Řízení přístupu na základě role v Azure Lab Services
Azure Lab Services poskytuje integrované řízení přístupu na základě role v Azure (Azure RBAC) pro běžné scénáře správy ve službě Azure Lab Services. Jednotlivec, který má profil v Microsoft Entra ID, může tyto role Azure přiřadit uživatelům, skupinám, instančním objektům nebo spravovaným identitám za účelem udělení nebo zamítnutí přístupu k prostředkům a operacím s prostředky Azure Lab Services. Tento článek popisuje různé předdefinované role, které Azure Lab Services podporuje.
Řízení přístupu na základě role v Azure (RBAC) je autorizační systém založený na Azure Resource Manageru , který poskytuje jemně odstupňovanou správu přístupu k prostředkům Azure.
Azure RBAC určuje předdefinované definice rolí, které popisují oprávnění, která se mají použít. Tuto definici role přiřadíte uživateli nebo skupině prostřednictvím přiřazení role pro konkrétní obor. Oborem může být jednotlivý prostředek, skupina prostředků nebo předplatné. V další části se dozvíte, které předdefinované role Azure Lab Services podporují.
Další informace najdete v tématu Co je řízení přístupu na základě role v Azure (Azure RBAC)?
Poznámka:
Když provedete změny přiřazení role, může trvat několik minut, než se tyto aktualizace rozšíří.
Předdefinované role
V tomto článku jsou předdefinované role Azure logicky seskupené do dvou typů rolí na základě jejich rozsahu vlivu:
- role Správa istrator: vliv oprávnění pro plány testovacího prostředí a testovací prostředí
- Role správy testovacích prostředí: vliv oprávnění pro testovací prostředí
Níže jsou uvedené předdefinované role podporované službou Azure Lab Services:
| Typ role | Předdefinovaná role | Popis |
|---|---|---|
| Správce | Vlastník | Udělte úplné řízení vytváření a správě plánů testovacích prostředí a udělte oprávnění jiným uživatelům. Přečtěte si další informace o roli Vlastník. |
| Správce | Přispěvatel | Udělte úplné řízení pro vytváření a správu plánů testovacích prostředí a testovacích prostředí s výjimkou přiřazování rolí jiným uživatelům. Přečtěte si další informace o roli Přispěvatel. |
| Správce | Přispěvatel služby Lab Services | Udělte stejná oprávnění jako role Vlastník s výjimkou přiřazování rolí. Přečtěte si další informace o roli Přispěvatel služby Lab Services. |
| Správa testovacího prostředí | Autor testovacího prostředí | Udělte oprávnění k vytváření testovacích prostředí a mít úplnou kontrolu nad testovacími prostředími, která vytvářejí. Přečtěte si další informace o roli Tvůrce testovacího prostředí. |
| Správa testovacího prostředí | Přispěvatel testovacího prostředí | Udělte oprávnění ke správě existujícího testovacího prostředí, ale ne k vytváření nových testovacích prostředí. Přečtěte si další informace o roli Přispěvatel testovacího prostředí. |
| Správa testovacího prostředí | Pomocník pro cvičení | Udělte oprávnění k zobrazení existujícího testovacího prostředí. Může také spustit, zastavit nebo znovu vytvořit libovolný virtuální počítač v testovacím prostředí. Přečtěte si další informace o roli Pomocník pro testovací prostředí. |
| Správa testovacího prostředí | Čtenář služby Lab Services | Udělte oprávnění k zobrazení existujících testovacích prostředí. Přečtěte si další informace o roli Čtenář služby Lab Services. |
Obor přiřazení role
V Azure RBAC je rozsah sadou prostředků, na které se přístup vztahuje. Když přiřadíte roli, je důležité pochopit rozsah, abyste udělili jenom potřebný přístup.
V Azure můžete zadat obor na čtyřech úrovních: skupina pro správu, předplatné, skupina prostředků a prostředek. Obory jsou strukturovány ve vztahu nadřazený-podřízený obor. Každá úroveň hierarchie zpřístupňuje obor konkrétněji. Role můžete přiřadit na kterékoli z těchto úrovní oboru. Úroveň, kterou vyberete, určuje, jak široce se role použije. Nižší úrovně dědí oprávnění role z vyšších úrovní. Přečtěte si další informace o rozsahu azure RBAC.
