Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ihr Agent kann Probleme untersuchen, Maßnahmen für die Produktionsinfrastruktur ergreifen und auf vertrauliche Daten in Ihrer gesamten Umgebung zugreifen. Die Zugriffssteuerung bestimmt, wer Aktionen anfordern kann, wer sie genehmigen kann und wer die Konfiguration des Agents ändern kann.
Übersicht über die Zugriffssteuerung
Die Zugriffssteuerung funktioniert auf vier Ebenen.
| Ebene | Bedienelemente | Konfiguriert unter |
|---|---|---|
| Benutzerrollen (dieser Artikel) | Was Benutzer mit dem Agent tun können | Azure IAM auf der Agent-Ressource |
| Ausführungsmodi | Ob der Agent vor dem Handeln fragt | Pro Trigger und pro geplanter Vorgang |
| Agentidentität | Worauf der Agent in Azure zugreifen kann | RBAC-Rollen für Ressourcengruppen |
| OBO-Fallback | Temporärer Zugriff mit erhöhten Rechten | Administrator autorisiert bei Bedarf |
Drei integrierte Rollen
Ihr Agent enthält drei integrierte Azure RBAC-Rollen.
| Rolle | Möglich | Nicht machbar |
|---|---|---|
| SRE Agent Reader | Anzeigen von Threads, Protokollen, Vorfällen | Chat, Aktionen anfordern, alles ändern |
| SRE-Agent Standardbenutzer | Chat, Diagnose ausführen, Anforderungsaktionen | Genehmigen von Aktionen, Löschen von Ressourcen, Ändern von Connectors |
| SRE-Agent-Administrator | Genehmigen von Aktionen, Verwalten von Connectors, Löschen von Ressourcen | (Vollzugriff) |
Der Benutzer, der den Agent erstellt, erhält automatisch die Rolle des SRE-Agent-Administrators .
Wer sollte welche Rolle haben?
Verwenden Sie die folgenden Anleitungen, um Rollen basierend auf Teamaufgaben zuzuweisen.
| Rolle | Geben Sie |
|---|---|
| SRE Agent Reader | Auditoren, Complianceteams, Projektbeteiligte, die Sichtbarkeit benötigen |
| SRE-Agent Standardbenutzer | L1/L2 Ingenieure, Erste Antwortende, alle, die Probleme diagnostizieren |
| SRE-Agent-Administrator | SRE-Manager, Cloud-Administratoren, Vorfallbefehleführer |
So erzwingt das Portal Berechtigungen
Das Portal überprüft Ihre Azure-Rollenzuweisungen, wenn Sie auf den Agent zugreifen. Der Zugriff wird auf zwei Ebenen erzwungen.
Ebene 1: Kein Agentzugriff
Wenn Sie nicht über die Rollenzuweisung des SRE-Agents verfügen, zeigt das Portal einen Bildschirm "Zugriff erforderlich " mit einem Schildsymbol und einer Schaltfläche "Zur Zugriffssteuerung wechseln", über die das Azure IAM-Blatt geöffnet wird. Wenn Sie über die Rolle Azure-Eigentümer oder Mitwirkender für die Ressource verfügen, wird auch ein Banner angezeigt, das anbietet, die Administratorrolle automatisch zuzuweisen.
Ebene 2: Backend-Durchsetzung
Wenn Sie über eine SRE-Agent-Rolle verfügen, aber eine Aktion außerhalb Ihrer Berechtigungen versuchen (z. B. ein Leser versucht, eine Nachricht zu senden, oder ein Standardbenutzer, der versucht, einen Unteragent zu erstellen), blockiert das Back-End die Aktion mit einem 403-Fehler. Das Portal ermöglicht es Ihnen möglicherweise, zu einer Seite zu navigieren oder eine Schaltfläche auszuwählen, aber der Vorgang schlägt mit einem Berechtigungsfehler fehl, wenn er den Server erreicht.
Hinweis
Einige Portal-Features deaktivieren proaktiv Schaltflächen, wenn Sie keine Schreibberechtigungen besitzen (z. B. zeigt die Konnektorverwaltung deaktivierte Schaltflächen mit Tooltipps). Dieses Verhalten ist jedoch noch nicht in allen Features konsistent. Das Back-End erzwingt immer die richtigen Berechtigungen, unabhängig davon, was die Benutzeroberfläche anzeigt.
