Mengelola akses ke sumber daya di Azure Stack Hub dengan kontrol akses berbasis peran
Azure Stack Hub mendukung kontrol akses berbasis peran (RBAC), model keamanan yang sama untuk manajemen akses yang Microsoft Azure gunakan. Anda dapat menggunakan RBAC untuk mengelola akses pengguna, grup, atau aplikasi ke langganan, sumber daya, dan layanan.
Dasar-dasar manajemen akses
Kontrol akses berbasis peran (RBAC) menyediakan kontrol akses terperinci yang dapat Anda gunakan untuk mengamankan lingkungan Anda. Anda memberi pengguna izin yang tepat yang mereka butuhkan dengan menetapkan peran RBAC pada cakupan tertentu. Cakupan penetapan peran dapat berupa langganan, grup sumber daya, atau satu sumber daya tunggal. Untuk informasi lebih lanjut mengenai manajemen akses, lihat artikel Kontrol Akses Berbasis Peran di portal Azure.
Catatan
Saat Azure Stack Hub disebarkan dengan menggunakan Active Directory Federation Services sebagai penyedia identitas, hanya Grup Universal saja yang didukung untuk skenario RBAC.
Peran bawaan
Azure Stack Hub memiliki tiga peran dasar yang dapat Anda terapkan ke semua jenis sumber daya:
- Pemilik: Memberikan akses penuh untuk mengelola semua sumber daya, termasuk kemampuan untuk menetapkan peran di Azure Stack RBAC.
- Kontributor: Memberikan akses penuh untuk mengelola semua sumber daya, tetapi tidak memungkinkan Anda menetapkan peran di Azure Stack RBAC.
- Pembaca: dapat melihat semuanya, tetapi tidak dapat membuat perubahan apa pun.
Hierarki dan pewarisan sumber daya
Azure Stack Hub memiliki hierarki sumber daya berikut:
- Setiap langganan adalah milik satu direktori.
- Setiap grup sumber daya adalah milik satu langganan.
- Setiap sumber daya adalah milik satu kelompok sumber daya.
Akses yang Anda berikan di cakupan induk diwariskan pada cakupan turunan. Contohnya:
- Anda menetapkan peran Pembaca ke grup Microsoft Entra di cakupan langganan. Anggota grup tersebut dapat menampilkan setiap grup sumber daya dan sumber daya dalam langganan.
- Anda menetapkan peran Kontributor ke aplikasi di cakupan grup sumber daya. Aplikasi ini dapat mengelola semua jenis sumber daya dalam grup sumber daya tersebut, tetapi tidak dengan grup sumber daya lain dalam langganan.
Menetapkan peran
Anda dapat menetapkan lebih dari satu peran ke pengguna dan setiap peran dapat dikaitkan dengan cakupan yang berbeda. Contohnya:
- Anda menetapkan TestUser-A sebuah peran Pembaca ke Subscription-1.
- Anda menetapkan TestUser-A sebuah peran Pemilik ke TestVM-1.
Artikel penetapan peran Azure memberikan informasi terperinci mengenai menampilkan, menetapkan, dan menghapus peran.
Mengatur izin akses untuk pengguna
Langkah-langkah berikut menjelaskan cara mengonfigurasi izin untuk pengguna.
Masuk dengan akun yang memiliki izin pemilik ke sumber daya yang ingin Anda kelola.
Di panel navigasi kiri, pilih Grup sumber daya.
Pilih nama grup sumber daya yang ingin Anda atur izinnya.
Di panel navigasi grup sumber daya, pilih Kontrol akses (IAM).
Tampilan Penetapan Peran mencantumkan item yang memiliki akses ke grup sumber daya. Anda dapat memfilter dan mengelompokkan hasilnya.Pada bar menu Kontrol akses, pilih Tambahkan.
Pada panel Tambahkan izin:
- Pilih peran yang ingin Anda tetapkan dari daftar drop-down Peran.
- Pilih sumber daya yang ingin Anda tetapkan perannya dari menu drop-down Tetapkan akses ke.
- Pilih pengguna, grup, atau aplikasi di direktori yang ingin Anda berikan aksesnya. Anda dapat mencari direktori dengan nama tampilan, alamat email, dan pengidentifikasi objek.
Pilih Simpan.