你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 实验室服务中的 Azure 基于角色的访问控制
重要
Azure 实验室服务将于 2027 年 6 月 28 日停用。 有关详细信息,请参阅停用指南。
Azure 实验室服务为 Azure 实验室服务中的常见管理方案提供内置的 Azure 基于角色的访问控制 (Azure RBAC)。 在 Microsoft Entra ID 中拥有配置文件的个人可将这些 Azure 角色分配给用户、组、服务主体或托管标识,以授予或拒绝对 Azure 实验室服务中的资源和操作的访问权限。 本文介绍 Azure 实验室服务支持的不同内置角色。
Azure 基于角色的访问控制 (RBAC) 是在 Azure 资源管理器基础上构建的一种授权系统,它针对 Azure 资源提供精细的访问权限管理。
Azure RBAC 指定内置角色定义,这些定义描述了要应用的权限。 可通过特定范围的角色分配为用户或组分配此角色定义。 范围可以是单个资源、资源组或整个订阅。 在下一部分中,你将了解 Azure 实验室服务支持的内置角色。
有关详细信息,请参阅什么是 Azure 基于角色的访问控制 (Azure RBAC)?
注意
进行角色分配更改时,可能需要几分钟时间才能传播这些更新。
内置角色
在本文中,Azure 内置角色按逻辑分组为两种角色类型,具体取决于其影响范围:
- 管理员角色:影响实验室计划和实验室的权限
- 实验室管理角色:影响实验室的权限
下面是 Azure 实验室服务支持的内置角色:
| 角色类型 | 内置角色 | 说明 |
|---|---|---|
| 管理员 | “所有者” | 授予对创建/管理实验室计划和实验室的完全控制,并向其他用户授予权限。 详细了解所有者角色。 |
| 管理员 | 参与者 | 授予对创建/管理实验室计划和实验室的完全控制,但不向其他用户分配角色。 详细了解参与者角色。 |
| 管理员 | 实验室服务参与者 | 授予与“所有者”角色相同的权限,但不分配角色。 详细了解实验室服务参与者角色。 |
| 实验室管理 | 实验室创建者 | 授予创建实验室的权限,并完全控制该角色创建的实验室。 详细了解实验室创建者角色。 |
| 实验室管理 | 实验室参与者 | 授予权限以帮助管理现有实验室,但不创建新实验室。 详细了解实验室参与者角色。 |
| 实验室管理 | 实验室助理 | 授予查看现有实验室的权限。 还可以启动、停止实验室中的任何 VM 或重置实验室中的任何 VM 的映像。 详细了解实验室助手角色。 |
| 实验室管理 | 实验室服务读取者 | 授予查看现有实验室的权限。 详细了解实验室服务读者角色。 |
角色分配范围
在 Azure RBAC 中,范围是访问权限应用到的资源集。 在分配角色时,请了解范围,以便仅授予所需的访问权限,这一点很重要。
在 Azure 中,可以在以下四个级别指定范围:管理组、订阅、资源组和资源。 范围采用父子关系结构。 层次结构的每个级别都会使范围更具针对性。 可以在其中任何一个范围级别分配角色。 所选级别决定了角色的应用广泛程度。 较低级别继承较高级别的角色权限。 详细了解 Azure RBAC 的范围。
对于 Azure 实验室服务,请考虑以下范围:
| 作用域 | 说明 |
|---|---|
| 订阅 | 用于管理所有 Azure 资源和服务的计费和安全性。 通常,只有管理员才具有订阅级别的访问权限,因为此角色分配授予对订阅中的所有资源的访问权限。 |
| 资源组 | 用于组合资源的逻辑容器。 资源组的角色分配向资源组及其中的所有资源(例如实验室和实验室计划)授予权限。 |
| 实验室计划 | 创建实验室时用于应用常见配置设置的 Azure 资源。 实验室计划的角色分配仅向特定实验室计划授予权限。 |
| 实验室 | 用于应用常见配置设置,以便创建和运行实验室虚拟机的 Azure 资源。 实验室的角色分配仅向特定实验室授予权限。 |
重要
在 Azure 实验室服务中,实验室计划和实验室是同辈资源。 因此,实验室不会从实验室计划继承任何角色分配。 但是,资源组的角色分配由该资源组中的实验室计划和实验室继承。
常见实验室活动的角色
下表显示了常见实验室活动和用户执行活动所需的角色。
| 活动 | 角色类型 | 角色 | 范围 |
