Share via

Erstellen und Zuweisen einer vom Benutzer zugewiesenen verwalteten Identität

  • Artikel

In dieser Schrittanleitung erfahren Sie Folgendes:

  • Erstellen Sie eine vom Benutzer zugewiesene verwaltete Identität (User Assigned Managed Identity, UAMI) für Ihren Standortnetzwerkdienst (Site Network Service, SNS).
  • Weisen Sie diese Berechtigungen für vom Benutzer zugewiesene verwaltete Identität zu.

Die Anforderung für eine vom Benutzer zugewiesene verwaltete Identität und die erforderlichen Berechtigungen hängen vom Netzwerkdienstentwurf (Network Service Design, NSD) ab und müssen Ihnen vom Netzwerkdienst-Designer mitgeteilt worden sein.

Voraussetzungen

  • Sie müssen eine benutzerdefinierte Rolle über " Erstellen einer benutzerdefinierten Rolle" erstellt haben. In diesem Artikel wird davon ausgegangen, dass Sie die benutzerdefinierte Rolle "Benutzerdefinierte Rolle – AOSM-Dienstoperator-Zugriff auf Publisher" benannt haben.

  • Ihr Netzwerkdienst-Designer muss Ihnen mitgeteilt haben, welche anderen Berechtigungen Ihre verwaltete Identität erfordert und welche Network Function Definition Version (NFDV) Ihr SNS verwendet.

  • Um diese Aufgabe auszuführen, benötigen Sie entweder die Rolle "Besitzer" oder "Benutzerzugriffsadministrator" über die Ressource "Netzwerkfunktionsdefinitionsversion" von Ihrem ausgewählten Publisher. Sie müssen auch über eine Ressourcengruppe verfügen, für die Sie über die Rollenzuweisung "Besitzer" oder "Benutzerzugriffsadministrator" verfügen, um die verwaltete Identität zu erstellen und ihm Berechtigungen zuzuweisen.

Erstellen einer vom Benutzer zugewiesenen verwalteten Identität

Erstellen Sie eine vom Benutzer zugewiesene verwaltete Identität. Ausführliche Informationen finden Sie unter Erstellen einer vom Benutzer zugewiesenen verwalteten Identität für Ihren SNS.

Zuweisen einer benutzerdefinierten Rolle

Weisen Sie Ihrer vom Benutzer zugewiesenen verwalteten Identität eine benutzerdefinierte Rolle zu.

Auswählen des Bereichs zum Zuweisen einer benutzerdefinierten Rolle

Die Herausgeberressourcen, denen Sie die benutzerdefinierte Rolle zuweisen müssen, sind:

  • Die Netzwerkfunktionsdefinitionsversion(n)

Sie müssen entscheiden, ob Sie die benutzerdefinierte Rolle einzeln diesem NFDV oder einer übergeordneten Ressource wie der Herausgeberressourcengruppe oder der Netzwerkfunktionsdefinitionsgruppe zuweisen möchten.

Das Anwenden auf eine übergeordnete Ressource gewährt Zugriff auf alle untergeordneten Ressourcen. Wenn Sie z. B. auf die gesamte Herausgeberressourcengruppe anwenden, erhält die verwaltete Identität Zugriff auf:

  • Alle Netzwerkfunktionsdefinitionsgruppen und -versionen.

  • Alle Netzwerkdienstentwurfsgruppen und -versionen.

  • Alle Konfigurationsgruppenschemas.

Die benutzerdefinierten Rollenberechtigungen beschränken den Zugriff auf die Liste der hier gezeigten Berechtigungen:

  • Microsoft.HybridNetwork/Publisher/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/use/action

  • Microsoft.HybridNetwork/Publisher/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/read

  • Microsoft.HybridNetwork/Publisher/NetworkServiceDesignGroups/NetworkServiceDesignVersions/use/action

  • Microsoft.HybridNetwork/Publisher/NetworkServiceDesignGroups/NetworkServiceDesignVersions/read

  • Microsoft.HybridNetwork/Publisher/ConfigurationGroupSchemas/read

Hinweis

Geben Sie keinen Schreib- oder Löschzugriff auf eine dieser Herausgeberressourcen an.

Zuweisen einer benutzerdefinierten Rolle

  1. Greifen Sie auf die Azure-Portal zu, und öffnen Sie Ihren ausgewählten Bereich; Publisher-Ressourcengruppe oder Netzwerkfunktionsdefinitionsversion.

  2. Wählen Sie im seitlichen Menü dieses Elements die Zugriffssteuerung (IAM) aus.

  3. Wählen Sie "Rollenzuweisung hinzufügen" aus.

    Screenshot showing the publisher resource group access control page.

  4. Suchen Sie unter "Rollen der Auftragsfunktion" ihre benutzerdefinierte Rolle in der Liste, und fahren Sie dann mit "Weiter" fort.

    Screenshot showing the add role assignment screen.

  5. Wählen Sie "Verwaltete Identität" und dann "Mitglieder auswählen" und dann Ihre neue verwaltete Identität aus. Klicken Sie auf Auswählen.

    Screenshot showing the add role assignment and select managed identities.

  6. Wählen Sie Überprüfen und zuweisen aus.

Wiederholen der Rollenzuweisung

Wiederholen Sie die Rollenzuweisungsaufgaben für alle ausgewählten Bereiche.

Zuweisen der Rolle "Managed Identity Operator" zur verwalteten Identität selbst

  1. Wechseln Sie zum Azure-Portal, und suchen Sie nach verwalteten Identitäten.

  2. Wählen Sie "Identity-for-nginx-sns" aus der Liste der verwalteten Identitäten aus.

  3. Wählen Sie im Seitmenü die Zugriffssteuerung (IAM) aus.

  4. Wählen Sie "Rollenzuweisung hinzufügen" und dann die Rolle "Verwalteter Identitätsoperator " aus. Screenshot showing the Managed Identity Operator role add role assignment.

  5. Wählen Sie die Rolle " Managed Identity Operator" aus .

    Screenshot showing the Managed Identity Operator role.

  6. Wählen Sie Verwaltete Identität aus.

  7. Wählen Sie +Mitglieder aus, navigieren Sie zur vom Benutzer zugewiesenen verwalteten Identität, und fahren Sie mit der Aufgabe fort.

    Screenshot showing the Add role assignment screen with Managed identity selected.

Durch den Abschluss aller in diesem Artikel beschriebenen Aufgaben wird sichergestellt, dass der Standortnetzwerkdienst (Site Network Service, SNS) über die erforderlichen Berechtigungen verfügt, um in der angegebenen Azure-Umgebung effektiv zu funktionieren.

Zuweisen anderer erforderlicher Berechtigungen zur verwalteten Identität

Wiederholen Sie diesen Vorgang, um der von Ihrem Netzwerkdienst-Designer identifizierten verwalteten Identität weitere Berechtigungen zuzuweisen.