Sdílet prostřednictvím

Řízení přístupu na základě role pro službu Azure Batch

Služba Azure Batch podporuje sadu předdefinovaných rolí Azure, které poskytují různé úrovně oprávnění k účtu Azure Batch. Pomocí řízení přístupu na základě role v Azure (Azure RBAC) můžete autorizační systém pro správu individuálního přístupu k prostředkům Azure přiřadit konkrétní oprávnění uživatelům, instančním objektům nebo jiným identitám, které potřebují pracovat s vaším účtem Batch. Můžete také přiřadit vlastní role s vlastními jemně odstupňovanými oprávněními, která přizpůsobí váš konkrétní scénář použití.

Poznámka:

Všechny role RBAC (předdefinované i vlastní) jsou určené uživatelům ověřeným ID Microsoft Entra, ne pro přihlašovací údaje sdíleného klíče služby Batch. Přihlašovací údaje sdíleného klíče služby Batch poskytují úplná oprávnění k účtu Batch.

Přiřaďte Azure RBAC

Pomocí těchto kroků přiřaďte roli Azure RBAC uživateli, skupině, instančnímu objektu nebo spravované identitě. Podrobný postup najdete v tématu Přiřazení rolí Azure pomocí webu Azure Portal.

  1. Na webu Azure Portal přejděte ke svému konkrétnímu účtu Batch.

    Tip

    Azure RBAC můžete také nastavit pro celé skupiny prostředků, předplatná nebo skupiny pro správu. Uděláte to tak, že vyberete požadovanou úroveň oboru a pak přejdete na požadovanou položku. Vyberte například skupiny prostředků a pak přejděte na konkrétní skupinu prostředků.

  2. V levém navigačním panelu vyberte Řízení přístupu (IAM ).

  3. Na stránce Řízení přístupu (IAM) vyberte Přidat přiřazení role.

  4. Na stránce Přidat přiřazení role vyberte kartu Role a pak vyberte jednu z vestavěných rolí RBAC služby Azure Batch.

  5. Vyberte kartu Členové a v části Členové vyberte Vybrat členy.

  6. Na obrazovce Vybrat členy vyhledejte a vyberte uživatele, skupinu, instanční objekt nebo spravovanou identitu a pak vyberte Vybrat.

    Poznámka:

    Při konfiguraci aplikace pro ověřování služeb Azure Batch pomocí instančního objektu vyhledejte a vyberte aplikaci a nakonfigurujte její přístup a oprávnění k účtu Azure Batch.

  7. Na stránce Přidat přiřazení role vyberte Zkontrolovat a přiřadit.

Cílová identita by se teď měla zobrazit na kartě Přiřazení rolí na stránce Řízení přístupu (IAM) účtu Batch.

Předdefinované role RBAC služby Azure Batch

Azure Batch má několik předdefinovaných rolí, které řeší běžné scénáře uživatelů a zajišťuje efektivní přiřazení odpovídajících úrovní přístupu k účtu Azure Batch k identitě pro konkrétní povinnost.

Předdefinovaná role Popis ID
Přispěvatel účtu Azure Batch Uděluje úplný přístup ke správě všech prostředků Batch, včetně účtů Batch, fondů a úloh. 29fe4964-1e60-436b-bd3a-77fd4c178b3c
Čtenář účtu Azure Batch Tento nástroj umožňuje zobrazit všechny prostředky včetně fondů a úloh v účtu Batch. 11076f67-66f6-4be0-8f6b-f0609fd05cc9
Přispěvatel dat Azure Batch Uděluje oprávnění ke správě poolů a úloh Služby Batch, ale neumožňuje měnit účty. 6aaa78f1-f7de-44ca-8722-c64a23943cae
Odesílač úloh Azure Batch Umožňuje odesílat a spravovat úlohy v účtu Batch. 48e5e92e-a480-4e71-aa9c-2778f4c13781
Oprávnění Přispěvatel účtu Azure Batch Čtenář účtu Azure Batch Přispěvatel dat Azure Batch Odesílač úloh Azure Batch
Výpis účtů Batch nebo zobrazení vlastností účtu Batch
Vytvoření, aktualizace nebo odstranění účtu Batch
Výpis přístupových klíčů pro účet Batch
Opětovné vygenerování přístupových klíčů pro účet Batch
Seznam nebo zobrazení vlastností aplikací a balíčků aplikací v účtu Batch
Vytvoření, aktualizace nebo odstranění aplikací a balíčků aplikací v účtu Batch
Seznam nebo zobrazení vlastností certifikátů v účtu Batch
Vytvoření, aktualizace nebo odstranění certifikátů v účtu Batch
Výpis nebo zobrazení vlastností fondů na účtu Batch
Vytvoření, aktualizace nebo odstranění fondů na účtu Batch
Zobrazení nebo vypsání vlastností úloh v účtu Batch
Vytvoření, aktualizace nebo odstranění úloh v účtu Batch
Vypsání nebo zobrazení vlastností plánů úloh na Batch účtu
Vytvoření, aktualizace nebo odstranění plánů úloh v účtu Batch

