Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure IoT Operations (AIO) bietet zwei integrierte Rollen, die für die Vereinfachung und sichere Zugriffsverwaltung für AIO-Ressourcen konzipiert sind: Azure IoT Operations Administrator und Azure IoT Operations Onboarding. Wenn Für Ihr Szenario ein differenzierterer Zugriff erforderlich ist, können Sie eine benutzerdefinierte RBAC-Rolle erstellen.
Von Bedeutung
Die integrierten Rollen für AIO optimieren die Zugriffsverwaltung für AIO-Ressourcen, erteilen jedoch nicht automatisch Berechtigungen für alle erforderlichen Azure-Abhängigkeiten. AIO basiert auf mehreren Azure-Diensten, z. B. Azure Key Vault, Azure Storage, Azure Arc und anderen. Überprüfen Sie immer die erforderlichen zusätzlichen Rollen, um sicherzustellen, dass Benutzer end-to-End-Zugriff für eine erfolgreiche AIO-Bereitstellung und -Operation haben.
Azure IoT Operations-Administratorrolle
Die Azure IoT Operations Administrator-Rolle bietet umfassende Berechtigungen zum Verwalten und Betreiben aller Azure IoT Operations-Komponenten. Weisen Sie diese Rolle Benutzern zu, die vollzugriff auf die Verwendung von AIO-Ressourcen benötigen. Um die Bereitstellung und die fortlaufende Verwaltung von AIO zu unterstützen, benötigen Benutzer zusätzliche Berechtigungen. Wenn ein Benutzer nur AIO verwenden muss, können Sie die Administratorrolle allein zuweisen.
Wenn Sie diese integrierte Rolle zuweisen, müssen Sie sicherstellen, dass dem Benutzer auch die folgenden Rollen zugewiesen sind:
- Azure Edge Hardware Center-Administratorrolle: Diese Rolle gewährt Zugriff auf die Verwaltung und Aktion als Edgeauftragsadministrator. Sie wird zum Sortieren und Verwalten von Azure Stack Edge-Geräten verwendet.
- Azure Arc Enabled Kubernetes Cluster User role: Diese Rolle wird verwendet, um Azure Arc-fähige Kubernetes-Cluster zu verwalten, indem Sie die Berechtigung zum Schreiben von Bereitstellungen, zum Verwalten von Abonnements und zum Behandeln von verbundenen Clustern und Erweiterungen bereitstellen.
- Rolle des Schlüsseltresoradministrators: Mit dieser Rolle kann der Benutzer alle Aspekte von Azure Key Vaults verwalten, z. B. das Erstellen, Verwalten, Anzeigen und Löschen von Schlüsseln, Zertifikaten und geheimen Schlüsseln.
- Rolle "Kubernetes-Erweiterungsmitwirkender": Mit dieser Rolle können Benutzer Kubernetes-Erweiterungen verwalten, einschließlich Erstellen, Aktualisieren und Löschen von Erweiterungen.
- Rolle "Mitwirkender verwalteter Identität": Mit dieser Rolle kann der Benutzer verwaltete Identitäten verwalten, einschließlich Erstellen, Aktualisieren und Löschen von vom Benutzer zugewiesenen verwalteten Identitäten.
- Rolle "Mitwirkender überwachen": Mit dieser Rolle kann der Benutzer alle Überwachungsdaten lesen und Überwachungseinstellungen aktualisieren.
- Rolle "Mitwirkender der Ressourcengruppe": Diese Rolle gewährt Berechtigungen zum Verwalten von Ressourcen innerhalb einer Ressourcengruppe, einschließlich Erstellen, Aktualisieren und Löschen von Ressourcen.
- Rolle "Besitzer der Geheimspeichererweiterung": Mit dieser Rolle kann der Benutzer die Secrets Store-Erweiterung verwalten, die geheime Schlüssel aus Azure Key Vault mit Kubernetes-Clustern synchronisiert.
- Rolle "Mitwirkender des Speicherkontos": Mit dieser Rolle kann der Benutzer Speicherkonten verwalten, z. B. Das Erstellen, Aktualisieren und Löschen von Speicherkonten sowie das Verwalten von Zugriffstasten und anderen Einstellungen.
Azure IoT Operations Onboarding-Rolle
AIO Onboarding ist eine spezielle Rolle, die die erforderlichen Berechtigungen zum Bereitstellen von Azure IoT Operations-Komponenten bereitstellt.
Wenn Sie diese integrierte Rolle zuweisen, müssen Sie sicherstellen, dass dem Benutzer auch die folgenden Rollen zugewiesen sind:
- Azure Resource Bridge-Bereitstellungsrolle: Diese Rolle wird verwendet, um die Bereitstellung der Azure Resource Bridge zu verwalten. Sie enthält Berechtigungen zum Lesen, Schreiben und Löschen verschiedener Ressourcen im Zusammenhang mit der Ressourcenbrücke, z. B. Appliances, Standorte und Telemetriekonfigurationen.
- Kubernetes-Cluster – Azure Arc Onboarding-Rolle: Diese Rolle wird für das Onboarding von Kubernetes-Clustern in Azure Arc verwendet.
- Rolle "Mitwirkender des Speicherkontos": Mit dieser Rolle kann der Benutzer Speicherkonten verwalten, z. B. Das Erstellen, Aktualisieren und Löschen von Speicherkonten sowie das Verwalten von Zugriffstasten und anderen Einstellungen.
- Rolle "Mitwirkender der Ressourcengruppe": Diese Rolle gewährt Berechtigungen zum Verwalten von Ressourcen innerhalb einer Ressourcengruppe, einschließlich Erstellen, Aktualisieren und Löschen von Ressourcen.
- Azure Arc Enabled Kubernetes Cluster User role: Diese Rolle wird verwendet, um Azure Arc-fähige Kubernetes-Cluster zu verwalten, indem Sie die Berechtigung zum Schreiben von Bereitstellungen, zum Verwalten von Abonnements und zum Behandeln von verbundenen Clustern und Erweiterungen bereitstellen.