你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Defender for IoT 固件分析的 Azure 基于角色的访问控制概述
作为 Defender for IoT 固件分析的用户,你可能需要管理对固件映像分析结果的访问权限。 Azure 基于角色的访问控制 (RBAC) 是一种授权系统,可用于控制有权访问分析结果的对象、他们拥有的权限,以及资源层次结构的所属级别。 本文介绍如何在 Azure 中存储固件分析结果、管理访问权限并使用 RBAC 在组织内和与第三方共享这些结果。 如要详细了解 Azure RBAC,请浏览什么是 Azure 基于角色的访问控制 (Azure RBAC)?。
角色
角色是打包在一起的权限集合。 有两种类型的角色:
- 工作职能角色允许用户执行特定工作职能或任务,例如密钥保管库参与者或 Azure Kubernetes 服务群集监视用户。
- 特权管理员角色具备提升的访问特权,例如所有者、参与者或用户访问权限管理员。 若要了解有关角色的详细信息,请访问 Azure 内置角色。
在 Defender for IoT 固件分析中,最常见的角色是所有者、参与者、安全管理员和固件分析管理员。详细了解使用不同权限所需的角色,例如上传固件映像或共享固件分析结果。
了解 Azure 资源层次结构中固件映像的表示形式
Azure 将资源组织成资源层次结构,这些层次结构采用自上而下的结构,你可以在层次结构的每个级别分配角色。 分配角色的级别是“范围”,较低范围可能会继承在较高范围分配的角色。 详细了解层次结构级别以及如何在层次结构中组织资源。
将订阅加入 Defender for IoT 固件分析并选择资源组时,该操作会自动在资源组中创建默认资源。
导航到资源组并选择“显示隐藏类型”以显示默认资源。 默认资源的类型为 Microsoft.IoTFirmwareDefense.workspaces。
尽管默认工作区资源不是你经常与之交互的内容,但系统会将上传的每个固件映像表示为资源并将其存储在此处。
可以在层次结构的每个级别使用 RBAC,包括隐藏的默认固件分析工作区资源级别。
Defender for IoT 固件分析的资源层次结构如下所示:
应用 Azure RBAC
注意
若要开始使用 Defender for IoT 固件分析,将订阅加入 Defender for IoT 固件分析的用户必须是订阅级别的所有者、参与者、固件分析管理员或安全管理员。 按照使用 Microsoft Defender for IoT 分析固件映像教程来加入订阅。 加入订阅后,用户只需具备固件分析管理员身份即可使用 Defender for IoT 固件分析。
Defender for IoT 固件分析的用户可能需要为组织执行某些操作,例如上传固件映像或共享分析结果。
此类操作涉及基于角色的访问控制 (RBAC)。 若要有效地使用适用于 Defender for IoT 固件分析的 RBAC,必须知道获配角色,以及所属范围。 了解此信息将得知自己所具备的权限,以及是否可以借助这些权限完成某些操作。 若要检查角色分配,请参阅检查用户对单个 Azure 资源的访问权限 - Azure RBAC。 接下来,请参阅下表,检查某些操作所必需的角色和范围。
Defender for IoT 固件分析中的常见角色
此表对每个角色进行了分类,并提供了对其权限的简要说明:
角色 | 类别 | 描述 |
---|---|---|
所有者 | 特权管理员角色 | 授予管理所有资源的完全访问权限,包括允许在 Azure RBAC 中分配角色。 |
参与者 | 特权管理员角色 | 授予完全访问权限来管理所有资源,但不允许在 Azure RBAC 中分配角色或在 Azure 蓝图中管理分配,也不允许共享映像库。 |
安全管理员 | 工作职能角色 | 允许用户在 Defender for IoT 中上传和分析固件映像、添加/分配安全计划以及编辑安全策略。 了解详细信息。 |
固件分析管理员 | 工作职能角色 | 允许用户在 Defender for IoT 中上传和分析固件映像。 用户无权访问固件分析以外的内容(无法访问订阅中的其他资源、创建或删除资源或邀请其他用户)。 |
Defender for IoT 固件分析角色、范围和功能
下表总结了执行某些操作所需的角色。 除非另有说明,否则这些角色和权限将应用于订阅和资源组级别。
Action | 所需角色 |
---|---|
分析固件 | 所有者、参与者、安全管理员或固件分析管理员 |
邀请第三方用户查看固件分析结果 | 所有者 |
邀请用户加入订阅 | 订阅级别的所有者(资源组级别的所有者无法邀请用户加入订阅) |
上传固件映像
如要上传固件映像,请执行以下操作:
- 确认在 Defender for IoT 固件分析角色、范围和功能中拥有足够的权限。
- 上传固件映像进行分析。
邀请第三方与固件分析结果交互
你可能希望邀请某人仅与固件分析结果进行交互,而不允许他们访问组织的其他部分(例如订阅中的其他资源组)。 若要允许此类访问,请在资源组级别邀请用户作为固件分析管理员。
若要邀请第三方,请按照使用 Azure 门户向外部来宾用户分配 Azure 角色教程进行操作。
- 在步骤 3 中,导航到资源组。
- 在步骤 7 中,选择固件分析管理员角色。
注意
如果收到加入组织的电子邮件,但在收件箱中没有看到邀请电子邮件,请务必检查该邮件是否位于你的垃圾邮件文件夹中。