Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Um benutzerdefinierte Rollen zu definieren, die benutzern bestimmte Berechtigungen erteilen, können Sie Azure RBAC verwenden. Dieser Artikel enthält eine Liste von Beispielen, die Sie als Referenz zum Erstellen Ihrer benutzerdefinierten Rollen herunterladen und verwenden können.
Weitere Informationen zu benutzerdefinierten Rollen in Azure RBAC finden Sie unter Benutzerdefinierte Azure-Rollen.
Azure IoT-Vorgänge bieten auch integrierte Rollen, die für die Vereinfachung und sichere Zugriffsverwaltung für Azure IoT Operations-Ressourcen entwickelt wurden. Weitere Informationen finden Sie unter integrierten RBAC-Rollen für IoT-Vorgänge.
Beispiele für benutzerdefinierte Rollen
In den folgenden Abschnitten werden die benutzerdefinierten Azure IoT Operations-Rollen aufgeführt, die Sie als Referenz herunterladen und verwenden können. Diese benutzerdefinierten Rollen sind JSON-Dateien, die die spezifischen Berechtigungen und den Bereich für die Rolle auflisten, die Sie als Ausgangspunkt zum Erstellen eigener benutzerdefinierter Rollen verwenden sollten.
Hinweis
Die folgenden benutzerdefinierten Rollen sind nur Beispiele. Sie müssen die Berechtigungen in den JSON-Dateien entsprechend Ihren spezifischen Anforderungen überprüfen und ändern.
Onboarding-Rollen
Sie können eine Onboarding-Rolle definieren, die einem Benutzer ausreichende Berechtigungen erteilt, um den Azure Arc Connect-Prozess abzuschließen und Azure IoT Operations sicher bereitzustellen.
| Benutzerdefinierte Rolle | BESCHREIBUNG |
|---|---|
| Onboarding- | Dies ist privilegierte Rolle. Der Benutzer kann den Azure Arc Connect-Prozess abschließen und Azure IoT Operations sicher bereitstellen. |
Viewerrollen
Sie können verschiedene Viewer-Rollen definieren, die schreibgeschützten Zugriff auf die Azure IoT Operations-Instanz und deren Ressourcen gewähren. Diese Rollen sind nützlich für Benutzer, die die Instanz überwachen müssen, ohne Änderungen vorzunehmen.
| Benutzerdefinierte Rolle | BESCHREIBUNG |
|---|---|
| Instanzanzeige | Mit dieser Rolle kann der Benutzer die Azure IoT Operations-Instanz anzeigen. |
| Objektanzeige | Mit dieser Rolle kann der Benutzer die Ressourcen in der Azure IoT Operations-Instanz anzeigen. |
| Geräteanzeiger | Diese Rolle ermöglicht es dem Benutzer, die Geräte in der Azure IoT Operations-Instanz anzuzeigen. |
| Datenflussanzeige | Mit dieser Rolle kann der Benutzer die Datenflüsse in der Azure IoT Operations-Instanz anzeigen. |
| Datenflusszielanzeige | Mit dieser Rolle kann der Benutzer die Datenflussziele in der Azure IoT Operations-Instanz anzeigen. |
| MQ-Viewer | Mit dieser Rolle kann der Benutzer den MQTT-Broker in der Azure IoT Operations-Instanz anzeigen. |
| Betrachter | Mit dieser Rolle kann der Benutzer die Azure IoT Operations-Instanz anzeigen. Diese Rolle ist eine Kombination aus den Rollen Instance Viewer, Asset Viewer, Device Viewer, Data Flow Viewer, Data Flow Destination Viewer und MQ Viewer . |
Administratorrollen
Sie können verschiedene Administratorrollen definieren, die vollzugriff auf die Azure IoT Operations-Instanz und deren Ressourcen gewähren. Diese Rollen sind nützlich für Benutzer, die die Instanz und die zugehörigen Ressourcen verwalten müssen.
