Sumber daya, peran, dan kontrol akses dalam Application Insights
Anda dapat mengontrol siapa yang memiliki akses baca dan perbarui ke data Anda di Application Insights dengan menggunakan kontrol akses berbasis peran Azure (Azure RBAC).
Penting
Tetapkan akses ke pengguna di grup sumber daya atau langganan tempat sumber daya aplikasi Anda berada, bukan di sumber daya itu sendiri. Tetapkan peran Kontributor Komponen Application Insights. Peran ini memastikan kontrol akses yang seragam ke pengujian dan pemberitahuan web bersama dengan sumber daya aplikasi Anda. Pelajari lebih lanjut.
Catatan
Sebaiknya Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Lihat Menginstal Azure PowerShell untuk memulai. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.
Sumber daya, grup, dan langganan
Pertama, mari kita tentukan beberapa istilah:
Sumber Daya: Instans layanan Azure. Sumber daya Application Insights Anda mengumpulkan, menganalisis, dan menampilkan data telemetri yang dikirim dari aplikasi Anda. Jenis sumber daya Azure lainnya termasuk aplikasi web, database, dan VM.
Untuk melihat sumber daya Anda, buka portal Azure, masuk, dan pilih Semua sumber daya. Untuk menemukan sumber daya, masukkan bagian dari namanya di bidang filter.
- Grup sumber daya: Setiap sumber daya termasuk dalam satu grup. Grup adalah cara yang mudah untuk mengelola sumber daya terkait, terutama untuk kontrol akses. Misalnya, dalam satu grup sumber daya Anda dapat menempatkan aplikasi web, sumber daya Application Insights untuk memantau aplikasi, dan sumber daya Azure Storage untuk menyimpan data yang diekspor.
- Langganan: Untuk menggunakan Application Insights atau sumber daya Azure lainnya, Anda masuk ke langganan Azure. Setiap grup sumber daya milik satu langganan Azure, tempat Anda memilih paket harga. Jika langganan organisasi, pemilik dapat memilih anggota dan izin akses mereka.
- Akun Microsoft: Nama pengguna dan kata sandi yang Anda gunakan untuk masuk ke langganan Azure, Xbox Live, Outlook.com, dan layanan Microsoft lainnya.
Mengontrol akses dalam grup sumber daya
Bersama dengan sumber daya yang Anda buat untuk aplikasi Anda, ada juga sumber daya tersembunyi terpisah untuk pemberitahuan dan pengujian web. Mereka dilampirkan ke grup sumber daya yang sama dengan sumber daya Application Insights Anda. Mungkin Anda juga menempatkan layanan Azure lainnya di sana, seperti situs web atau penyimpanan.
Menyediakan akses ke pengguna lain
Anda harus memiliki hak Pemilik atas langganan atau grup sumber daya.
Pengguna harus memiliki akun Microsoft atau akses ke akun Microsoft organisasi mereka. Anda dapat menyediakan akses ke individu dan juga ke grup pengguna yang ditentukan dalam ID Microsoft Entra.
Buka grup sumber daya atau langsung ke sumber daya itu sendiri
Tetapkan peran Kontributor ke Azure RBAC.
Untuk langkah yang lebih detail, lihat Menetapkan peran Azure dengan menggunakan portal Azure.
Memilih peran
Jika berlaku, tautan terhubung ke dokumentasi referensi resmi terkait.
