你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
了解对 Azure Quantum 工作区的基于角色的访问
了解可用于管理对 Azure Quantum 工作区的访问权限的不同安全主体和角色。
Azure 基于角色的访问控制 (RBAC)
Azure 基于角色的访问控制(Azure RBAC) 是用于管理对 Azure 资源(例如工作区)的访问权限的授权系统。 若要授予访问权限,请将角色分配给安全主体。
安全主体
安全主体是表示用户、组、服务主体或托管标识的对象。
| 安全主体 | 定义 |
|---|---|
| 用户 | 登录到 Azure 以创建、管理和使用资源的用户帐户。 |
| 组 | 一组用户。 用于管理需要对资源的相同访问权限和权限的用户。 |
| 服务主体 | 需要访问资源的应用程序、服务或平台的用户标识。 |
| 托管的标识 | Azure Active Directory (Azure AD)中的自动托管标识,用于在连接到支持 Azure AD 身份验证的资源时使用的应用程序。 |
角色
授予对安全主体的访问权限时,可以分配 内置角色 或创建自定义 角色。 最常用的内置角色是所有者、参与者、Quantum 工作区数据参与者和 读取者。
| 角色 | 访问级别 |
|---|---|
| 所有者 | 授予管理所有资源的完全访问权限,包括允许在 Azure RBAC 中分配角色。 |
| 参与者 | 授予管理所有资源的完全访问权限,但不允许在 Azure RBAC 中分配角色。 |
| Quantum 工作区数据参与者 | 授予在工作区中提交和查看作业的权限,但不允许创建、删除或修改工作区。 |
| 读取者 | 查看所有资源,但不允许进行任何更改。 |
范围
角色在特定范围内分配。 范围是访问权限适用于的资源集。 范围采用父子关系结构。 层次结构的每个级别都会使范围更具针对性。 所选级别决定了角色的应用广泛程度。 较低级别继承较高级别的角色权限。 可以在范围四个级别分配角色:管理组、订阅、资源组或资源。
| 范围 | 说明 |
|---|---|
| 管理组 | 帮助你管理多个订阅的访问、策略和合规性。 管理组中的所有订阅会自动继承应用于该管理组的条件。 如果组织有多个订阅,则可能需要一个管理组。 |
| 订阅 | 以逻辑方式将 用户帐户 与其创建的资源相关联。 用户帐户是用户标识和一个或多个订阅。 订阅表示 Azure 资源的分组。 发票是在订阅范围内生成的。 必须具有具有活动订阅的帐户才能创建 Azure 资源。 有关订阅选项,请参阅 “创建 Azure Quantum 工作区”。 |
| 资源组 | 用于保存 Azure 解决方案相关资源的容器。 资源组包括你想要将其作为一个组进行管理的那些资源。 例如,在 Azure Quantum 中运行应用程序需要以下资源:
|
| 资源 | 可以创建的服务的实例,例如工作区或存储帐户。 |
注意
由于访问权限可以限定为 Azure 中的多个级别,因此用户可能在每个级别具有不同的角色。 例如,对工作区具有所有者访问权限的人可能没有对包含工作区的资源组的所有者访问权限。
创建工作区的角色要求
创建新工作区时,首先选择要与工作区关联的订阅、资源组和存储帐户。 创建工作区的能力取决于你拥有的访问权限级别,从订阅范围开始。 若要查看各种资源的授权,请参阅 “检查角色分配”。
订阅所有者
订阅所有者可以使用“快速创建”或“高级创建”选项创建工作区。 可以选择订阅下已存在的资源组和存储帐户,也可以创建新的资源组和存储帐户。 还可以向 其他用户分配角色 。
订阅参与者
订阅参与者可以使用“高级创建”选项创建工作区。
若要创建新的存储帐户,必须选择作为其所有者的现有资源组。
若要选择现有存储帐户,必须是存储帐户的所有者。 还必须选择存储帐户所属的现有资源组。
订阅参与者无法将角色分配给其他人。
订阅读者
订阅读取器无法创建工作区。 可以查看订阅下创建的所有资源,但无法进行任何更改或分配角色。
检查角色分配
检查订阅
若要查看订阅和关联角色的列表,请执行以下操作:
- 登录到 Azure 门户。
- 在“Azure 服务”标题下,选择“订阅”。 如果在此处看不到“订阅”,请使用搜索框查找它。
- 搜索框旁边的“订阅”筛选器可能默认为“订阅 == 全局筛选器”。 若要查看所有订阅的列表,请选择“订阅”筛选器,并 取消选择 “仅选择在...”中选择的订阅箱。 然后,选择“应用”。 然后,筛选器应显示订阅 == all。
检查资源
若要检查你或其他用户对特定资源的角色分配,请参阅 “检查用户对 Azure 资源的访问权限”。
分配角色
若要将新用户添加到工作区,你必须是工作区的所有者。 若要向 10 个或更少用户授予对工作区的访问权限,请参阅 “共享对 Azure Quantum 工作区的访问权限”。 若要向 10 多个用户授予访问权限,请参阅 向 Azure Quantum 工作区添加组。
若要在任何范围(包括订阅级别)分配任何资源的角色,请参阅使用Azure 门户分配 Azure 角色。
故障排除
有关常见问题的解决方案,请参阅 Azure Quantum 故障排除:创建 Azure Quantum 工作区。
你在 Azure 中创建资源(例如工作区)时,并不会直接成为该资源的所有者。 你的角色继承自你在该订阅中获得相应授权的最高范围角色。
创建新的角色分配时,它们有时可能需要长达一小时才能对堆栈中的缓存权限生效。