使用角色型訪問控制來管理 Azure Stack Hub 中資源的存取權
Azure Stack Hub 支援角色型存取控制 (RBAC),這是與 Azure Microsoft使用之存取管理 相同的 安全性模型。 您可以使用 RBAC 來管理訂用帳戶、資源和服務的使用者、群組或應用程式存取權。
存取管理的基本概念
角色型訪問控制 (RBAC) 提供更細緻的訪問控制,可讓您用來保護您的環境。 您可以在特定範圍指派 RBAC 角色,為使用者提供所需的確切許可權。 角色指派的範圍可以是訂用帳戶、資源群組或單一資源。 如需存取管理的詳細資訊,請參閱 Azure 入口網站中的 Role-Based 訪問控制 一文。
注意
使用 Active Directory 同盟服務作為識別提供者部署 Azure Stack Hub 時,RBAC 案例僅支援通用群組。
內建角色
Azure Stack Hub 有三個基本角色,您可以套用至所有資源類型:
- 擁有者:授與管理所有資源的完整存取權,包括指派 Azure Stack RBAC 中角色的能力。
- 參與者:授與管理所有資源的完整存取權,但不允許您在 Azure Stack RBAC 中指派角色。
- 讀者:可以檢視一切內容,但無法進行任何變更。
資源階層和繼承
Azure Stack Hub 具有下列資源階層:
- 每個訂用帳戶都屬於一個目錄。
- 每個資源群組都屬於一個訂用帳戶。
- 每個資源都屬於一個資源群組。
您在父範圍授與的存取權會由子範圍繼承。 例如:
- 您會將 讀者 角色指派給訂用帳戶範圍的 Microsoft Entra 群組。 該群組的成員可以檢視訂用帳戶中的每個資源群組和資源。
- 您可以將 參與者 角色指派給資源群組範圍的應用程式。 應用程式可以管理該資源群組中所有類型的資源,但無法管理訂用帳戶中的其他資源群組。
指派角色
您可以將多個角色指派給使用者,而且每個角色都可以與不同的範圍相關聯。 例如:
- 您會將 TestUser-A 讀取者 角色指派給 Subscription-1。
- 您會將 TestUser-A 擁有者 角色指派給 TestVM-1。
Azure 角色指派 一文提供檢視、指派和刪除角色的詳細資訊。
設定使用者的訪問許可權
下列步驟說明如何設定用戶的許可權。
使用具有您要管理之資源擁有者許可權的帳戶登入。
在左側瀏覽窗格中,選擇 [資源群組]。
選擇您要設定權限的資源群組名稱。
在資源群組瀏覽窗格中,選擇 存取控制 (IAM)。
角色指派 檢視會列出有權存取資源群組的項目。 您可以篩選並分組結果。在 [存取控制] 功能表欄上,選擇 [新增]。
在 [新增權限] 窗格上:
- 從 角色 下拉式清單中選擇您要指派的角色。
- 從 [指派存取權給] 下拉式清單中,選擇您想要指派的資源。
- 選取您想要授與存取權的目錄中的使用者、群組或應用程式。 您可以使用顯示名稱、電子郵件地址和物件識別碼來搜尋目錄。
選取 [儲存]。