Varování

Funkce certifikátu účtu Batch byla vyřazena.

Přispěvatel účtu Azure Batch

Uděluje úplný přístup ke správě všech prostředků Batch, včetně účtů Batch, fondů a úloh.

Akce Popis
Microsoft.Authorization/*/read Číst role a přiřazení rolí.
Microsoft.Insights/alertRules/* Vytvoření a správa klasického upozornění na metriky
Microsoft.Resources/deployments/* Vytvoření a správa nasazení
Microsoft.Resources/subscriptions/resourceGroups/read Načte nebo zobrazí seznam skupin prostředků.
Microsoft.Batch/*
NotActions
žádné
Datové akce
Microsoft.Batch/*
NotDataActions
žádné 
{
    "assignableScopes": [
        "/"
    ],
    "description": "Grants full access to manage all Batch resources, including Batch accounts, pools and jobs.",
    "id": "/providers/Microsoft.Authorization/roleDefinitions/29fe4964-1e60-436b-bd3a-77fd4c178b3c",
    "permissions": [
        {
            "actions": [
                "Microsoft.Authorization/*/read",
                "Microsoft.Batch/*",
                "Microsoft.Insights/alertRules/*",
                "Microsoft.Resources/deployments/*",
                "Microsoft.Resources/subscriptions/resourceGroups/read"
            ],
            "dataActions": [
                "Microsoft.Batch/*"
            ],
            "notActions": [],
            "notDataActions": []
        }
    ],
    "roleName": "Azure Batch Account Contributor",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions"
}

Čtenář účtu Azure Batch

Tento nástroj umožňuje zobrazit všechny prostředky včetně fondů a úloh v účtu Batch.

Akce Popis
Microsoft.Batch/*/read Zobrazit všechny prostředky v účtu Batch
Microsoft.Resources/subscriptions/resourceGroups/read Načte nebo zobrazí seznam skupin prostředků.
NotActions
žádné
Datové akce
Microsoft.Batch/*/read Zobrazit všechny prostředky v účtu Batch
NotDataActions
žádné 
{
    "assignableScopes": [
        "/"
    ],
    "description": "Lets you view all resources including pools and jobs in the Batch account.",
    "id": "/providers/Microsoft.Authorization/roleDefinitions/11076f67-66f6-4be0-8f6b-f0609fd05cc9",
    "permissions": [
        {
            "actions": [
                "Microsoft.Batch/*/read",
                "Microsoft.Resources/subscriptions/resourceGroups/read"
            ],
            "dataActions": [
                "Microsoft.Batch/*/read"
            ],
            "notActions": [],
            "notDataActions": []
        }
    ],
    "roleName": "Azure Batch Account Reader",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions"
}

Přispěvatel dat Azure Batch

Uděluje oprávnění ke správě poolů a úloh Služby Batch, ale neumožňuje měnit účty.

