Azure szerepköralapú hozzáférés-vezérlés az Azure Lab Servicesben
Fontos
Az Azure Lab Services 2027. június 28-án kivezetésre kerül. További információkért tekintse meg a nyugdíjazási útmutatót.
Az Azure Lab Services beépített Azure szerepköralapú hozzáférés-vezérlést (Azure RBAC) biztosít az Azure Lab Services gyakori felügyeleti forgatókönyveihez. A Microsoft Entra-azonosítóban profillal rendelkező személy hozzárendelheti ezeket az Azure-szerepköröket felhasználókhoz, csoportokhoz, szolgáltatásnevekhez vagy felügyelt identitásokhoz, hogy hozzáférést biztosítson vagy megtagadjon az Azure Lab Services-erőforrások erőforrásaihoz és műveleteihez. Ez a cikk az Azure Lab Services által támogatott különböző beépített szerepköröket ismerteti.
Az Azure szerepköralapú hozzáférés-vezérlés (RBAC) az Azure Resource Managerre épülő engedélyezési rendszer, amely az Azure-erőforrások részletes hozzáférés-kezelését biztosítja.
Az Azure RBAC olyan beépített szerepkör-definíciókat ad meg, amelyek az alkalmazandó engedélyeket ismertetik. Felhasználót rendelhet hozzá, vagy egy adott hatókörhöz tartozó szerepkör-hozzárendeléssel csoportosíthatja ezt a szerepkördefiníciót. A hatókör lehet egyéni erőforrás, erőforráscsoport vagy az előfizetés egésze. A következő szakaszban megtudhatja, hogy az Azure Lab Services mely beépített szerepköröket támogatja.
További információ: Mi az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC)?
Feljegyzés
A szerepkör-hozzárendelés módosítása eltarthat néhány percig, amíg ezek a frissítések propagálása megtörténik.
Beépített szerepkörök
Ebben a cikkben az Azure beépített szerepkörei logikailag két szerepkörtípusba vannak csoportosítva a hatás hatóköre alapján:
- Rendszergazdai szerepkörök: tesztkörnyezeti tervek és tesztkörnyezetek engedélyeinek befolyásolása
- Tesztkörnyezet-felügyeleti szerepkörök: tesztkörnyezetek engedélyeinek befolyásolása
Az Azure Lab Services által támogatott beépített szerepkörök a következők:
| Szerepkör típusa | Beépített szerepkör | Leírás |
|---|---|---|
| Rendszergazda | Tulajdonos | Teljes hozzáférés biztosítása tesztkörnyezettervek és tesztkörnyezetek létrehozásához és kezeléséhez, valamint engedélyek biztosítása más felhasználóknak. További információ a tulajdonosi szerepkörről. |
| Rendszergazda | Közreműködő | A tesztkörnyezeti tervek és tesztkörnyezetek létrehozásához/kezeléséhez teljes körű vezérlést biztosíthat, kivéve, ha szerepköröket rendel más felhasználókhoz. További információ a közreműködői szerepkörről. |
| Rendszergazda | Laborszolgáltatások közreműködője | Adja meg ugyanazokat az engedélyeket, mint a tulajdonosi szerepkör, kivéve a szerepkörök hozzárendelését. További információ a Lab Services közreműködői szerepköréről. |
| Tesztkörnyezet kezelése | Tesztkörnyezet létrehozója | Adjon engedélyt a tesztkörnyezetek létrehozására, és teljes mértékben szabályozhatja az általuk létrehozott tesztkörnyezeteket. További információ a Lab Creator szerepkörről. |
| Tesztkörnyezet kezelése | Labor közreműködője | Adjon engedélyt egy meglévő tesztkörnyezet kezeléséhez, de ne hozzon létre új tesztkörnyezeteket. További információ a labor közreműködői szerepköréről. |
| Tesztkörnyezet kezelése | Laborasszisztens | Adjon engedélyt egy meglévő tesztkörnyezet megtekintéséhez. Bármely virtuális gépet elindíthat, leállíthat vagy újraimázhat a laborban. További információ a Lab Assistant szerepkörről. |
| Tesztkörnyezet kezelése | Lab Services-olvasó | Adjon engedélyt a meglévő tesztkörnyezetek megtekintéséhez. További információ a Lab Services-olvasó szerepkörről. |
Szerepkör-hozzárendelés hatóköre
Az Azure RBAC-ben a hatókör azon erőforrások készlete, amelyekre a hozzáférés vonatkozik. Amikor szerepkört rendel hozzá, fontos megérteni a hatókört, hogy csak a szükséges hozzáférést biztosítsa.
Az Azure-ban négy szinten adhat meg hatókört: felügyeleti csoport, előfizetés, erőforráscsoport és erőforrás. A hatókörök szülő-gyermek (származtatott) kapcsolatokba vannak rendezve. A hierarchia minden szintje pontosabbá teszi a hatókört. A szerepköröket a hatókör bármelyik szintjén hozzárendelheti. A kiválasztott szint határozza meg, hogy a szerepkör milyen széles körben legyen alkalmazva. Az alacsonyabb szintek magasabb szintekről öröklik a szerepkör-engedélyeket. További információ az Azure RBAC hatóköréről.
Az Azure Lab Services esetében vegye figyelembe a következő hatóköröket:
| Hatókör | Leírás |
|---|---|
| Előfizetés | Az összes Azure-erőforrás és szolgáltatás számlázásának és biztonságának kezelésére szolgál. Általában csak a rendszergazdák rendelkeznek előfizetési szintű hozzáféréssel, mert ez a szerepkör-hozzárendelés hozzáférést biztosít az előfizetés összes erőforrásához. |
| Erőforráscsoport | Logikai tároló az erőforrások csoportosításához. Az erőforráscsoport szerepkör-hozzárendelése engedélyt ad az erőforráscsoportnak és a benne lévő összes erőforrásnak, például a laboroknak és a laborterveknek. |
| Tesztkörnyezeti terv | Egy Azure-erőforrás, amellyel általános konfigurációs beállításokat alkalmazhat tesztkörnyezet létrehozásakor. A tesztkörnyezeti terv szerepkör-hozzárendelése csak egy adott tesztkörnyezeti tervnek ad engedélyt. |
| Tesztkörnyezet | Egy Azure-erőforrás, amellyel általános konfigurációs beállításokat alkalmazhat a tesztkörnyezeti virtuális gépek létrehozásához és futtatásához. A tesztkörnyezet szerepkör-hozzárendelése csak egy adott labornak ad engedélyt. |
Fontos
Az Azure Lab Servicesben a labortervek és a tesztkörnyezetek egymással testvérerőforrások . Ennek eredményeképpen a laborok nem öröklik a szerepkör-hozzárendeléseket a labortervből. Az erőforráscsoport szerepkör-hozzárendeléseit azonban az adott erőforráscsoport labortervei és tesztkörnyezetei öröklik.
Gyakori labortevékenységek szerepkörei
Az alábbi táblázat a gyakori tesztkörnyezeti tevékenységeket és a felhasználó által a tevékenység végrehajtásához szükséges szerepkört mutatja be.