| Peran | Dalam grup sumber daya |
|---|---|
| Pemilik | Dapat mengubah apa pun, termasuk akses pengguna. |
| Kontributor | Dapat mengedit apa saja, termasuk semua sumber daya. |
| Kontributor Komponen Application Insights | Dapat mengedit sumber daya Application Insights. |
| Pembaca | Dapat melihat tetapi tidak mengubah apa pun. |
| Snapshot Debugger Application Insights | Memberikan izin kepada pengguna untuk menggunakan fitur Snapshot Debugger Application Insights. Peran ini tidak disertakan dalam peran Pemilik atau Kontributor. |
| Kontributor Manajemen Rilis Penyebaran Layanan Azure | Peran kontributor untuk layanan yang diterapkan melalui Penyebaran Layanan Azure. |
| Penghapus Seluruh Data | Peran khusus untuk menghapus data pribadi. Untuk informasi selengkapnya, lihat Mengelola data pribadi di Analitik Log dan Application Insights. |
| Administrator Azure ExpressRoute | Dapat membuat, menghapus, dan mengelola rute ekspres. |
| Kontributor Analitik Log | Kontributor Analitik Log dapat membaca semua data pemantauan dan mengedit pengaturan pemantauan. Mengedit pengaturan pemantauan termasuk menambahkan ekstensi VM ke VM, membaca kunci akun penyimpanan untuk dapat mengonfigurasi pengumpulan log dari Azure Storage, membuat dan mengonfigurasi akun Automation, menambahkan solusi, dan mengonfigurasi diagnostik Azure di semua sumber daya Azure. Jika Anda mengalami masalah saat menyiapkan diagnostik Azure, lihat Diagnostik Azure. |
| Pembaca Log Analitik | Pembaca Analitik Log dapat melihat dan mencari semua data pemantauan dan melihat pengaturan pemantauan, termasuk melihat konfigurasi diagnostik Azure di semua sumber daya Azure. Jika Anda mengalami masalah saat menyiapkan diagnostik Azure, lihat Diagnostik Azure. |
| masterreader | Memungkinkan pengguna untuk melihat semuanya tetapi tidak membuat perubahan. |
| Kontributor Pemantauan | Dapat membaca semua data pemantauan dan memperbarui pengaturan pemantauan. |
| Penerbit Metrik Pemantauan | Mengaktifkan penerbitan metrik terhadap sumber daya Azure |
| Pembaca Pemantauan | Dapat membaca semua data pemantauan. |
| Kontributor Kebijakan Sumber Daya (pratinjau) | Pengguna yang diisi ulang dari Perjanjian Enterprise, dengan hak untuk membuat/memodifikasi kebijakan sumber daya, membuat tiket dukungan, dan membaca sumber daya/hierarki. |
| Administrator Akses Pengguna | Memungkinkan pengguna mengelola akses untuk pengguna lain ke sumber daya Azure. |
| Kontributor Situs Web | Memungkinkan Anda mengelola situs web (bukan paket web) tetapi tidak dapat mengaksesnya. |
Pengeditan termasuk membuat, menghapus, dan memperbarui:
- Sumber
- Pengujian Web
- Peringatan
- Ekspor berkelanjutan
Memilih pengguna
Jika pengguna yang Anda inginkan tidak berada di direktori, Anda dapat mengundang siapa pun yang memiliki akun Microsoft. Jika mereka menggunakan layanan seperti Outlook.com, OneDrive, Windows Telepon, atau Xbox Live, mereka memiliki akun Microsoft.
Konten terkait
Lihat artikel Kontrol akses berbasis peran Azure (Azure RBAC).
Kueri PowerShell untuk menentukan keanggotaan peran
Karena peran tertentu dapat ditautkan ke pemberitahuan dan pemberitahuan email, akan sangat membantu untuk dapat menghasilkan daftar pengguna yang termasuk dalam peran tertentu. Untuk membantu menghasilkan jenis daftar ini, kueri sampel berikut dapat disesuaikan agar sesuai dengan kebutuhan spesifik Anda.
Kueri seluruh langganan untuk peran Admin + peran Kontributor
(Get-AzRoleAssignment -IncludeClassicAdministrators | Where-Object {$_.RoleDefinitionName -in @('ServiceAdministrator', 'CoAdministrator', 'Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Kueri dalam konteks sumber daya Application Insights tertentu untuk pemilik dan kontributor
$resourceGroup = "RGNAME"
$resourceName = "AppInsightsName"
$resourceType = "microsoft.insights/components"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup -ResourceType $resourceType -ResourceName $resourceName | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Kueri dalam konteks grup sumber daya tertentu untuk pemilik dan kontributor
$resourceGroup = "RGNAME"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "