Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Pokud chcete definovat vlastní role, které uživatelům uděluje konkrétní oprávnění, můžete použít Azure RBAC. Tento článek obsahuje seznam příkladů, které si můžete stáhnout a použít jako referenci k sestavení vlastních rolí.
Další informace o vlastních rolích v Azure RBAC najdete v tématu Vlastní role Azure.
Operace Azure IoT také nabízí předdefinované role navržené tak, aby zjednodušily a zabezpečily správu přístupu pro prostředky operací Azure IoT. Další informace najdete v tématu Předdefinované role RBAC pro operace IoT.
Příklady vlastních rolí
Následující části obsahují příklad vlastních rolí operací Azure IoT, které si můžete stáhnout a použít jako referenci. Tyto vlastní role jsou soubory JSON, které uvádějí konkrétní oprávnění a obor role, které byste měli použít jako výchozí bod k vytvoření vlastních rolí.
Poznámka:
Následující vlastní role jsou pouze příklady. Musíte zkontrolovat a upravit oprávnění v souborech JSON tak, aby vyhovovala vašim konkrétním požadavkům.
Role onboardingu
Můžete definovat roli onboardingu , která uživateli udělí dostatečná oprávnění k dokončení procesu připojení Azure Arc a bezpečnému nasazení operací Azure IoT.
| Vlastní role | Popis |
|---|---|
| Onboarding | Jedná se o privilegovanou roli. Uživatel může dokončit proces připojení Azure Arc a bezpečně nasadit operace Azure IoT. |
Role prohlížeče
Můžete definovat různé role prohlížeče , které uděluje přístup jen pro čtení k instanci Azure IoT Operations a jejím prostředkům. Tyto role jsou užitečné pro uživatele, kteří potřebují monitorovat instanci, aniž by museli provádět změny.
| Vlastní role | Popis |
|---|---|
| Prohlížeč instancí | Tato role uživateli umožňuje zobrazit instanci azure IoT Operations. |
| Prohlížeč prostředků | Tato role uživateli umožňuje zobrazit prostředky v instanci Azure IoT Operations. |
| Prohlížeč zařízení | Tato role umožňuje uživateli zobrazit zařízení v instanci Azure IoT Operations. |
| Prohlížeč toků dat | Tato role uživateli umožňuje zobrazit toky dat v instanci Azure IoT Operations. |
| Cílový prohlížeč toku dat | Tato role umožňuje uživateli zobrazit cíle toku dat v instanci Azure IoT Operations. |
| Prohlížeč MQ | Tato role umožňuje uživateli zobrazit zprostředkovatele MQTT v instanci Azure IoT Operations. |
| Prohlížející | Tato role uživateli umožňuje zobrazit instanci azure IoT Operations. Tato role je kombinací rolí Prohlížeč instance, Prohlížeč aktiv,Prohlížeč zařízení, Prohlížeč datového toku, Cílový prohlížeč datového toku a MQ prohlížeč . |
Role správce
Můžete definovat různé role správce , které udělí úplný přístup k instanci Azure IoT Operations a jejím prostředkům. Tyto role jsou užitečné pro uživatele, kteří potřebují spravovat instanci a její prostředky.
| Vlastní role | Popis |
|---|---|
| Správce instancí | Jedná se o privilegovanou roli. Uživatel může nasadit instanci. Role zahrnuje oprávnění k vytváření a aktualizaci instancí, zprostředkovatelů, ověřování, naslouchacích procesů, profilů toků dat, koncových bodů toku dat, registrů schémat a identit přiřazených uživatelem. Role obsahuje také oprávnění k odstranění instancí. |
| Správce prostředků | Uživatel může vytvářet a spravovat prostředky v instanci Azure IoT Operations. |
| Správce zařízení | Uživatel může vytvářet a spravovat zařízení v instanci Azure IoT Operations. |
| Správce toku dat | Uživatel může vytvářet a spravovat toky dat v instanci Azure IoT Operations. |
| Správce cíle toku dat | Uživatel může vytvářet a spravovat cíle toku dat v instanci Azure IoT Operations. |
| Správce MQ | Uživatel může vytvořit a spravovat zprostředkovatele MQTT v instanci Azure IoT Operations. |
| Administrátor | Jedná se o privilegovanou roli. Uživatel může vytvořit a spravovat instanci azure IoT Operations. Tato role je kombinací rolí správce instance, správce majetku, správce zařízení, správce datového toku, správce destinace datového toku a správce MQ . |
Poznámka:
Ukázkové role správce koncových bodů prostředků a cílového správce toku dat mají přístup ke službě Azure Key Vault a stránce Spravovat tajné kódy ve webovém uživatelském rozhraní provozního prostředí. I když jsou ale tyto vlastní role přiřazené na úrovni předplatného, uživatelé uvidí jenom seznam trezorů klíčů z konkrétní skupiny prostředků. Přístup k registrům schématu je také omezen na úroveň skupiny prostředků.
Důležité
Webové uživatelské rozhraní s provozním prostředím v současné době zobrazuje zavádějící chybovou zprávu, když se uživatel pokusí získat přístup k prostředku, ke kterým nemá oprávnění. Přístup k prostředku je zablokovaný podle očekávání.
Vytvoření vlastní definice role
Příprava jedné z ukázkových vlastních rolí:
Stáhněte soubor JSON pro vlastní roli, kterou chcete vytvořit. Soubor JSON obsahuje definici role, včetně oprávnění a oboru role.
Upravte soubor JSON a nahraďte zástupnou hodnotu v
assignableScopespoli ID vašeho předplatného. Uložte změny.
Přidání vlastní role do předplatného Azure pomocí webu Azure Portal:
Přejděte ke svému předplatnému na webu Azure Portal.
Vyberte Řízení přístupu (IAM) .
Vyberte Přidat > vlastní roli.
Zadejte název, například onboarding, a popis role.
Vyberte Spustit z JSON a pak vyberte soubor JSON, který jste stáhli. Název a popis vlastní role se vyplní ze souboru.
Volitelně můžete zkontrolovat oprávnění a přiřaditelné obory.
Pokud chcete do svého předplatného přidat vlastní roli, vyberte Zkontrolovat a vytvořit a pak vytvořit.
Konfigurace a použití vlastní role
Po vytvoření vlastních rolí v předplatném je můžete přiřadit uživatelům, skupinám nebo aplikacím. Role můžete přiřadit na úrovni předplatného nebo skupiny prostředků. Přiřazování rolí na úrovni skupiny prostředků umožňuje nejpodrobnější kontrolu.
Přiřazení vlastní role uživateli na úrovni skupiny prostředků pomocí webu Azure Portal:
Na webu Azure Portal přejděte ke své skupině prostředků.
Vyberte Řízení přístupu (IAM) .
Vyberte Přidat přiřazení role >.
Vyhledejte a vyberte vlastní roli, kterou chcete přiřadit. Vyberte Další.
Vyberte uživatele nebo uživatele, ke kterému chcete roli přiřadit. Uživatele můžete vyhledat podle jména nebo e-mailové adresy.
Výběrem možnosti Zkontrolovat a přiřadit zkontrolujte přiřazení role. Pokud všechno vypadá dobře, vyberte Přiřadit.