Akce Popis
Microsoft.Authorization/*/read Číst role a přiřazení rolí.
Microsoft.Batch/batchAccounts/read Zobrazí seznam účtů Batch nebo získá vlastnosti účtu Batch.
Microsoft.Batch/batchAccounts/applications/* Vytvářejte a spravujte aplikace a balíčky aplikací v účtu Batch.
Microsoft.Batch/batchAccounts/certificates/* Vytvořte a spravujte certifikáty v účtu Batch. (Upozornění: Funkce certifikátu byla vyřazena)
Microsoft.Batch/batchAccounts/certificateOperationResults/* Získá výsledky dlouhotrvající operace certifikátu v účtu Batch. (Upozornění: Funkce certifikátu byla vyřazena)
Microsoft.Batch/pools/* Vytvářejte a spravujte fondy na účtu Batch.
Microsoft.Batch/poolOperationResults/* Získá výsledky dlouhotrvající operace fondu na účtu Batch.
Microsoft.Batch/locations/*/read Získejte výsledek operace účtu Batch, kvótu služby Batch nebo podporovanou velikost virtuálního počítače v daném umístění.
Microsoft.Insights/alertRules/* Vytvoření a správa klasického upozornění na metriky
Microsoft.Resources/deployments/* Vytvoření a správa nasazení
Microsoft.Resources/subscriptions/resourceGroups/read Načte nebo zobrazí seznam skupin prostředků.
NotActions
žádné
Datové akce
Microsoft.Batch/batchAccounts/jobSchedules/* Vytvářejte a spravujte plány úloh v účtu Batch.
Microsoft.Batch/batchAccounts/jobs/* Vytváření a správa úloh na účtu Batch
NotDataActions
žádné 
{
    "assignableScopes": [
        "/"
    ],
    "description": "Grants permissions to manage Batch pools and jobs but not to modify accounts.",
    "id": "/providers/Microsoft.Authorization/roleDefinitions/6aaa78f1-f7de-44ca-8722-c64a23943cae",
    "permissions": [
        {
            "actions": [
                "Microsoft.Authorization/*/read",
                "Microsoft.Batch/batchAccounts/read",
                "Microsoft.Batch/batchAccounts/applications/*",
                "Microsoft.Batch/batchAccounts/certificates/*",
                "Microsoft.Batch/batchAccounts/certificateOperationResults/*",
                "Microsoft.Batch/batchAccounts/pools/*",
                "Microsoft.Batch/batchAccounts/poolOperationResults/*",
                "Microsoft.Batch/locations/*/read",
                "Microsoft.Insights/alertRules/*",
                "Microsoft.Resources/deployments/*",
                "Microsoft.Resources/subscriptions/resourceGroups/read"
            ],
            "dataActions": [
                "Microsoft.Batch/batchAccounts/jobSchedules/*",
                "Microsoft.Batch/batchAccounts/jobs/*"
            ],
            "notActions": [],
            "notDataActions": []
        }
    ],
    "roleName": "Azure Batch Data Contributor",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions"
}

Odesílač úloh Azure Batch

Umožňuje odesílat a spravovat úlohy v účtu Batch.

Akce Popis
Microsoft.Batch/batchAccounts/applications/read Zobrazí seznam aplikací nebo získá vlastnosti aplikace.
Microsoft.Batch/batchAccounts/applications/versions/read Získá vlastnosti balíčku aplikace.
Microsoft.Batch/pools/read Zobrazí seznam fondů na účtu Batch nebo získá vlastnosti fondu.
Microsoft.Insights/alertRules/* Vytvoření a správa klasického upozornění na metriky
Microsoft.Resources/subscriptions/resourceGroups/read Načte nebo zobrazí seznam skupin prostředků.
NotActions
žádné
Datové akce
Microsoft.Batch/batchAccounts/jobSchedules/* Vytvářejte a spravujte plány úloh v účtu Batch.
Microsoft.Batch/batchAccounts/jobs/* Vytváření a správa úloh na účtu Batch
NotDataActions
žádné 
{
    "assignableScopes": [
        "/"
    ],
    "description": "Lets you submit and manage jobs in the Batch account.",
    "id": "/providers/Microsoft.Authorization/roleDefinitions/48e5e92e-a480-4e71-aa9c-2778f4c13781",
    "permissions": [
        {
            "actions": [
                "Microsoft.Batch/batchAccounts/applications/read",
                "Microsoft.Batch/batchAccounts/applications/versions/read",
                "Microsoft.Batch/batchAccounts/pools/read",
                "Microsoft.Insights/alertRules/*",
                "Microsoft.Resources/subscriptions/resourceGroups/read"
            ],
            "dataActions": [
                "Microsoft.Batch/batchAccounts/jobSchedules/*",
                "Microsoft.Batch/batchAccounts/jobs/*"
            ],
            "notActions": [],
            "notDataActions": []
        }
    ],
    "roleName": "Azure Batch Job Submitter",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions"
}

