Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure-Ressourcen werden in einer strukturierten Hierarchie verwaltet. Wenn Sie eine Azure RBAC-Benutzerrolle auf eine bestimmte Azure-Ressource anwenden, werden die Berechtigungen für die Rolle für die Ressource selbst sowie für ihre untergeordneten Ressourcen gewährt. Wenn Sie beispielsweise die Rolle RBAC-Besitzer auf eine Produktressource anwenden, verfügt der Benutzer über Besitzerberechtigungen für die Produktressource sowie für alle untergeordneten Gerätegruppen und Geräte.
Die Abbildung zeigt die Hierarchie der Azure Sphere-Ressourcentypen. Azure Sphere-Ressourcen umfassen Katalog, Produkt, Gerätegruppe und Gerät, und Sie können eine RBAC-Rolle auf jede dieser Ressourcen anwenden. Beachten Sie, dass Azure Sphere-Images, Katalogzertifikate und Bereitstellungen keine eigenständigen Ressourcen sind. Die Berechtigung für diese Elemente wird von der Ressource gesteuert, die sie besitzt. Berechtigungen für Bereitstellungen werden beispielsweise von der besitzenden Gerätegruppe gesteuert.
Integrierte RBAC-Rollen in Azure Sphere
Um eine einfache RBAC-Benutzerberechtigungsverwaltung zu ermöglichen, stellt Azure vorkonfigurierte Rollen bereit, die als integrierte Rollen bezeichnet werden. Es gibt allgemeine vordefinierte Azure-Rollen, die für alle Dienste gelten, sowie angepasste integrierte Rollen für bestimmte Dienste, die allgemeine Benutzeranforderungen des angegebenen Diensts erfüllen, einschließlich Azure Sphere. Wenn Ihr organization Benutzeranforderungen aufweist, die von den verfügbaren integrierten Rollen nicht erfüllt werden, können Sie benutzerdefinierte RBAC-Rollen mit präzisen Berechtigungen erstellen, die Ihren Geschäftsanforderungen entsprechen.
In der folgenden Tabelle werden die in Azure Sphere integrierten RBAC-Rollen beschrieben.
| Rollenname | Berechtigungen | Beispielverwendung |
|---|---|---|
| Azure Sphere-Leser | Schreibgeschützte Berechtigungen + Images herunterladen + Zertifikat und Zertifikatkette herunterladen | – Zuweisen zu einem Katalog, um dem Benutzer schreibgeschützten Zugriff auf alle Ressourcen im Katalog zu ermöglichen und dem Benutzer das Herunterladen des Katalogzertifikats und der Zertifikatkette zu ermöglichen. – Zuweisen zu einem Produkt, um dem Benutzer schreibgeschützten Zugriff auf dieses Produkt und seine untergeordneten Gerätegruppen und Geräte zu gewähren. – Zuweisen zu einer Gerätegruppe, um dem Benutzer schreibgeschützten Zugriff auf diese Gerätegruppe und ihre untergeordneten Geräte zu gewähren |
| Azure Sphere-Verleger | Sphere-Leseberechtigungen + Bilder hinzufügen + Besitznachweiszertifikat herunterladen + Gerätefunktionen herunterladen | – Zuweisen zu einem Katalog, damit ein Benutzer Dem Katalog Bilder hinzufügen und das Katalogzertifikat, die Zertifikatkette und das Besitznachweiszertifikat herunterladen kann, während der Benutzer auf den schreibgeschützten Zugriff für die untergeordneten Produkte, Gerätegruppen und Geräte des Katalogs beschränkt wird. Der schreibgeschützte Zugriff auf eine bestimmte untergeordnete Ressource kann überschrieben werden, indem der untergeordneten Ressource die Rolle Azure Sphere-Mitwirkender, Azure Sphere-Besitzer oder eine höhere Berechtigung zugewiesen wird. – Zuweisen zu einer Ressourcengruppe, wenn der Benutzer Azure Sphere-Verlegerberechtigungen für alle Azure Sphere-Kataloge in der Ressourcengruppe benötigt. – Bei der Zuweisung zu Produkten, Gerätegruppen und Geräten bietet die Rolle nur lesegeschützte Berechtigungen; Es wird empfohlen, stattdessen die Rolle "Azure Sphere-Leser" zuzuweisen. |
| Azure Sphere-Mitwirkender | Azure Sphere-Verlegerberechtigungen + Berechtigungen für alle Azure Sphere-Benutzeraktionen für die Ressource und ihre untergeordneten Ressourcen | – Anwenden auf eine Ressourcengruppe für Benutzer mit hohen Berechtigungen, die neue Azure Sphere-Kataloge innerhalb dieser Ressourcengruppe erstellen oder vorhandene Azure Sphere-Mandanten (Legacy) in die Ressourcengruppe integrieren müssen. – Auf einen bestimmten Katalog für Benutzer anwenden, die alle Benutzeraktionen ausführen und alle untergeordneten Ressourcen anzeigen müssen, die nur zu diesem Katalog gehören. – Anwenden auf ein Produkt oder eine Gerätegruppe für Benutzer, die alle Benutzeraktionen ausführen und alle untergeordneten Ressourcen anzeigen müssen, die nur zu diesem Produkt oder dieser Gerätegruppe gehören |
| Azure Sphere-Besitzer | Berechtigungen für Azure Sphere-Mitwirkende und Azure RBAC-Benutzerverwaltungsberechtigungen nur für Azure Sphere-bezogene Benutzerrollen | – Wenden Sie sich für eine Ressourcengruppe an, um die höchsten Berechtigungen für Azure Sphere-Benutzer zu erreichen, die alle Azure Sphere-Ressourcen innerhalb der Gruppe erstellen und verwalten müssen, sowie allen Azure Sphere-Ressourcen innerhalb der Gruppe RBAC-bezogene RBAC-Benutzerrollen zuweisen müssen. – Gilt für einen bestimmten Katalog für Benutzer, die alle Benutzeraktionen ausführen, alle untergeordneten Ressourcen anzeigen müssen, die nur zu diesem Katalog gehören, und um dem Katalog oder einer seiner untergeordneten Ressourcen Azure Sphere-bezogene RBAC-Benutzerrollen zuzuweisen. – Anwenden auf ein Produkt oder eine Gerätegruppe für Benutzer, die alle Benutzeraktionen ausführen und alle untergeordneten Ressourcen anzeigen müssen, die nur zu diesem Produkt oder dieser Gerätegruppe gehören, sowie Azure Sphere-bezogene RBAC-Benutzerrollen dem Produkt oder der Gerätegruppe zuweisen müssen. Hinweis: Die Azure Sphere-bezogenen RBAC-Benutzerrollen sind: Azure Sphere-Besitzer, Azure Sphere-Mitwirkender, Azure Sphere-Herausgeber, Azure Sphere-Leser, Überwachungsmitwirkender und Überwachungsleser. Die beiden letztgenannten Rollen beziehen sich auf Azure Monitor. |