Pro Azure Lab Services zvažte následující obory:
| Scope | Popis |
|---|---|
| Předplatné | Používá se ke správě fakturace a zabezpečení pro všechny prostředky a služby Azure. Přístup na úrovni předplatného mají obvykle jenom správci, protože toto přiřazení role uděluje přístup ke všem prostředkům v předplatném. |
| Skupina prostředků | Logický kontejner pro seskupení prostředků. Přiřazení role pro skupinu prostředků uděluje oprávnění ke skupině prostředků a všem prostředkům v ní, jako jsou testovací prostředí a plány testovacího prostředí. |
| Plán testovacího prostředí | Prostředek Azure použitý k použití běžných nastavení konfigurace při vytváření testovacího prostředí. Přiřazení role pro plán testovacího prostředí uděluje oprávnění pouze konkrétnímu plánu testovacího prostředí. |
| Testovací prostředí | Prostředek Azure používaný k použití běžných nastavení konfigurace pro vytváření a spouštění virtuálních počítačů testovacího prostředí. Přiřazení role pro testovací prostředí uděluje oprávnění pouze konkrétnímu testovacímu prostředí. |
Důležité
Ve službě Azure Lab Services jsou plány testovacích prostředí a testovací prostředí vzájemně stejné prostředky. V důsledku toho testovací prostředí nedědí žádná přiřazení rolí z plánu testovacího prostředí. Přiřazení rolí ze skupiny prostředků se ale dědí podle plánů testovacího prostředí a testovacích prostředí v této skupině prostředků.
Role pro běžné aktivity testovacího prostředí
Následující tabulka uvádí běžné aktivity testovacího prostředí a roli, kterou uživatel potřebuje k provedení této aktivity.
| Aktivita | Typ role | Role | Obor |
|---|---|---|---|
| Udělte oprávnění k vytvoření skupiny prostředků. Skupina prostředků je logický kontejner v Azure pro uchovávání plánů testovacího prostředí a testovacích prostředí. Před vytvořením plánu testovacího prostředí nebo testovacího prostředí musí tato skupina prostředků existovat. | Správce | Vlastník nebo Přispěvatel | Předplatné |
| Udělte oprávnění k odeslání lístku podpory Microsoftu, včetně žádosti o kapacitu. | Správce | Vlastník, Přispěvatel, Přispěvatel žádosti o podporu | Předplatné |
| Udělení oprávnění: – Přiřaďte role jiným uživatelům. – Vytvořte nebo spravujte plány testovacího prostředí, testovací prostředí a další prostředky v rámci skupiny prostředků. – Povolení nebo zakázání marketplace a vlastních imagí v plánu testovacího prostředí – Připojte nebo odpojte výpočetní galerii v plánu testovacího prostředí. |
Správce | Vlastník | Skupina prostředků |
| Udělení oprávnění: – Vytvořte nebo spravujte plány testovacího prostředí, testovací prostředí a další prostředky v rámci skupiny prostředků. – Povolení nebo zakázání Azure Marketplace a vlastních imagí v plánu testovacího prostředí Ne však možnost přiřazovat role jiným uživatelům. |
Správce | Přispěvatel | Skupina prostředků |
| Udělte oprávnění k vytváření nebo správě vlastních testovacích prostředí pro všechny plány testovacích prostředí v rámci skupiny prostředků. | Správa testovacího prostředí | Autor testovacího prostředí | Skupina prostředků |
| Udělte oprávnění k vytváření nebo správě vlastních testovacích prostředí pro konkrétní plán testovacího prostředí. | Správa testovacího prostředí | Autor testovacího prostředí | Plán testovacího prostředí |
| Udělte oprávnění ke spolusprávě testovacího prostředí, ale ne k vytváření testovacích prostředí. | Správa testovacího prostředí | Přispěvatel testovacího prostředí | Testovací prostředí |
| Udělte oprávnění pouze ke spuštění, zastavení nebo opětovnému vytvoření image virtuálních počítačů pro všechna testovací prostředí v rámci skupiny prostředků. | Správa testovacího prostředí | Pomocník pro cvičení | Skupina prostředků |
| Udělte oprávnění pouze ke spuštění, zastavení nebo opětovnému vytvoření image virtuálních počítačů pro konkrétní testovací prostředí. | Správa testovacího prostředí | Pomocník pro cvičení | Testovací prostředí |
Důležité
Předplatné organizace slouží ke správě fakturace a zabezpečení všech prostředků a služeb Azure. Roli Vlastník nebo Přispěvatel můžete přiřadit k předplatnému. Obvykle mají přístup na úrovni předplatného jenom správci, protože to zahrnuje úplný přístup ke všem prostředkům v předplatném.
Role správce
Pokud chcete uživatelům udělit oprávnění ke správě služby Azure Lab Services v rámci předplatného vaší organizace, měli byste jim přiřadit roli Vlastník, Přispěvatel nebo Přispěvatel služby Lab Services.
Přiřaďte tyto role ve skupině prostředků. Plány testovacího prostředí a testovací prostředí v rámci skupiny prostředků dědí tato přiřazení rolí.
Následující tabulka porovnává různé role správce, když jsou přiřazeny ke skupině prostředků.
| Plán testovacího prostředí nebo testovací prostředí | Aktivita | Vlastník | Přispěvatel | Přispěvatel služby Lab Services |
|---|---|---|---|---|
| Plán testovacího prostředí | Zobrazení všech plánů testovacího prostředí v rámci skupiny prostředků | Ano | Ano | Yes |
| Plán testovacího prostředí | Vytvoření, změna nebo odstranění všech plánů testovacího prostředí ve skupině prostředků | Ano | Ano | Yes |
| Plán testovacího prostředí | Přiřazení rolí k plánům testovacího prostředí v rámci skupiny prostředků | Ano | Ne | Ne |
| Testovací prostředí | Vytvoření testovacích prostředí v rámci skupiny prostředků** | Ano | Ano | Yes |
| Testovací prostředí | Zobrazení testovacích prostředí jiných uživatelů v rámci skupiny prostředků | Ano | Ano | Yes |
| Testovací prostředí | Změna nebo odstranění testovacích prostředí jiných uživatelů v rámci skupiny prostředků | Ano | Ano | No |
| Testovací prostředí | Přiřazení rolí do testovacích prostředí jiných uživatelů v rámci skupiny prostředků | Ano | Ne | Ne |
** Uživatelům se automaticky udělí oprávnění k zobrazení, změně nastavení, odstranění a přiřazování rolí pro testovací prostředí, která vytvoří.
Role vlastníka
Přiřaďte roli Vlastník, abyste uživateli udělili úplnou kontrolu nad vytvářením nebo správou plánů testovacích prostředí a testovacích prostředí a udělte oprávnění jiným uživatelům. Pokud má uživatel roli Vlastník ve skupině prostředků, může provádět následující aktivity napříč všemi prostředky v rámci skupiny prostředků:
- Přiřaďte role správcům, aby mohli spravovat prostředky související s testovacím prostředím.
- Přiřaďte role správcům testovacích prostředí, aby mohli vytvářet a spravovat testovací prostředí.
- Vytvořte plány testovacího prostředí a testovací prostředí.
- Zobrazení, odstranění a změna nastavení pro všechny plány testovacího prostředí, včetně připojení nebo odpojení galerie výpočetních prostředků a povolení nebo zakázání Azure Marketplace a vlastních imagí v plánech testovacího prostředí.
- Zobrazení, odstranění a změna nastavení pro všechna testovací prostředí
Upozornění
Když přiřadíte roli Vlastník nebo Přispěvatel ve skupině prostředků, použijí se tato oprávnění také na prostředky, které nejsou v testovacím prostředí, které ve skupině prostředků existují. Například prostředky, jako jsou virtuální sítě, účty úložiště, výpočetní galerie a další.