| Tevékenység | Szerepkör típusa | Szerepkör | Hatókör |
|---|---|---|---|
| Adjon engedélyt egy erőforráscsoport létrehozásához. Az erőforráscsoport egy logikai tároló az Azure-ban a labortervek és tesztkörnyezetek tárolására. Ahhoz , hogy létrehozhasson egy labortervet vagy labort, ennek az erőforráscsoportnak léteznie kell. | Rendszergazda | Tulajdonos vagy közreműködő | Előfizetés |
| Adjon engedélyt a Microsoft támogatási jegyének beküldésére, beleértve a kapacitás kérését is. | Rendszergazda | Tulajdonos, közreműködő, támogatási kérelem közreműködője | Előfizetés |
| Engedély megadása a következőhöz: – Szerepkörök hozzárendelése más felhasználókhoz. – Labortervek, tesztkörnyezetek és egyéb erőforrások létrehozása/kezelése az erőforráscsoporton belül. – Piactéri és egyéni rendszerképek engedélyezése/letiltása egy tesztkörnyezeti tervben. – Számítási gyűjtemény csatolása/leválasztása laborterven. |
Rendszergazda | Tulajdonos | Erőforráscsoport |
| Engedély megadása a következőhöz: – Labortervek, tesztkörnyezetek és egyéb erőforrások létrehozása/kezelése az erőforráscsoporton belül. – Az Azure Marketplace és az egyéni rendszerképek engedélyezése vagy letiltása egy tesztkörnyezeti tervben. Azonban nem lehet szerepköröket hozzárendelni más felhasználókhoz. |
Rendszergazda | Közreműködő | Erőforráscsoport |
| Adjon engedélyt saját tesztkörnyezetek létrehozására vagy kezelésére az erőforráscsoporton belüli összes tesztkörnyezethez. | Tesztkörnyezet kezelése | Tesztkörnyezet létrehozója | Erőforráscsoport |
| Adjon engedélyt saját tesztkörnyezetek létrehozására vagy kezelésére egy adott tesztkörnyezeti tervhez. | Tesztkörnyezet kezelése | Tesztkörnyezet létrehozója | Tesztkörnyezeti terv |
| Adjon engedélyt a laborok közös felügyeletére, de nem hozhat létre tesztkörnyezeteket. | Tesztkörnyezet kezelése | Labor közreműködője | Tesztkörnyezet |
| Adjon engedélyt a virtuális gépek indítására/leállítására/újraimázására az erőforráscsoporton belüli összes tesztkörnyezethez. | Tesztkörnyezet kezelése | Laborasszisztens | Erőforráscsoport |
| Adjon engedélyt a virtuális gépek csak egy adott labor indítására/leállítására/újraimázására. | Tesztkörnyezet kezelése | Laborasszisztens | Tesztkörnyezet |
Fontos
A szervezet előfizetése az összes Azure-erőforrás és szolgáltatás számlázásának és biztonságának kezelésére szolgál. Hozzárendelheti a tulajdonosi vagy közreműködői szerepkört az előfizetéshez. Általában csak a rendszergazdák rendelkeznek előfizetési szintű hozzáféréssel, mivel ez magában foglalja az előfizetés összes erőforrásának teljes hozzáférését.
Rendszergazdai szerepkörök
Ha engedélyt szeretne adni a felhasználóknak az Azure Lab Services szervezet előfizetésén belüli kezelésére, tulajdonosi, közreműködői vagy Lab Services-közreműködői szerepkört kell hozzárendelnie hozzájuk.
Rendelje hozzá ezeket a szerepköröket az erőforráscsoporthoz. Az erőforráscsoport labortervei és tesztkörnyezetei öröklik ezeket a szerepkör-hozzárendeléseket.
Az alábbi táblázat összehasonlítja a különböző rendszergazdai szerepköröket, amikor az erőforráscsoporthoz vannak rendelve.