Přiřazení vlastní role

Pokud předdefinované role Služby Azure Batch nevyhovují vašim potřebám, můžete vlastní role Azure použít k udělení podrobného oprávnění uživateli pro odesílání úloh, úkolů a dalších. Pomocí vlastní role můžete udělit nebo odepřít oprávnění k ID Microsoft Entra pro následující operace RBAC služby Azure Batch.

  • Microsoft.Batch/batchAccounts/pools/write
  • Microsoft.Batch/batchAccounts/pools/delete
  • Microsoft.Batch/batchAccounts/pools/read
  • Microsoft.Batch/batchAccounts/jobSchedules/write (zápis)
  • Microsoft.Batch/batchAccounts/jobSchedules/smazat
  • Microsoft.Batch/batchAccounts/jobSchedules/read
  • Microsoft.Batch/batchAccounts/jobs/write
  • Microsoft.Batch/batchAccounts/jobs/delete
  • Microsoft.Batch/batchAccounts/jobs/read
  • Microsoft.Batch/batchAccounts/certificates/write
  • Microsoft.Batch/batchAccounts/certificates/delete (Upozornění: Funkce certifikátu byla vyřazena)
  • Microsoft.Batch/batchAccounts/certificates/read (upozornění: Funkce certifikátu byla vyřazena)
  • Microsoft.Batch/batchAccounts/applications/write
  • Microsoft.Batch/batchAccounts/applications/delete
  • Microsoft.Batch/batchAccounts/applications/číst
  • microsoft.dávky/účtyDávky/aplikace/verze/zapsat
  • Microsoft.Batch/batchAccounts/applications/versions/smazat
  • Microsoft.Batch/batchAccounts/aplikace/verze/čtení
  • Microsoft.Batch/batchAccounts/read pro jakoukoli operaci čtení
  • Microsoft.Batch/batchAccounts/listKeys/action pro libovolnou operaci

Tip

Úlohy, které používají autopool, vyžadují oprávnění k zápisu na úrovni poolu.

Poznámka:

V poli actions je třeba zadat určitá přiřazení rolí, zatímco v poli dataActions je nutné zadat jiná. Abyste porozuměli plnému rozsahu schopností přiřazených ke specifikované roli, musíte prozkoumat jak actions, tak dataActions. Další informace najdete v tématu Operace poskytovatele prostředků Azure.

Následující příklad ukazuje definici vlastní role azure Batch:

{
 "properties":{
    "roleName":"Azure Batch Custom Job Submitter",
    "type":"CustomRole",
    "description":"Allows a user to submit autopool jobs to Azure Batch",
    "assignableScopes":[
      "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
    ],
    "permissions":[
      {
        "actions":[
          "Microsoft.Batch/*/read",
          "Microsoft.Batch/batchAccounts/pools/write",
          "Microsoft.Batch/batchAccounts/pools/delete",
          "Microsoft.Authorization/*/read",
          "Microsoft.Resources/subscriptions/resourceGroups/read",
          "Microsoft.Support/*",
          "Microsoft.Insights/alertRules/*"
        ],
        "notActions":[

        ],
        "dataActions":[
          "Microsoft.Batch/batchAccounts/jobs/*",
          "Microsoft.Batch/batchAccounts/jobSchedules/*"
        ],
        "notDataActions":[

        ]
      }
    ]
  }
}

Další kroky

  • Last updated on