Správa přístupu k prostředkům ve službě Azure Stack Hub pomocí řízení přístupu na základě role

  • Článek

Azure Stack Hub podporuje řízení přístupu na základě role (RBAC), což je stejný model zabezpečení pro správu přístupu , který používá Microsoft Azure. Pomocí RBAC můžete spravovat přístup uživatelů, skupin nebo aplikací k předplatným, prostředkům a službám.

Základy správy přístupu

Řízení přístupu na základě role (RBAC) poskytuje podrobné řízení přístupu, které můžete použít k zabezpečení vašeho prostředí. Uživatelům přesně získáte oprávnění, která potřebují, přiřazením role RBAC v určitém rozsahu. Oborem přiřazení role může být předplatné, skupina prostředků nebo jeden prostředek. Podrobnější informace o správě přístupu najdete v Access Control na základě rolí v článku Azure Portal.

Poznámka

Pokud je služba Azure Stack Hub nasazená pomocí Active Directory Federation Services (AD FS) jako zprostředkovatele identity, podporují se pro scénáře řízení přístupu na základě role pouze univerzální skupiny.

Vestavěné role

Azure Stack Hub má tři základní role, které můžete použít pro všechny typy prostředků:

  • Vlastník: může spravovat všechno, včetně přístupu k prostředkům.
  • Přispěvatel: může spravovat všechno kromě přístupu k prostředkům.
  • Čtenář: může zobrazit všechno, ale nemůže provádět žádné změny.

Hierarchie prostředků a dědičnost

Azure Stack Hub má následující hierarchii prostředků:

  • Každé předplatné patří do jednoho adresáře.
  • Každá skupina prostředků patří do jednoho předplatného.
  • Každý prostředek patří do jedné skupiny prostředků.

Přístup, který udělíte v nadřazený obor, se dědí v podřízených oborech. Příklad:

  • Roli Čtenář přiřadíte skupině Microsoft Entra v oboru předplatného. Členové této skupiny můžou zobrazit všechny skupiny prostředků a prostředky v předplatném.
  • Roli Přispěvatel přiřadíte aplikaci v oboru skupiny prostředků. Aplikace může spravovat prostředky všech typů v této skupině prostředků, ale ne jiné skupiny prostředků v předplatném.

Přiřazování rolí

Uživateli můžete přiřadit více rolí a každá role může být přidružená k jinému oboru. Příklad:

  • Roli Čtenář TestUser-A přiřadíte předplatnéMu-1.
  • Roli Vlastníka přiřadíte TestUser-A virtuálnímu počítači TestVM-1.

Článek o přiřazení rolí Azure obsahuje podrobné informace o zobrazení, přiřazování a odstraňování rolí.

Nastavení přístupových oprávnění pro uživatele

Následující postup popisuje, jak nakonfigurovat oprávnění pro uživatele.

  1. Přihlaste se pomocí účtu, který má oprávnění vlastníka prostředku, který chcete spravovat.

  2. V levém navigačním podokně zvolte Skupiny prostředků.

  3. Zvolte název skupiny prostředků, pro kterou chcete nastavit oprávnění.

  4. V navigačním podokně skupiny prostředků zvolte Řízení přístupu (IAM).
    Zobrazení Přiřazení rolí obsahuje seznam položek, které mají přístup ke skupině prostředků. Výsledky můžete filtrovat a seskupovat.

  5. Na řádku nabídek Řízení přístupu zvolte Přidat.

  6. V podokně Přidat oprávnění :

    • V rozevíracím seznamu Role zvolte roli, kterou chcete přiřadit.
    • V rozevíracím seznamu Přiřadit přístup k vyberte prostředek, který chcete přiřadit.
    • V adresáři vyberte uživatele, skupinu nebo aplikaci, kterým chcete udělit přístup. V adresáři můžete vyhledávat pomocí zobrazovaných názvů, e-mailových adres a identifikátorů objektů.

  7. Vyberte Uložit.

Další kroky

Vytvoření instančních objektů