|---|---|---|---|
| 授予创建资源组的权限。 资源组是 Azure 中用于保存实验室计划和实验室的逻辑容器。 在创建实验室计划或实验室之前,需要存在此资源组。 | 管理员 | 所有者或参与者 | 订阅 |
| 授予提交 Microsoft 支持工单的权限,包括申请容量。 | 管理员 | 所有者、参与者、支持请求参与者 | 订阅 |
| 授予以下权限: - 将角色分配给其他用户。 - 在资源组中创建/管理实验室计划、实验室和其他资源。 - 在实验室计划中启用/禁用市场和自定义映像。 - 在实验室计划中附加/拆离计算库。 |
管理员 | 所有者 | 资源组 |
| 授予以下权限: - 在资源组中创建/管理实验室计划、实验室和其他资源。 - 在实验室计划中启用或禁用 Azure 市场和自定义映像。 但是,不能将角色分配给其他用户。 |
管理员 | 参与者 | 资源组 |
| 授予针对资源组中的所有实验室计划创建或管理个人实验室的权限。 | 实验室管理 | 实验室创建者 | 资源组 |
| 授予针对特定实验室计划创建或管理个人实验室的权限。 | 实验室管理 | 实验室创建者 | 实验室计划 |
| 授予共同管理实验室的权限,但不能创建实验室。 | 实验室管理 | 实验室参与者 | 实验室 |
| 授予仅针对资源组中所有实验室的启动/停止/重置 VM 映像的限。 | 实验室管理 | 实验室助理 | 资源组 |
| 授予仅针对特定实验室的启动/停止/重置 VM 映像的权限。 | 实验室管理 | 实验室助理 | 实验室 |
重要
组织订阅用于管理所有 Azure 资源和服务的计费和安全性。 可以分配订阅的“所有者”或“参与者”角色。 通常,只有管理员才具有订阅级别的访问权限,因为此角色包含针对订阅中的所有资源的访问权限。
管理员角色
若要授予用户管理组织订阅中的 Azure 实验室服务的权限,应向其分配所有者、参与者或实验室服务参与者角色。
在资源组上分配这些角色。 资源组中的实验室计划和实验室继承这些角色分配。
下表比较了在资源组上分配的不同管理员角色。
| 实验室计划/实验室 | 活动 | 所有者 | 参与者 | 实验室服务参与者 |
|---|---|---|---|---|
| 实验室计划 | 查看资源组中的所有实验室计划 | 是 | 是 | 是 |
| 实验室计划 | 创建、更改或删除资源组中的所有实验室计划 | 是 | 是 | 是 |
| 实验室计划 | 将角色分配给资源组中的实验室计划 | 是 | 否 | 否 |
| 实验室 | 在资源组中创建实验室** | 是 | 是 | 是 |
| 实验室 | 查看资源组中其他用户的实验室 | 是 | 是 | 是 |
| 实验室 | 更改或删除资源组中其他用户的实验室 | 是 | 是 | 否 |
| 实验室 | 向资源组中其他用户的实验室分配角色 | 是 | 否 | 否 |
** 用户将自动获得查看、更改设置、删除角色和为其创建的实验室分配角色的权限。
所有者角色
分配“所有者”角色以授予对创建或管理实验室计划和实验室的完全控制,并向其他用户授予权限。 当用户具有资源组的“所有者”角色时,可以针对资源组中的所有资源执行以下活动:
- 将角色分配给管理员,以便其管理实验室相关的资源。
- 将角色分配给实验室管理员,以便其创建和管理实验室。
- 创建实验室计划和实验室。
- 查看、删除和更改所有实验室计划的设置,包括附加或拆离计算库,以及在实验室计划中启用或禁用 Azure 市场和自定义映像。
- 查看、删除和更改所有实验室的设置。
注意
分配资源组的“所有者”或“参与者”角色时,这些权限也适用于资源组中存在的非实验室相关资源。 例如,虚拟网络、存储帐户、计算库等资源。
参与者角色
分配“参与者”角色,让用户完全控制创建或管理资源组中的实验室计划和实验室。 “参与者”角色具有与“所有者”角色相同的权限,但以下操作除外:
- 执行角色分配
实验室服务参与者角色
“实验室服务参与者”是管理员角色中最受限制的角色。 分配“实验室服务参与者”角色以启用与“所有者”角色相同的活动,但以下操作除外:
- 执行角色分配
- 更改或删除其他用户的实验室
注意
“实验室服务参与者”角色不允许更改与 Azure 实验室服务无关的资源。 另一方面,“参与者”角色允许更改资源组中的所有 Azure 资源。