| Benutzerdefinierte Rolle | BESCHREIBUNG |
|---|---|
| Instanzadministrator | Dies ist privilegierte Rolle. Der Benutzer kann eine Instanz bereitstellen. Die Rolle umfasst Berechtigungen zum Erstellen und Aktualisieren von Instanzen, Brokern, Authentifizierungen, Listenern, Datenflowprofilen, Datenflowendpunkten, Schemaregistrierungen und vom Benutzer zugewiesenen Identitäten. Die Rolle enthält auch die Berechtigung zum Löschen von Instanzen. |
| Objektadministrator | Der Benutzer kann Objekte in der Azure IoT Operations-Instanz erstellen und verwalten. |
| Geräteadministrator | Der Benutzer kann Geräte in der Azure IoT Operations-Instanz erstellen und verwalten. |
| Datenflussadministrator | Der Benutzer kann Datenflüsse in der Azure IoT Operations-Instanz erstellen und verwalten. |
| Zieladministrator des Datenflusses | Der Benutzer kann Datenflussziele in der Azure IoT Operations-Instanz erstellen und verwalten. |
| MQ-Administrator | Der Benutzer kann den MQTT-Broker in der Azure IoT Operations-Instanz erstellen und verwalten. |
| Administrator | Dies ist privilegierte Rolle. Der Benutzer kann die Azure IoT Operations-Instanz erstellen und verwalten. Diese Rolle ist eine Kombination aus den Rollen Instanzadministrator, Asset-Administrator, Geräteadministrator, Datenflussadministrator, Datenfluss-Zieladministrator und MQ-Administrator . |
Hinweis
Die Beispielrollen "Ressourcenendpunktadministrator " und "Zieladministrator des Datenflusses " haben Zugriff auf Azure Key Vault und die Seite " Geheime Schlüssel verwalten" in der Web-Ui für Vorgänge. Auch wenn diese benutzerdefinierten Rollen auf Abonnementebene zugewiesen sind, können Benutzer nur die Liste der Schlüsseltresor aus der jeweiligen Ressourcengruppe anzeigen. Der Zugriff auf Schemaregistrierungen ist auch auf die Ressourcengruppenebene beschränkt.
Von Bedeutung
Derzeit zeigt die Benutzeroberfläche für Vorgänge eine irreführende Fehlermeldung an, wenn ein Benutzer versucht, auf eine Ressource zuzugreifen, für die er keine Berechtigungen besitzt. Der Zugriff auf die Ressource wird wie erwartet blockiert.
Erstellen einer benutzerdefinierten Rollendefinition
So bereiten Sie eine der benutzerdefinierten Beispielrollen vor:
Laden Sie die JSON-Datei für die benutzerdefinierte Rolle herunter, die Sie erstellen möchten. Die JSON-Datei enthält die Rollendefinition, einschließlich der Berechtigungen und des Bereichs für die Rolle.
Bearbeiten Sie die JSON-Datei, um den Platzhalterwert im
assignableScopesFeld durch Ihre Abonnement-ID zu ersetzen. Speichern Sie Ihre Änderungen.
So fügen Sie Ihre benutzerdefinierte Rolle ihrem Azure-Abonnement mithilfe des Azure-Portals hinzu:
Wechseln Sie zum Abonnement im Azure-Portal.
Wählen Sie Zugriffssteuerung (IAM) aus.
Wählen Sie "Benutzerdefinierte Rolle hinzufügen" > aus.
Geben Sie einen Namen ein, z. B. Onboarding und eine Beschreibung für die Rolle.
Wählen Sie "Start" aus JSON und dann die JSON-Datei aus, die Sie heruntergeladen haben. Der benutzerdefinierte Rollenname und die Benutzerdefinierte Beschreibung werden aus der Datei aufgefüllt.
Überprüfen Sie optional die Berechtigungen und zuweisungsfähigen Bereiche.
Wenn Sie Ihrem Abonnement die benutzerdefinierte Rolle hinzufügen möchten, wählen Sie "Überprüfen" und dann " Erstellen" aus.
Konfigurieren und Verwenden einer benutzerdefinierten Rolle
Nachdem Sie die benutzerdefinierten Rollen in Ihrem Abonnement erstellt haben, können Sie sie Benutzern, Gruppen oder Anwendungen zuweisen. Sie können Rollen auf Abonnement- oder Ressourcengruppenebene zuweisen. Das Zuweisen von Rollen auf der Ebene einer Ressourcengruppe ermöglicht die präziseste Steuerung.
So weisen Sie einem Benutzer mithilfe des Azure-Portals die benutzerdefinierte Rolle auf Ressourcengruppenebene zu:
Wechseln Sie im Azure-Portal zu Ihrer Ressourcengruppe.
Wählen Sie Zugriffssteuerung (IAM) aus.
Wählen Sie Hinzufügen > Rollenzuweisung hinzufügen aus.
Suchen Sie nach der benutzerdefinierten Rolle, die Sie zuweisen möchten, und wählen Sie sie aus. Wählen Sie Weiteraus.
Wählen Sie den Benutzer oder die Benutzer aus, dem Sie die Rolle zuweisen möchten. Sie können nach Benutzern nach Name oder E-Mail-Adresse suchen.
Wählen Sie "Überprüfen" und "Zuweisen " aus, um die Rollenzuweisung zu überprüfen. Wenn alles gut aussieht, wählen Sie "Zuweisen" aus.