使用基于角色的访问控制管理 Azure 本地虚拟机
适用于:Azure 本地版本 23H2
本文介绍如何使用基于角色的访问控制(RBAC)来控制对 Azure 本地上运行的 Arc 虚拟机(VM)的访问。
可以使用内置的 RBAC 角色来控制对 VM 和 VM 资源的访问,例如虚拟磁盘、网络接口、VM 映像、逻辑网络和存储路径。 可以将这些角色分配给用户、组、服务主体和托管标识。
关于内置 RBAC 角色
若要控制对 Azure 本地 VM 和 VM 资源的访问,可以使用以下 RBAC 角色:
- Azure Stack HCI 管理员 - 此角色授予对 Azure 本地实例及其资源的完全访问权限。 Azure Stack HCI 管理员可以注册系统,并向其他用户分配 Azure Stack HCI VM 参与者和 Azure Stack HCI VM 读取者角色。 它们还可以创建共享资源,例如逻辑网络、VM 映像和存储路径。
- Azure Stack HCI VM 参与者 - 此角色授予执行所有 VM 操作(例如启动、停止、重启 VM)的权限。 Azure Stack HCI VM 参与者可以创建和删除 VM,以及附加到 VM 的资源和扩展。 Azure Stack HCI VM 参与者无法注册系统或将角色分配给其他用户,也不能创建系统共享的资源,例如逻辑网络、VM 映像和存储路径。
- Azure Stack HCI VM 读取者 - 此角色授予仅查看 VM 的权限。 VM 读取器不能对 VM 或 VM 资源和扩展执行任何操作。
下表描述了 VM 和各种 VM 资源的每个角色授予的 VM 操作。 VM 资源是指创建 VM 所需的资源,包括虚拟磁盘、网络接口、VM 映像、逻辑网络和存储路径:
| 内置角色 | VM | VM 资源 |
|---|---|---|
| Azure Stack HCI 管理员 | 创建、列出、删除 VM 启动、停止、重启 VM |
创建、列出、删除所有 VM 资源,包括逻辑网络、VM 映像和存储路径 |
| Azure Stack HCI VM 参与者 | 创建、列出、删除 VM 启动、停止、重启 VM |
创建、列出、删除除逻辑网络、VM 映像和存储路径之外的所有 VM 资源 |
| Azure Stack HCI VM 读者 | 列出所有 VM | 列出所有 VM 资源 |
先决条件
在开始之前,请确保满足以下先决条件:
确保完成 Azure 本地要求。
确保有权以所有者或用户访问管理员身份访问 Azure 订阅,以将角色分配给其他人。
向用户分配 RBAC 角色
可以通过Azure 门户向用户分配 RBAC 角色。 按照以下步骤向用户分配 RBAC 角色:
在Azure 门户中,搜索要授予访问权限的范围,例如搜索订阅、资源组或特定资源。 在此示例中,我们使用在其中部署 Azure Local 的订阅。
转到订阅,然后转到 访问控制(IAM) > 角色分配。 在顶部命令栏中,选择“ + 添加 ”,然后选择“ 添加角色分配”。
如果没有分配角色的权限, 将禁用“添加角色分配 ”选项。
在“角色”选项卡上,选择要分配的 RBAC 角色,并从以下内置角色之一中进行选择:
- Azure Stack HCI 管理员
- Azure Stack HCI VM 参与者
- Azure Stack HCI VM 读者
在 “成员 ”选项卡上,选择 “用户”、“组”或服务主体。 此外,选择一个成员来分配角色。
查看角色并为其分配。
验证角色分配。 转到访问控制(IAM)>检查访问视图我的访问权限>。 应会看到角色分配。
有关角色分配的详细信息,请参阅使用Azure 门户分配 Azure 角色。
后续步骤
- 为 Azure 本地 VM 创建存储路径。