| Tesztkörnyezet-terv/Labor | Tevékenység | Tulajdonos | Közreműködő | Laborszolgáltatások közreműködője |
|---|---|---|---|---|
| Tesztkörnyezeti terv | Az erőforráscsoporton belüli összes laborterv megtekintése | Igen | Igen | Igen |
| Tesztkörnyezeti terv | Az erőforráscsoporton belüli összes tesztkörnyezetterv létrehozása, módosítása vagy törlése | Igen | Igen | Igen |
| Tesztkörnyezeti terv | Szerepkörök hozzárendelése tesztkörnyezettervekhez az erőforráscsoporton belül | Igen | Nem | Nem |
| Tesztkörnyezet | Laborok létrehozása az erőforráscsoporton belül** | Igen | Igen | Igen |
| Tesztkörnyezet | Más felhasználók tesztkörnyezeteinek megtekintése az erőforráscsoporton belül | Igen | Igen | Igen |
| Tesztkörnyezet | Más felhasználói tesztkörnyezetek módosítása vagy törlése az erőforráscsoporton belül | Igen | Igen | Nem |
| Tesztkörnyezet | Szerepkörök hozzárendelése más felhasználók tesztkörnyezeteihez az erőforráscsoporton belül | Igen | Nem | Nem |
** A felhasználók automatikusan engedélyt kapnak a létrehozott tesztkörnyezetek beállításainak megtekintésére, módosítására, törlésére és szerepkörök hozzárendelésére.
Tulajdonosi szerepkör
Rendelje hozzá a tulajdonosi szerepkört, hogy a felhasználó teljes mértékben szabályozhassa a labortervek és tesztkörnyezetek létrehozását vagy kezelését, valamint engedélyeket adjon más felhasználóknak. Ha egy felhasználó tulajdonosi szerepkörrel rendelkezik az erőforráscsoportban, a következő tevékenységeket végezheti el az erőforráscsoport összes erőforrásában:
- Szerepkörök hozzárendelése rendszergazdákhoz, hogy felügyelhessék a tesztkörnyezettel kapcsolatos erőforrásokat.
- Szerepkörök hozzárendelése a laborvezetőkhöz, hogy létrehozhassák és felügyelhessék a tesztkörnyezeteket.
- Labortervek és tesztkörnyezetek létrehozása.
- Megtekintheti, törölheti és módosíthatja az összes tesztkörnyezeti csomag beállításait, beleértve a számítási gyűjtemény csatolását vagy leválasztását, valamint az Azure Marketplace és az egyéni rendszerképek engedélyezését vagy letiltását a laborterveken.
- Az összes tesztkörnyezet beállításainak megtekintése, törlése és módosítása.
Figyelemfelhívás
Ha hozzárendeli a tulajdonosi vagy közreműködői szerepkört az erőforráscsoporthoz, ezek az engedélyek az erőforráscsoportban található, nem laborhoz kapcsolódó erőforrásokra is érvényesek. Ilyenek például a virtuális hálózatok, a tárfiókok, a számítási gyűjtemények és egyebek.
Közreműködői szerepkör
Rendelje hozzá a közreműködői szerepkört, hogy a felhasználó teljes mértékben szabályozhassa a labortervek és tesztkörnyezetek erőforráscsoporton belüli létrehozását vagy kezelését. A közreműködői szerepkör ugyanazokkal az engedélyekkel rendelkezik, mint a Tulajdonos szerepkör, kivéve :
- Szerepkör-hozzárendelések végrehajtása
Laborszolgáltatások közreműködői szerepköre
A Lab Services-közreműködő a rendszergazdai szerepkörök közül a legkorlátozóbb. Rendelje hozzá a Lab Services közreműködői szerepkört a tulajdonosi szerepkörhöz hasonló tevékenységek engedélyezéséhez, kivéve a következőket:
- Szerepkör-hozzárendelések végrehajtása
- Más felhasználói tesztkörnyezetek módosítása vagy törlése
Feljegyzés
A Lab Services közreműködői szerepkör nem teszi lehetővé az Azure Lab Serviceshez nem kapcsolódó erőforrások módosítását. A közreműködői szerepkör viszont lehetővé teszi az erőforráscsoporton belüli összes Azure-erőforrás módosítását.