实验室管理角色
使用以下角色授予用户创建和管理实验室的权限:
- 实验室创建者
- 实验室参与者
- 实验室助理
- 实验室服务读取者
这些实验室管理角色仅授予查看实验室计划的权限。 这些角色不允许创建、更改、删除角色或向实验室计划分配角色。 此外,具有这些角色的用户无法附加或拆离计算库,也不能启用或禁用虚拟机映像。
实验室创建者角色
分配“实验室创建者”角色以授予用户创建实验室的权限,并完全控制该角色创建的实验室。 例如,实验室创建者可以更改实验室的设置、删除实验室,甚至授予其他用户针对其实验室的权限。
分配资源组或实验室计划的“实验室创建者”角色。
下表比较了资源组或实验室计划的“实验室创建者”角色分配。
| 活动 | 资源组 | 实验室计划 |
|---|---|---|
| 在资源组中创建实验室** | 是 | 是 |
| 查看其创建的实验室 | 是 | 是 |
| 查看资源组中其他用户的实验室 | 是 | 否 |
| 更改或删除用户创建的实验室 | 是 | 是 |
| 更改或删除资源组中其他用户的实验室 | 否 | 否 |
| 向资源组中其他用户的实验室分配角色 | 否 | 否 |
** 用户将自动获得查看、更改设置、删除角色和为其创建的实验室分配角色的权限。
实验室参与者角色
分配“实验室参与者”角色,以授予用户帮助管理现有实验室的权限。
分配实验室的“实验室参与者”角色。
分配实验室的“实验室参与者”角色时,用户可以管理分配的实验室。 具体而言,用户:
- 可以查看、更改所有设置或删除分配的实验室。
- 用户无法查看其他用户的实验室。
- 无法创建新实验室。
实验室助手角色
分配“实验室助手”角色以授予用户查看实验室,以及为实验室启动、停止实验室虚拟机和重置实验室虚拟机映像的权限。
分配资源组或实验室的“实验室助手”角色。
在资源组上分配“实验室助手”角色时,用户:
- 可以查看资源组中的所有实验室,并为每个实验室启动、停止实验室虚拟机或重置实验室虚拟机映像。
- 无法删除或对实验室进行任何其他更改。
在实验室上分配“实验室助手”角色时,用户:
- 可以查看分配的实验室并启动、停止实验室虚拟机或重置实验室虚拟机的映像。
- 无法删除或对实验室进行任何其他更改。
- 无法创建新实验室。
具有“实验室助手”角色时,若要查看有权访问的其他实验室,请确保在 Azure 实验室服务网站中选择“所有实验室”筛选器。
实验室服务读者角色
分配“实验室服务读者”角色以授予用户查看现有实验室的权限。 用户无法对现有实验室进行任何更改。
分配资源组或实验室的“实验室服务读者”角色。
分配资源组的“实验室服务读者”角色时,用户可以:
- 查看资源组中的所有实验室。
分配实验室的“实验室服务读者”角色时,用户可以:
- 仅查看特定实验室。
标识和访问管理 (IAM)
Azure 门户中的“访问控制(IAM)”页面用于针对 Azure 实验室服务资源配置 Azure 基于角色的访问控制。 对于 Active Directory 中的个人和组,可使用内置角色。 以下屏幕截图显示在 Azure 门户中使用访问控制 (IAM) 的 Active Directory 集成 (Azure RBAC):
有关详细步骤,请参阅使用 Azure 门户分配 Azure 角色。
资源组和实验室计划结构
组织应提前投入时间来规划资源组和实验室计划的结构。 在资源组上分配角色时,这一点尤其重要,因为它还将权限应用于资源组中的所有资源。
若要确保仅向用户授予对相应资源的权限,请执行以下操作:
创建仅包含实验室相关资源的资源组。
根据应具有访问权限的用户,将实验室计划和实验室组织到单独的资源组中。
例如,你可以为不同的部门创建单独的资源组,以隔离每个部门的实验室资源。 然后,可以向一个部门中的实验室创建者授予针对资源组的权限,该权限仅授予实验室创建者针对其部门的实验室资源的访问权限。
重要
提前规划资源组和实验室计划结构,因为创建实验室计划或实验室后无法将其移动到其他资源组。
访问多个资源组
可以向用户授予针对多个资源组的访问权限。 在 Azure 实验室服务网站中,用户可以从资源组列表中选择以查看其实验室。
访问多个实验室计划
可以向用户授予针对多个实验室计划的访问权限。 例如,将“实验室创建者”角色分配给包含多个实验室计划的资源组上的用户时。 然后,用户可以在创建新实验室时从实验室计划列表中选择。
