使用角色型存取控制來管理 Azure 本機虛擬機

適用於：Azure 本機版本 23H2

本文說明如何使用角色型存取控制（RBAC）來控制對 Azure 本機上執行的 Arc 虛擬機（VM）的存取。

您可以使用內建的 RBAC 角色來控制對 VM 和 VM 資源的存取，例如虛擬磁碟、網路介面、VM 映像、邏輯網路和記憶體路徑。您可以將這些角色指派給使用者、群組、服務主體和受控識別。

關於內建的 RBAC 角色

若要控制 Azure 本機上的 VM 和 VM 資源的存取，您可以使用下列 RBAC 角色：

Azure Stack HCI 系統管理員 - 此角色會授與 Azure 本機實例及其資源的完整存取權。 Azure Stack HCI 系統管理員可以註冊系統，並將 Azure Stack HCI VM 參與者和 Azure Stack HCI VM 讀取者角色指派給其他使用者。他們也可以建立共享資源，例如邏輯網路、VM 映像和記憶體路徑。
Azure Stack HCI VM 參與者 - 此角色會授與執行所有 VM 動作的許可權，例如啟動、停止、重新啟動 VM。 Azure Stack HCI VM 參與者可以建立和刪除 VM，以及連結至 VM 的資源和擴充功能。 Azure Stack HCI VM 參與者無法註冊系統或指派角色給其他使用者，也無法建立系統共用的資源，例如邏輯網路、VM 映射和記憶體路徑。
Azure Stack HCI VM 讀取者 - 此角色會授與許可權，只檢視 VM。 VM 讀取器無法在 VM 或 VM 資源和擴充功能上執行任何動作。

下表描述 VM 和各種 VM 資源每個角色所授與的 VM 動作。 VM 資源會參考建立 VM 所需的資源，並包含虛擬磁碟、網路介面、VM 映射、邏輯網路和記憶體路徑：

內建角色	VM	VM 資源
Azure Stack HCI 系統管理員	建立、列出、刪除 VM 啟動、停止、重新啟動 VM	建立、列出、刪除所有 VM 資源，包括邏輯網路、VM 映像和記憶體路徑
Azure Stack HCI VM 參與者	建立、列出、刪除 VM 啟動、停止、重新啟動 VM	建立、列出、刪除邏輯網路、VM 映像和記憶體路徑以外的所有 VM 資源
Azure Stack HCI VM 讀取器	列出所有 VM	列出所有 VM 資源

開始之前，請確定已符合下列先決條件：

您可以透過 Azure 入口網站將 RBAC 角色指派給使用者。請遵循下列步驟，將 RBAC 角色指派給使用者：

在 Azure 入口網站中，搜尋要授與存取權的範圍，例如搜尋訂用帳戶、資源群組或特定資源。在此範例中，我們會使用 Azure Local 部署所在的訂用帳戶。
移至您的訂用帳戶，然後移至 訪問控制（IAM） > 角色指派。從頂端命令行選取 [+ 新增 ]，然後選取 [ 新增角色指派]。

如果您沒有指派角色的許可權，則會停用 [ 新增角色指派 ] 選項。
在 [ 角色] 索引標籤上，選取要指派的 RBAC 角色，並從下列其中一個內建角色中選擇：
- Azure Stack HCI 系統管理員
- Azure Stack HCI VM 參與者
- Azure Stack HCI VM 讀取器
在 [ 成員] 索引標籤上 ，選取 [使用者]、[群組] 或服務主體。同時選取要指派角色的成員。
檢閱角色並加以指派。
確認角色指派。移至 [存取權 > 檢視 > 我的存取權。您應該會看到角色指派。