Welchen Zugriff jede Rolle hat
In der folgenden Tabelle wird die Zugriffsebene für jede Rolle in verschiedenen Bereichen des Portals zusammengefasst.
| Fläche | Reader | Standard-Benutzer | Administrator |
|---|---|---|---|
| Chat | Threads anzeigen (nur Lesezugriff) | Nachrichten senden, Threads starten | Vollzugriff, Genehmigen von Aktionen, Löschen von Threads |
| Subagent-Generator | Subagenten anzeigen | Subagenten anzeigen | Erstellen, Bearbeiten, Löschen von Subagenten |
| Wissensdatenbank | Durchsuchen von Dokumenten | Hochladen von Dokumenten | Hochladen und Löschen von Dokumenten |
| Verbinder | Anzeigen von Verbindern | Anzeigen von Verbindern | Hinzufügen, Bearbeiten, Löschen von Konnektoren |
| Antwortpläne | Anzeigen von Plänen | Anzeigen von Plänen | Erstellen, Bearbeiten, Löschen von Plänen |
| Verwaltete Ressourcen | Ressourcen anzeigen | Ressourcen anzeigen | Hinzufügen, Entfernen von Ressourcen |
| Einstellungen | Einstellungen anzeigen | Einstellungen anzeigen | Ändern von Einstellungen, Stoppen/Löschen eines Agenten |
Zuweisen von Rollen
Weisen Sie Rollen über das Azure-Portal (Access Control (IAM)>Add role assignment) oder mithilfe der Azure CLI zu.
az role assignment create \
--assignee user@company.com \
--role "SRE Agent Administrator" \
--scope <AGENT_RESOURCE_ID>
Ersetzen Sie den Rollennamen durch SRE Agent Standard User oder SRE Agent Reader nach Bedarf.
Um die Ressourcen-ID Ihres Agents zu finden, führen Sie den folgenden Befehl aus:
az resource show \
--resource-group <RESOURCE_GROUP> \
--name <AGENT_NAME> \
--resource-type Microsoft.SREAgent/agents \
--query id -o tsv
Wie Rollen zusammenarbeiten
Das folgende Beispiel zeigt, wie Rollen während eines Aktionsgenehmigungsworkflows interagieren. Ein Techniker fordert eine Aktion an, aber nur Administratoren können sie genehmigen.
| Schritt | Wer | Action |
|---|---|---|
| 1 | Techniker (Standardbenutzer) | "Beheben des Konfigurationsproblems" |
| 2 | Agent | Entwurf eines Wartungsplans |
| 3 | Agent | Kann nicht ausgeführt werden (erfordert Administratorgenehmigung) |
| 4 | Manager (Administrator) | Überprüft und genehmigt |
| 5 | Agent | Führt die Korrektur mithilfe der verwalteten Identität oder im Rahmen der On-Behalf-Of-Autorisierung aus. |
Benutzerrollen und Agentberechtigungen
Benutzerrollen und Agentberechtigungen steuern unterschiedliche Aspekte des Zugriffs.
| Konzept | Bedienelemente |
|---|---|
| Benutzerrollen und Berechtigungen (in diesem Artikel) | Was Benutzer mit dem Agent tun können |
| Agentberechtigungen | Was der Agent in Azure-Ressourcen tun kann |
Wenn ein Administrator eine Aktion genehmigt, verwendet der Agent eine der folgenden Methoden:
- Verwaltete Identität des Agents: Verwenden Sie diese Methode, wenn der Agent über die erforderlichen Azure RBAC-Berechtigungen verfügt.
- Im Namen von Autorisierung: Verwenden Sie diese Methode, wenn der Agent über keine Berechtigungen verfügt, aber der Administrator über die Berechtigungen verfügt.
Tipp
Nur SRE-Agentadministratoren können stellvertretenden Zugriff autorisieren. Standardbenutzer können keine Aktionen genehmigen, die erhöhte Berechtigungen erfordern.