Tesztkörnyezet-felügyeleti szerepkörök
A következő szerepkörök használatával adhat engedélyeket a felhasználóknak a tesztkörnyezetek létrehozásához és kezeléséhez:
- Tesztkörnyezet létrehozója
- Labor közreműködője
- Laborasszisztens
- Lab Services-olvasó
Ezek a tesztkörnyezet-felügyeleti szerepkörök csak a labortervek megtekintésére adnak engedélyt. Ezek a szerepkörök nem teszik lehetővé a szerepkörök létrehozását, módosítását, törlését vagy hozzárendelését a labortervekhez. Ezen kívül az ilyen szerepkörökkel rendelkező felhasználók nem csatolhatnak vagy leválaszthatnak számítási gyűjteményeket, és nem engedélyezhetik vagy tilthatják le a virtuálisgép-rendszerképeket.
Tesztkörnyezet létrehozói szerepköre
Rendelje hozzá a Tesztkörnyezet létrehozója szerepkört, hogy felhasználói engedélyt adjon a tesztkörnyezetek létrehozására, és teljes mértékben szabályozhassa az általuk létrehozott tesztkörnyezeteket. Módosíthatják például a tesztkörnyezetek beállításait, törölhetik a tesztkörnyezetüket, és más felhasználóknak is adhatnak engedélyt a tesztkörnyezeteikhez.
Rendelje hozzá a Laborkészítő szerepkört az erőforráscsoporthoz vagy a labortervhez.
Az alábbi táblázat összehasonlítja az erőforráscsoporthoz vagy a labortervhez tartozó Lab Creator szerepkör-hozzárendelést.
| Tevékenység | Erőforráscsoport | Tesztkörnyezeti terv |
|---|---|---|
| Laborok létrehozása az erőforráscsoporton belül** | Igen | Igen |
| Az általuk létrehozott tesztkörnyezetek megtekintése | Igen | Igen |
| Más felhasználók tesztkörnyezeteinek megtekintése az erőforráscsoporton belül | Igen | Nem |
| A felhasználó által létrehozott tesztkörnyezetek módosítása vagy törlése | Igen | Igen |
| Más felhasználói tesztkörnyezetek módosítása vagy törlése az erőforráscsoporton belül | Nem | Nem |
| Szerepkörök hozzárendelése más felhasználók tesztkörnyezeteihez az erőforráscsoporton belül | Nem | Nem |
** A felhasználók automatikusan engedélyt kapnak a létrehozott tesztkörnyezetek beállításainak megtekintésére, módosítására, törlésére és szerepkörök hozzárendelésére.
Labor közreműködői szerepköre
Rendelje hozzá a labor közreműködői szerepkörét, hogy felhasználói engedélyt adjon egy meglévő tesztkörnyezet kezeléséhez.
Rendelje hozzá a labor közreműködői szerepkörét.
Amikor hozzárendeli a labor közreműködői szerepkörét a tesztkörnyezethez, a felhasználó kezelheti a hozzárendelt tesztkörnyezetet. Konkrétan a felhasználó:
- Megtekintheti, módosíthatja az összes beállítást, vagy törölheti a hozzárendelt tesztkörnyezetet.
- A felhasználó nem tekintheti meg más felhasználók tesztkörnyezeteit.
- Nem lehet új laborokat létrehozni.
Lab Assistant szerepkör
Rendelje hozzá a Lab Assistant szerepkört, hogy felhasználói engedélyt adjon egy tesztkörnyezet megtekintéséhez, valamint a labor virtuális gépeinek elindításához, leállításához és újraimázásához.
Rendelje hozzá a Lab Assistant szerepkört az erőforráscsoporthoz vagy a laborhoz.
Amikor hozzárendeli a Lab Assistant szerepkört az erőforráscsoporthoz, a felhasználó:
- Megtekintheti az erőforráscsoporton belüli összes tesztkörnyezetet, és elindíthatja, leállíthatja vagy újraimázhatja a tesztkörnyezet virtuális gépeit az egyes laborokban.
- A tesztkörnyezetek nem törölhetők és nem módosíthatók.
Amikor hozzárendeli a Laborasszisztens szerepkört a tesztkörnyezethez, a felhasználó:
- Megtekintheti a hozzárendelt tesztkörnyezetet, és elindíthatja, leállíthatja vagy újraimázhatja a tesztkörnyezeti virtuális gépeket.