Role přispěvatele
Přiřaďte roli Přispěvatel, která uživateli poskytne úplnou kontrolu nad vytvářením nebo správou testovacích prostředí a testovacích prostředí v rámci skupiny prostředků. Role Přispěvatel má stejná oprávnění jako role Vlastník, s výjimkou :
- Provádění přiřazení rolí
Role Přispěvatel služby Lab Services
Přispěvatel služby Lab Services je nejvíce omezující role správce. Přiřaďte roli Přispěvatel služby Lab Services, aby se povolily stejné aktivity jako role Vlastník, s výjimkou :
- Provádění přiřazení rolí
- Změna nebo odstranění testovacích prostředí jiných uživatelů
Poznámka:
Role Přispěvatel služby Lab Services neumožňuje změny prostředků, které nesouvisejí se službou Azure Lab Services. Na druhou stranu role Přispěvatel umožňuje změny všech prostředků Azure v rámci skupiny prostředků.
Role správy testovacího prostředí
Pomocí následujících rolí udělte uživatelům oprávnění k vytváření a správě testovacích prostředí:
- Autor testovacího prostředí
- Přispěvatel testovacího prostředí
- Pomocník pro cvičení
- Čtenář služby Lab Services
Tyto role správy testovacích prostředí udělují oprávnění jenom k zobrazení plánů testovacího prostředí. Tyto role neumožňují vytváření, změny, odstraňování nebo přiřazování rolí k plánům testovacího prostředí. Uživatelé s těmito rolemi navíc nemůžou připojit ani odpojit výpočetní galerii a povolit nebo zakázat image virtuálních počítačů.
Role Tvůrce testovacího prostředí
Přiřaďte roli Autor testovacího prostředí, abyste uživateli dali oprávnění k vytváření testovacích prostředí a měli plnou kontrolu nad testovacími prostředími, která vytvoří. Můžou například změnit nastavení testovacího prostředí, odstranit jejich testovací prostředí a dokonce udělit ostatním uživatelům oprávnění ke svým testovacím prostředím.
Přiřaďte roli Tvůrce testovacího prostředí pro skupinu prostředků nebo plán testovacího prostředí.
Následující tabulka porovnává přiřazení role Tvůrce testovacího prostředí pro skupinu prostředků nebo plán testovacího prostředí.
| Aktivita | Skupina prostředků | Plán testovacího prostředí |
|---|---|---|
| Vytvoření testovacích prostředí v rámci skupiny prostředků** | Ano | Yes |
| Zobrazení vytvořených testovacích prostředí | Ano | Yes |
| Zobrazení testovacích prostředí jiných uživatelů v rámci skupiny prostředků | Ano | No |
| Změna nebo odstranění testovacích prostředí vytvořených uživatelem | Ano | Yes |
| Změna nebo odstranění testovacích prostředí jiných uživatelů v rámci skupiny prostředků | No | Ne |
| Přiřazení rolí do testovacích prostředí jiných uživatelů v rámci skupiny prostředků | No | Ne |
** Uživatelům se automaticky udělí oprávnění k zobrazení, změně nastavení, odstranění a přiřazování rolí pro testovací prostředí, která vytvoří.
Role Přispěvatel testovacího prostředí
Přiřaďte roli Přispěvatel testovacího prostředí, která uživateli udělí oprávnění ke správě existujícího testovacího prostředí.
Přiřaďte roli Přispěvatel testovacího prostředí v testovacím prostředí.
Když přiřadíte roli Přispěvatel testovacího prostředí v testovacím prostředí, může uživatel spravovat přiřazené testovací prostředí. Konkrétně uživatel:
- Může zobrazit, změnit všechna nastavení nebo odstranit přiřazené testovací prostředí.
- Uživatel nemůže zobrazit testovací prostředí jiných uživatelů.
- Nejde vytvořit nová testovací prostředí.
Role Pomocníka pro cvičení
Přiřaďte roli Pomocníka pro testovací prostředí, abyste uživateli udělili oprávnění k zobrazení testovacího prostředí a spuštění, zastavení a opětovnému vytvoření testovacích virtuálních počítačů pro testovací prostředí.
Přiřaďte roli Pomocníka pro testovací prostředí ve skupině prostředků nebo testovacím prostředí.
