Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje různé předdefinované role, které Microsoft Dev Box podporuje a jak se mapují na role organizace, jako je inženýr platformy a správce vývojářů.
Řízení přístupu na základě role v Azure (RBAC) určuje předdefinované definice rolí, které popisují oprávnění, která se mají použít. Tuto definici role přiřadíte uživateli nebo skupině prostřednictvím přiřazení role pro konkrétní obor. Oborem může být jednotlivý prostředek, skupina prostředků nebo předplatné. V další části se dozvíte, které předdefinované role Microsoft Dev Box podporuje.
Další informace najdete v tématu Co je řízení přístupu na základě role v Azure (Azure RBAC)?
Poznámka:
Když provedete změny přiřazení role, může trvat několik minut, než se tyto aktualizace rozšíří.
Předdefinované role
V tomto článku jsou předdefinované role Azure logicky seskupené do tří typů rolí organizace na základě jejich rozsahu vlivu:
Role inženýra platformy: vliv oprávnění pro vývojová centra, katalogy a projekty
Dev Manager: vliv oprávnění pro projektové prostředky
Role pro vývojáře: vliv oprávnění pro uživatele
Microsoft Dev Box podporuje následující předdefinované role:
| Typ role organizace | Předdefinovaná role | Popis |
|---|---|---|
| Inženýr platformy | Vlastník | Udělte úplné řízení pro vytváření a správu vývojových center, katalogů a projektů a udělte oprávnění ostatním uživatelům. Přečtěte si další informace o roli Vlastník. |
| Inženýr platformy | Přispěvatel | Udělte úplné řízení pro vytváření a správu vývojových center, katalogů a projektů s výjimkou přiřazování rolí jiným uživatelům. Přečtěte si další informace o roli Přispěvatel. |
| Dev Manager | Správce projektu DevCenter | Udělte oprávnění ke správě určitých aspektů projektů a vývojových polí. Přečtěte si další informace o roli správce projektu DevCenter. |
| Vývojář | Uživatel Dev Boxu | Udělte oprávnění k vytváření vývojových polí a mít úplnou kontrolu nad vývojovými poli, která vytvářejí. Přečtěte si další informace o roli uživatele Dev Boxu. |
Obor přiřazení role
V Azure RBAC je rozsah sadou prostředků, na které se přístup vztahuje. Když přiřadíte roli, je důležité pochopit rozsah, abyste udělili jenom potřebný přístup.
V Azure můžete zadat obor na čtyřech úrovních: skupina pro správu, předplatné, skupina prostředků a prostředek. Obory jsou strukturovány ve vztahu nadřazený-podřízený obor. Každá úroveň hierarchie zpřístupňuje obor konkrétněji. Role můžete přiřadit na kterékoli z těchto úrovní oboru. Úroveň, kterou vyberete, určuje, jak široce se role použije. Nižší úrovně dědí oprávnění role z vyšších úrovní. Přečtěte si další informace o rozsahu azure RBAC.
Pro Microsoft Dev Box zvažte následující obory:
| Scope | Popis |
|---|---|
| Předplatné | Používá se ke správě fakturace a zabezpečení pro všechny prostředky a služby Azure. Přístup na úrovni předplatného mají obvykle jenom technici platformy, protože toto přiřazení role uděluje přístup ke všem prostředkům v předplatném. |
| Skupina prostředků | Logický kontejner pro seskupení prostředků. Přiřazení role pro skupinu prostředků uděluje oprávnění ke skupině prostředků a všem prostředkům v ní, jako jsou vývojová centra, definice vývojového pole, fondy vývojových polí, projekty a vývojové rámečky. |
| Dev Center (prostředek) | Kolekce projektů, které vyžadují podobná nastavení. Přiřazení role pro dev center uděluje oprávnění k samotnému vývojovému centru. Oprávnění přiřazená pro vývojová centra nejsou zděděna jinými prostředky vývojového boxu. |
| Projekt (zdroj) | Prostředek Azure použitý k použití běžných nastavení konfigurace při vytváření vývojového pole. Přiřazení role pro projekt uděluje oprávnění pouze danému projektu. |
| Fond dev boxů (zdroj) | Kolekce vývojových polí, která spravujete společně a na které použijete podobná nastavení. Přiřazení role pro fond vývojových boxů uděluje oprávnění pouze danému konkrétnímu fondu vývojových boxů. |
| Definice vývojového pole (prostředek) | Prostředek Azure, který určuje zdrojovou image a velikost, včetně velikosti výpočetních prostředků a velikosti úložiště. Přiřazení role pro definici vývojového pole uděluje oprávnění pouze této konkrétní definici vývojového pole. |
Role pro běžné aktivity Dev Boxu
V následující tabulce jsou uvedeny běžné aktivity Dev Boxu a role potřebná k provedení této aktivity uživatelem.
| Aktivita | Typ role | Role | Obor |
|---|---|---|---|
| Udělte oprávnění k vytvoření skupiny prostředků. | Inženýr platformy | Vlastník nebo Přispěvatel | Předplatné |
| Udělte oprávnění k odeslání lístku podpory Microsoftu, včetně žádosti o kapacitu. | Inženýr platformy | Vlastník, Přispěvatel, Přispěvatel žádosti o podporu | Předplatné |
| Udělte oprávnění k vytváření virtuálních sítí a podsítí. | Inženýr platformy | Přispěvatel sítě | Skupina prostředků |
| Udělte oprávnění k vytvoření síťového připojení. | Inženýr platformy | Vlastník nebo Přispěvatel | Skupina prostředků |
| Udělte oprávnění k přiřazování rolí jiným uživatelům. | Inženýr platformy | Vlastník | Skupina prostředků |
| Udělení oprávnění: – Vytváření a správa vývojových center - Přidejte nebo odeberte síťová připojení. – Přidání nebo odebrání výpočetních galerií Azure – Vytváření a správa definic vývojových boxů. - Vytváření a správa projektů. - Připojte nebo spravujte katalog k vývojovému centru nebo projektu (katalogy na úrovni projektu musí být povoleny ve vývojovém centru). – Nakonfigurujte limity vývojových boxů. |
Inženýr platformy | Přispěvatel | Skupina prostředků |
| Udělte oprávnění k přidání nebo odebrání síťového připojení pro vývojové centrum. | Inženýr platformy | Přispěvatel | Dev Center |
| Udělte oprávnění k povolení nebo zakázání katalogů projektů. | Dev Manager | Přispěvatel | Dev Center |
| Udělení oprávnění: – Přidání, synchronizace, odebrání katalogu (katalogy na úrovni projektu musí být povoleny ve vývojovém centru). – Vytvořte fondy vývojových boxů. - Zastavte, spusťte, odstraňte vývojové rámečky ve fondech. |
Dev Manager | Správce projektu DevCenter | Projekt |
| Vytvářejte a spravujte vlastní vývojové rámečky v projektu. | Uživatelská | Uživatel Dev Boxu | Projekt |
| Vytvářejte a spravujte katalogy v úložišti GitHub nebo Azure Repos. | Dev Manager | Neřídí se RBAC.
– Uživatel musí mít přiřazená oprávnění prostřednictvím Azure DevOps nebo GitHubu. |
Repository |
Důležité
Předplatné organizace slouží ke správě fakturace a zabezpečení všech prostředků a služeb Azure. Roli Vlastník nebo Přispěvatel můžete přiřadit k předplatnému. Přístup na úrovni předplatného mají obvykle jenom technici platformy, protože to zahrnuje úplný přístup ke všem prostředkům v předplatném.
Role inženýra platformy
Pokud chcete uživatelům udělit oprávnění ke správě Microsoft Dev Boxu v rámci předplatného vaší organizace, měli byste jim přiřadit roli Vlastník nebo Přispěvatel .
Přiřaďte tyto role ke skupině prostředků. Vývojová centra, síťová připojení, definice vývojového pole, fondy vývojových polí a projekty v rámci skupiny prostředků dědí tato přiřazení rolí.
Role vlastníka
Přiřaďte roli Vlastník, která uživateli poskytne úplné řízení, aby vytvořil nebo spravil prostředky Dev Boxu a udělil oprávnění jiným uživatelům. Pokud má uživatel roli Vlastník ve skupině prostředků, může provádět následující aktivity ve všech prostředcích v rámci skupiny prostředků:
Přiřaďte role technikům platformy, aby mohli spravovat prostředky Dev Boxu.
Vytváření vývojových center, síťových připojení, definic dev boxů, fondů vývojových boxů a projektů
Zobrazení, odstranění a změna nastavení pro všechna vývojová centra, síťová připojení, definice vývojových polí, fondy vývojových polí a projekty.
Připojte a odpojte katalogy.
Upozornění
Když přiřadíte roli Vlastník nebo Přispěvatel ve skupině prostředků, použijí se tato oprávnění také na prostředky, které nesouvisely s Dev Boxem, které existují ve skupině prostředků.
Role přispěvatele
Přiřaďte roli Přispěvatel, která uživateli poskytne úplnou kontrolu nad vytvářením nebo správou vývojových center a projektů v rámci skupiny prostředků. Role Přispěvatel má stejná oprávnění jako role Vlastník, s výjimkou :
- Provádění přiřazení rolí
Role Dev Manageru
Existuje jedna role správce vývoje: Správce projektu DevCenter. Tato role má omezenější oprávnění na nižší úrovni než role inženýra platformy. Tuto roli můžete přiřadit správcům vývojářů, aby mohli provádět úlohy správy pro svůj tým.
Role správce projektu DevCenter
Přiřaďte správce projektu DevCenter, aby povolil:
Přidání, synchronizace, odebrání katalogu (katalogy na úrovni projektu musí být povolené ve vývojovém centru).
Vytvořte fondy vývojových boxů.
Zastavte, spusťte, odstraňte vývojová pole ve fondech.
Role vývojáře
Existuje jedna vývojářská role: Uživatel Dev Boxu. Tato role umožňuje vývojářům vytvářet a spravovat vlastní vývojové rámečky.
Uživatel Dev Boxu
Přiřaďte roli uživatele Dev Boxu, která uživatelům udělí oprávnění k vytváření vývojových polí a mají plnou kontrolu nad vývojovými poli, která vytvářejí. Vývojáři můžou s libovolným polem pro vývoj, které vytvoří, provádět následující akce:
- Vytvoření
- Spuštění a zastavení
- Restartovat
- Zpoždění plánovaného vypnutí
- Odstranění
Správa identit a řízení přístupu (IAM)
Stránka Řízení přístupu (IAM) na webu Azure Portal slouží ke konfiguraci řízení přístupu na základě role v prostředcích Microsoft Dev Boxu v Azure. Předdefinované role můžete použít pro jednotlivce a skupiny ve službě Active Directory. Následující snímek obrazovky ukazuje integraci služby Active Directory (Azure RBAC) pomocí řízení přístupu (IAM) na webu Azure Portal:
Podrobný postup najdete v tématu Přiřazování rolí Azure s využitím webu Azure Portal.
Vývojové centrum, skupina prostředků a struktura projektu
Vaše organizace by měla investovat čas předem, abyste mohli naplánovat umístění vývojových center a strukturu skupin prostředků a projektů.
Vývojová centra: Uspořádejte vývojová centra podle sady projektů, které chcete spravovat společně, použití podobných nastavení a poskytování podobných šablon.
Organizace můžou používat jedno nebo více vývojových center. Každá podřízená organizace v rámci organizace má obvykle vlastní vývojové centrum. V následujících případech můžete zvážit vytvoření několika vývojových center:
Pokud chcete, aby byly určité konfigurace dostupné pro podmnožinu projektů.
Pokud různé týmy potřebují vlastnit a udržovat prostředek vývojového centra v Azure.
Projekty: Přidružené ke každému vývojovému týmu nebo skupině lidí pracujících na jedné aplikaci nebo produktu.
Plánování je zvlášť důležité, když přiřadíte role ke skupině prostředků, protože také aplikuje oprávnění na všechny prostředky ve skupině prostředků, včetně vývojových center, síťových připojení, definic dev boxů, fondů dev boxů a projektů.
Pokud chcete zajistit, aby uživatelům bylo uděleno oprávnění pouze k příslušným prostředkům:
Vytvořte skupiny prostředků, které obsahují pouze prostředky Dev Boxu.
Uspořádejte projekty podle definice vývojového pole a fondů vývojových boxů a vývojářů, kteří by měli mít přístup. Je důležité si uvědomit, že fondy vývojových boxů určují umístění vytvoření vývojového rámečku. Vývojáři by měli vytvářet vývojové rámečky v umístění blízko nich, aby měli nejnižší latenci.
Můžete například vytvořit samostatné projekty pro různé vývojářské týmy, které izolují prostředky jednotlivých týmů. Vývojáři v projektu se pak dají přiřadit k roli Správce projektu, která jim udělí přístup jenom k prostředkům svého týmu.
Důležité
Naplánujte strukturu předem, protože po vytvoření není možné přesunout prostředky Dev Boxu, jako jsou projekty, do jiné skupiny prostředků.
Struktura katalogu
Microsoft Dev Box používá katalogy, které vývojářům umožňují nasazovat vlastní nastavení pro vývojová pole pomocí katalogu úloh a souboru přizpůsobení k instalaci softwaru, přidání rozšíření, klonování úložišť a další.
Microsoft Dev Box ukládá katalogy buď v úložišti GitHubu, nebo v úložišti Azure DevOps Services. Katalog můžete připojit k vývojovému centru nebo k projektu.
K vývojovému centru můžete připojit jeden nebo více katalogů a spravovat všechna přizpůsobení na této úrovni. Pokud chcete zajistit podrobnější úroveň přístupu vývojářů k přizpůsobením, můžete katalogy připojit na úrovni projektu. Při plánování připojení katalogů byste měli zvážit potřeby každého vývojového týmu.