемое удостоверение в Azure Active Directory (Azure AD) для приложений, используемых при подключении к ресурсам, поддерживающим проверку подлинности Azure AD.

Роль

При предоставлении доступа к субъекту безопасности необходимо назначить встроенную роль или создать пользовательскую роль. Наиболее часто используются встроенные роли — владелец, участник и читатель.

Роль Уровень доступа
Ответственный Предоставляет полный доступ для управления всеми ресурсами, включая возможность назначать роли в Azure RBAC.
Участник Предоставляет полный доступ для управления всеми ресурсами, но не позволяет назначать роли в Azure RBAC.
Читатель Просмотр всех ресурсов, но не позволяет вносить изменения.

Область

Роли назначаются в определенной области. Область — это набор ресурсов, к которым предоставляется доступ. Структура областей строится на отношениях "родитель-потомок". Каждый уровень иерархии делает область более конкретной. Выбранный уровень определяет, насколько широка область применения роли. На более низких уровнях наследуются разрешения ролей более высоких уровней. Роли можно назначать на четырех уровнях области: группу управления, подписку, группу ресурсов или ресурс.

Схема с четырьмя уровнями области.

Scope Description
Группа управления Помогает управлять доступом, политикой и соответствием для нескольких подписок. Все подписки в группе управления автоматически наследуют условия, применяемые к группе управления. Может потребоваться группа управления, если у вашей организации несколько подписок.
Отток подписок Логически связывает учетные записи пользователей с создаваемыми ресурсами. Учетная запись пользователя — это удостоверение пользователя и одна или несколько подписок. Подписка представляет собой группу ресурсов Azure. Счет создается в области резервирования подписки. Для создания ресурсов Azure должна быть учетная запись с активной подпиской. Параметры подписки см. в статье "Создание рабочей области Azure Quantum".
Группа ресурсов Контейнер, содержащий связанные ресурсы для решения Azure. Группа ресурсов содержит ресурсы, которыми вы хотите управлять как группой. Например, для запуска приложений в Azure Quantum требуются следующие ресурсы:
  • Учетная запись хранения Azure: хранит входные и выходные данные для квантовых заданий.
  • Рабочая область Azure Quantum: коллекция ресурсов, связанных с выполнением квантовых приложений.
Эти ресурсы живут в одной группе ресурсов.
Ресурс Экземпляр службы, которую можно создать, например рабочую область или учетную запись хранения.

Примечание.

Так как доступ может быть ограничен несколькими уровнями в Azure, пользователь может иметь разные роли на каждом уровне. Например, у пользователя с доступом владельца к рабочей области может не быть доступа владельца к группе ресурсов, в которой содержится эта рабочая область.

Требования к роли для создания рабочей области

При создании новой рабочей области сначала выберите подписку, группу ресурсов и учетную запись хранения, чтобы связать ее с рабочей областью. Возможность создания рабочей области зависит от уровней доступа, начиная с области подписки. Чтобы просмотреть авторизацию для различных ресурсов, см. статью "Проверка назначений ролей".

Владелец подписки

Владельцы подписок могут создавать рабочие области с помощью параметров быстрого создания или расширенного создания . Можно выбрать группу ресурсов и учетную запись хранения, которые уже существуют в подписке или создать новые. У вас также есть возможность назначать роли другим пользователям.

Участник подписки

Участники подписки могут создавать рабочие области с помощью параметра "Дополнительное создание ".

  • Чтобы создать новую учетную запись хранения, необходимо выбрать существующую группу ресурсов, в которую вы являетесь владельцем.

  • Чтобы выбрать существующую учетную запись хранения, необходимо быть владельцем учетной записи хранения. Необходимо также выбрать существующую группу ресурсов, к которой принадлежит учетная запись хранения.

Участники подписки не могут назначать роли другим пользователям.

Читатель подписки

Читатели подписок не могут создавать рабочие области. Вы можете просмотреть все ресурсы, созданные в рамках подписки, но не можете вносить изменения или назначать роли.

Проверка назначений ролей

Проверка подписок

Чтобы просмотреть список подписок и связанных ролей:

  1. Войдите на портал Azure.
  2. В разделе служб Azure выберите подписки. Если вы не видите подписки, воспользуйтесь полем поиска.
  3. Фильтр подписок рядом с полем поиска может по умолчанию использовать подписку == глобальный фильтр. Чтобы просмотреть список всех подписок, выберите фильтр "Подписки" и отключите флажок "Выбрать только подписки, выбранные в..." коробка. Затем выберите Применить. Затем фильтр должен отображать подписки == все. Снимок экрана: портал Azure, в котором показано, как изменить фильтр подписок для перечисления всех подписок.

Проверка ресурсов

Чтобы проверить назначение роли, которое у вас или другого пользователя есть для определенного ресурса, см. статью "Проверка доступа пользователя к ресурсам Azure".

Назначение ролей

Чтобы добавить новых пользователей в рабочую область, необходимо быть владельцем рабочей области. Чтобы предоставить доступ к рабочей области 10 или меньше пользователей, ознакомьтесь с общим доступом к рабочей области Azure Quantum. Чтобы предоставить доступ более чем 10 пользователям, см . статью "Добавление группы" в рабочую область Azure Quantum.

Сведения о назначении ролей для любого ресурса в любой области, включая уровень подписки, см. в статье "Назначение ролей Azure с помощью портал Azure".

Устранение неполадок

Сведения о решениях распространенных проблем см. в статье "Устранение неполадок Azure Quantum: создание рабочей области Azure Quantum".

  • При создании ресурса в Azure, например рабочей области, вы не являетесь владельцем ресурса напрямую. Ваша роль наследуется от самой высокой роли области, которую вы авторизованы в этой подписке.

  • При создании новых назначений ролей иногда может потребоваться до одного часа, чтобы принять в силу кэшированные разрешения в стеке.