Když přiřadíte roli Pomocníka pro testovací prostředí ve skupině prostředků, uživatel:
- Může zobrazit všechna testovací prostředí ve skupině prostředků a spustit, zastavit nebo znovu vytvořit virtuální počítače testovacího prostředí pro každé testovací prostředí.
- V testovacích prostředích není možné odstranit ani provádět žádné další změny.
Když v testovacím prostředí přiřadíte roli Pomocník pro testovací prostředí, uživatel:
- Může zobrazit přiřazené testovací prostředí a spustit, zastavit nebo znovu vytvořit virtuální počítače testovacího prostředí.
- V testovacím prostředí se nedají odstranit ani provádět žádné další změny.
- Nejde vytvořit nová testovací prostředí.
Pokud máte roli Pomocníka pro testovací prostředí, abyste zobrazili další testovací prostředí, ke kterým máte udělený přístup, nezapomeňte zvolit filtr Všechna testovací prostředí na webu Azure Lab Services.
Role Čtenář služby Lab Services
Přiřaďte roli Čtenář služby Lab Services k udělení uživatelského oprávnění k zobrazení existujících testovacích prostředí. Uživatel nemůže v existujících testovacích prostředích provádět žádné změny.
Přiřaďte roli Čtenář služby Lab Services ve skupině prostředků nebo testovacím prostředí.
Když přiřadíte roli Čtenář služby Lab Services ve skupině prostředků, uživatel může:
- Zobrazte všechna testovací prostředí ve skupině prostředků.
Když uživateli přiřadíte roli Čtenář služby Lab Services v testovacím prostředí, může uživatel:
- Prohlédněte si jenom konkrétní testovací prostředí.
Správa identit a řízení přístupu (IAM)
Stránka Řízení přístupu (IAM) na webu Azure Portal slouží ke konfiguraci řízení přístupu na základě role v prostředcích Azure Lab Services. Předdefinované role můžete použít pro jednotlivce a skupiny ve službě Active Directory. Následující snímek obrazovky ukazuje integraci služby Active Directory (Azure RBAC) pomocí řízení přístupu (IAM) na webu Azure Portal:
Podrobný postup najdete v tématu Přiřazování rolí Azure s využitím webu Azure Portal.
Struktura plánu skupiny prostředků a testovacího prostředí
Vaše organizace by měla předem investovat do plánování struktury skupin prostředků a plánů testovacího prostředí. To je zvlášť důležité, pokud přiřazujete role ve skupině prostředků, protože také používá oprávnění pro všechny prostředky ve skupině prostředků.
Pokud chcete zajistit, aby uživatelům bylo uděleno oprávnění pouze k příslušným prostředkům:
Vytvořte skupiny prostředků, které obsahují pouze prostředky související s testovacím prostředím.
Plány testovacích prostředí a testovací prostředí uspořádejte do samostatných skupin prostředků podle uživatelů, kteří by měli mít přístup.
Můžete například vytvořit samostatné skupiny prostředků pro různá oddělení, abyste izolovali prostředky testovacího prostředí jednotlivých oddělení. Tvůrci testovacích prostředí v jednom oddělení pak můžou mít udělená oprávnění ke skupině prostředků, která jim udělí přístup jenom k prostředkům testovacího prostředí jejich oddělení.
Důležité
Naplánujte předem strukturu skupin prostředků a plánu testovacího prostředí, protože po vytvoření není možné přesunout plány testovacího prostředí nebo testovací prostředí do jiné skupiny prostředků.
Přístup k několika skupinám prostředků
Uživatelům můžete udělit přístup k více skupinám prostředků. Na webu Azure Lab Services si pak uživatel může vybrat ze seznamu skupin prostředků a zobrazit jejich testovací prostředí.
Přístup k více plánům testovacího prostředí
Uživatelům můžete udělit přístup k více plánům testovacího prostředí. Když například přiřadíte roli Autor testovacího prostředí uživateli ve skupině prostředků, která obsahuje více než jeden plán testovacího prostředí. Uživatel si pak může při vytváření nového testovacího prostředí vybrat ze seznamu plánů testovacího prostředí.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro