通过

多个业务用户的示例 RBAC 配置

  • 项目

许多 Azure Sphere 客户希望配置 RBAC 访问,使工程团队能够在工程拥有的设备和设备组上执行开发相关功能,但阻止工程团队直接访问通常由运营团队管理的生产设备组。 以下方案详细介绍了如何配置一组 RBAC 用户组和权限,以便工程团队和运营团队仅能够访问所需的功能和资源。 在此方案中,有 3 个不同的业务用户组具有以下常见工作职责:

  • Azure Sphere 管理员 用户 - 需要创建、配置和管理新的 Azure Sphere 目录及其子资源的用户的最高特权 Azure Sphere 用户组,包括向目录声明设备 (将声明的设备永久关联到该目录) ,并将现有 Azure Sphere (旧版) 租户集成到 Azure Sphere (集成) 目录。
  • 产品团队 用户 – 适用于需要对属于目录资源本身的项(例如图像和证书)具有特权,但不应对属于该目录的所有设备组(例如可能敏感的“生产”设备组)拥有特权的用户。 此用户组特别适用于下载设备功能文件、在开发、现场测试和现场测试 OS 评估设备组之间移动设备,以及部署新软件并可能收集现场测试和现场测试 OS 评估设备组中故障转储文件的产品开发用户,但无权管理生产和生产 OS 评估设备组中的生产设备。
  • Operations Team 用户 – 对于管理生产设备群的用户,需要对“生产”设备组(在其中部署新软件和固件映像)具有权限、可能启用故障转储文件收集以及验证 OS 零售评估版本是否按预期在生产 OS 评估设备组中工作的用户。

示例 RBAC 配置。

警告

  • 需要将 Azure Sphere (旧版) 租户集成到 Azure Sphere (集成) 目录的用户必须将 Azure Sphere 参与者 角色应用于拥有租户所属订阅的资源组。

  • 虽然用户只能在产品或设备组上分配 RBAC 角色,但不能在父目录上为用户分配 RBAC 角色,但用户将无法从其 Azure 主屏幕搜索产品或设备组或其父目录。 他们只能通过直接指向它的 URL 访问产品或设备组。 为了方便用户,我们建议所有用户至少具有对目录的 Azure Sphere 读取者 访问权限。