- A labor nem törölhető és nem módosítható.
- Nem lehet új laborokat létrehozni.
Ha rendelkezik a Laborasszisztens szerepkörével, és meg szeretné tekinteni azokat a tesztkörnyezeteket, amelyekhez hozzáférést kap, mindenképpen válassza a Minden tesztkörnyezet szűrőt az Azure Lab Services webhelyén.
Lab Services-olvasó szerepkör
Rendelje hozzá a Lab Services-olvasó szerepkört a meglévő tesztkörnyezetek felhasználói engedélyeinek megtekintéséhez. A felhasználó nem módosíthatja a meglévő tesztkörnyezeteket.
Rendelje hozzá a Lab Services Reader szerepkört az erőforráscsoporthoz vagy a laborhoz.
Amikor hozzárendeli a Lab Services-olvasó szerepkört az erőforráscsoporthoz, a felhasználó a következőket teheti:
- Az erőforráscsoporton belüli összes tesztkörnyezet megtekintése.
Amikor hozzárendeli a Laborszolgáltatások olvasó szerepkört a tesztkörnyezethez, a felhasználó a következőket teheti:
- Csak az adott labor megtekintése.
Identitás- és hozzáférés-felügyelet (IAM)
Az Azure Portal hozzáférés-vezérlési (IAM) lapja az Azure-szerepköralapú hozzáférés-vezérlés konfigurálására szolgál az Azure Lab Services-erőforrásokon. Az Active Directoryban beépített szerepköröket használhat egyének és csoportok számára. Az alábbi képernyőképen az Azure Portal hozzáférés-vezérlést (IAM) használó Active Directory-integrációja (Azure RBAC) látható:
A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.
Erőforráscsoport- és tesztkörnyezetterv felépítése
A szervezetnek előre kell időt fordítania az erőforráscsoportok és a labortervek szerkezetének megtervezésére. Ez különösen akkor fontos, ha szerepköröket rendel hozzá az erőforráscsoporthoz, mert az engedélyeket is alkalmaz az erőforráscsoport összes erőforrására.
Annak biztosítása érdekében, hogy a felhasználók csak a megfelelő erőforrásokhoz kapjanak engedélyt:
Hozzon létre olyan erőforráscsoportokat, amelyek csak laborhoz kapcsolódó erőforrásokat tartalmaznak.
A tesztkörnyezetterveket és tesztkörnyezeteket külön erőforráscsoportokba rendezi a hozzáféréssel rendelkező felhasználók szerint.
Létrehozhat például külön erőforráscsoportokat a különböző részlegek számára az egyes részlegek laborerőforrásainak elkülönítéséhez. Az egyik részleg laborkészítői ezután engedélyeket kaphatnak az erőforráscsoporthoz, ami csak a részlegük laborerőforrásaihoz biztosít hozzáférést.
Fontos
Előre tervezze meg az erőforráscsoport és a laborterv struktúráját, mert létrehozásuk után nem lehet áthelyezni a laborterveket vagy tesztkörnyezeteket egy másik erőforráscsoportba.
Hozzáférés több erőforráscsoporthoz
Több erőforráscsoporthoz is hozzáférést adhat a felhasználóknak. Az Azure Lab Services webhelyén a felhasználó ezután választhat az erőforráscsoportok listájából a tesztkörnyezetek megtekintéséhez.
Hozzáférés több tesztkörnyezeti csomaghoz
Több tesztkörnyezeti csomaghoz is hozzáférést adhat a felhasználóknak. Ha például hozzárendeli a Tesztkörnyezet-létrehozó szerepkört egy felhasználóhoz egy olyan erőforráscsoportban, amely több tesztkörnyezettervet tartalmaz. A felhasználó ezután választhat a tesztkörnyezettervek listájából egy új tesztkörnyezet létrehozásakor.
