Kontrol akses berbasis peran Azure di Azure Lab Services
Azure Lab Services menyediakan kontrol akses berbasis peran Azure bawaan (Azure RBAC) untuk skenario manajemen umum di Azure Lab Services. Individu yang memiliki profil di ID Microsoft Entra dapat menetapkan peran Azure ini kepada pengguna, grup, perwakilan layanan, atau identitas terkelola untuk memberikan atau menolak akses ke sumber daya dan operasi pada sumber daya Azure Lab Services. Artikel ini menjelaskan berbagai peran bawaan yang didukung Azure Lab Services.
Kontrol akses berbasis peran Azure (RBAC) adalah sistem otorisasi yang dibuat di Azure Resource Manager yang memberikan manajemen akses mendetail untuk sumber daya Azure.
Azure RBAC menentukan definisi peran bawaan yang menguraikan izin yang akan diterapkan. Anda menetapkan pengguna atau mengelompokkan definisi peran ini melalui penetapan peran untuk cakupan tertentu. Cakupan dapat berupa sumber daya individu, grup sumber daya, atau di seluruh langganan. Di bagian berikutnya, Anda mempelajari peran bawaan mana yang didukung Azure Lab Services.
Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan kontrol akses berbasis peran Azure (RBAC Azure)?
Catatan
Saat Anda membuat perubahan penetapan peran, perlu waktu beberapa menit agar pembaruan ini disebarluaskan.
Peran bawaan
Dalam artikel ini, peran bawaan Azure dikelompokkan secara logis ke dalam dua jenis peran, berdasarkan cakupan pengaruhnya:
- Peran administrator: memengaruhi izin untuk rencana lab dan lab
- Peran manajemen lab: memengaruhi izin untuk lab
Berikut ini adalah peran bawaan yang didukung oleh Azure Lab Services:
| Jenis peran | Peran bawaan | Deskripsi |
|---|---|---|
| Administrator | Pemilik | Berikan kontrol penuh untuk membuat/mengelola rencana lab dan lab, dan memberikan izin kepada pengguna lain. Pelajari selengkapnya tentang peran Pemilik. |
| Administrator | Kontributor | Berikan kontrol penuh untuk membuat/mengelola rencana lab dan lab, kecuali untuk menetapkan peran kepada pengguna lain. Pelajari selengkapnya tentang peran Kontributor. |
| Administrator | Kontributor Layanan Lab | Berikan izin yang sama dengan peran Pemilik, kecuali untuk menetapkan peran. Pelajari selengkapnya tentang peran Kontributor Layanan Lab. |
| Manajemen lab | Pembuat Lab | Berikan izin untuk membuat lab dan memiliki kontrol penuh atas lab yang mereka buat. Pelajari selengkapnya tentang peran Pembuat Lab. |
| Manajemen lab | Kontributor Lab | Berikan izin untuk membantu mengelola lab yang ada, tetapi tidak membuat lab baru. Pelajari selengkapnya tentang peran Kontributor Lab. |
| Manajemen lab | Asisten Lab | Berikan izin untuk melihat lab yang ada. Juga dapat memulai, menghentikan, atau menggambar ulang VM apa pun di lab. Pelajari selengkapnya tentang peran Asisten Lab. |
| Manajemen lab | Pembaca Layanan Lab | Berikan izin untuk melihat lab yang ada. Pelajari selengkapnya tentang peran Pembaca Lab Services. |
Cakupan penetapan peran
Di Azure RBAC, cakupan adalah kumpulan sumber daya yang berlaku untuk akses. Saat Anda menetapkan peran, penting untuk memahami cakupan sehingga Anda hanya memberikan akses yang diperlukan.
Di Azure, Anda dapat menentukan sebuah cakupan dalam empat tingkat: grup manajemen, langganan,grup sumber daya, dan sumber daya. Cakupan disusun dalam hubungan induk-turunan. Setiap tingkat hierarki membuat cakupan lebih spesifik. Anda dapat menetapkan peran di salah satu tingkat cakupan ini. Tingkat yang Anda pilih menentukan seberapa luas peran diterapkan. Tingkat yang lebih rendah mewarisi izin peran dari tingkat yang lebih tinggi. Pelajari selengkapnya tentang cakupan untuk Azure RBAC.
Untuk Azure Lab Services, pertimbangkan cakupan berikut:
| Scope | Deskripsi |
|---|---|
| Langganan | Digunakan untuk mengelola penagihan dan keamanan untuk semua sumber daya dan layanan Azure. Biasanya, hanya administrator yang memiliki akses tingkat langganan karena penetapan peran ini memberikan akses ke semua sumber daya dalam langganan. |
| Grup sumber daya | Kontainer logis untuk mengelompokkan sumber daya bersama-sama. Penetapan peran untuk grup sumber daya memberikan izin ke grup sumber daya dan semua sumber daya di dalamnya, seperti lab dan rencana lab. |
| Paket lab | Sumber daya Azure yang digunakan untuk menerapkan pengaturan konfigurasi umum saat Anda membuat lab. Penetapan peran untuk rencana lab hanya memberikan izin ke rencana lab tertentu. |
| Laboratorium | Sumber daya Azure yang digunakan untuk menerapkan pengaturan konfigurasi umum untuk membuat dan menjalankan komputer virtual lab. Penetapan peran untuk lab hanya memberikan izin ke lab tertentu. |
Penting
Di Azure Lab Services, paket lab dan lab adalah sumber daya saudara satu sama lain. Akibatnya, lab tidak mewarisi penetapan peran apa pun dari rencana lab. Namun, penetapan peran dari grup sumber daya diwariskan oleh rencana lab dan lab dalam grup sumber daya tersebut.
Peran untuk aktivitas lab umum
Tabel berikut ini memperlihatkan aktivitas lab umum dan peran yang diperlukan pengguna untuk melakukan aktivitas tersebut.
| Aktivitas | Jenis peran | Peran | Scope |
|---|---|---|---|
| Berikan izin untuk membuat grup sumber daya. Grup sumber daya adalah kontainer logis di Azure untuk menyimpan paket lab dan lab. Sebelum Anda dapat membuat rencana lab atau lab, grup sumber daya ini harus ada. | Administrator | Pemilik atau Kontributor | Langganan |
| Berikan izin untuk mengirimkan tiket dukungan Microsoft, termasuk untuk meminta kapasitas. | Administrator | Pemilik, Kontributor, Kontributor Permintaan Dukungan | Langganan |
| Berikan izin untuk: - Tetapkan peran untuk pengguna lain. - Membuat/mengelola rencana lab, lab, dan sumber daya lain dalam grup sumber daya. - Aktifkan/nonaktifkan marketplace dan gambar kustom pada paket lab. - Lampirkan/lepaskan galeri komputasi pada paket lab. |
Administrator | Pemilik | Grup sumber daya |
| Berikan izin untuk: - Membuat/mengelola rencana lab, lab, dan sumber daya lain dalam grup sumber daya. - Aktifkan atau nonaktifkan Marketplace Azure dan gambar kustom pada paket lab. Namun, bukan kemampuan untuk menetapkan peran kepada pengguna lain. |
Administrator | Kontributor | Grup sumber daya |
| Berikan izin untuk membuat atau mengelola lab Anda sendiri untuk semua rencana lab dalam grup sumber daya. | Manajemen lab | Pembuat Lab | Grup sumber daya |
| Berikan izin untuk membuat atau mengelola lab Anda sendiri untuk rencana lab tertentu. | Manajemen lab | Pembuat Lab | Paket lab |
| Berikan izin untuk mengelola lab bersama, tetapi bukan kemampuan untuk membuat lab. | Manajemen lab | Kontributor Lab | Laboratorium |
| Berikan izin untuk hanya memulai/menghentikan/menggambar ulang VM untuk semua lab dalam grup sumber daya. | Manajemen lab | Asisten Lab | Grup sumber daya |
| Berikan izin untuk hanya memulai/menghentikan/meniru ulang VM untuk lab tertentu. | Manajemen lab | Asisten Lab | Laboratorium |
Penting
Langganan organisasi digunakan untuk mengelola tagihan dan keamanan untuk semua sumber daya dan layanan Azure. Anda dapat menetapkan peran Pemilik atau Kontributor pada langganan. Biasanya, hanya administrator yang memiliki akses tingkat langganan karena ini mencakup akses penuh ke semua sumber daya dalam langganan.
Peran administrator
Untuk memberi pengguna izin untuk mengelola Azure Lab Services dalam langganan organisasi, Anda harus menetapkan peran Pemilik, Kontributor, atau Kontributor Layanan Lab kepada mereka.
Tetapkan peran ini pada grup sumber daya. Rencana lab dan lab dalam grup sumber daya mewarisi penetapan peran ini.
Tabel berikut membandingkan peran administrator yang berbeda saat ditetapkan pada grup sumber daya.
| Rencana lab/Lab | Aktivitas | Pemilik | Kontributor | Kontributor Layanan Lab |
|---|---|---|---|---|
| Paket lab | Menampilkan semua paket lab dalam grup sumber daya | Ya | Ya | Ya |
| Paket lab | Membuat, mengubah, atau menghapus semua paket lab dalam grup sumber daya | Ya | Ya | Ya |
| Paket lab | Menetapkan peran ke paket lab dalam grup sumber daya | Ya | No | Tidak |
| Laboratorium | Membuat lab dalam grup sumber daya** | Ya | Ya | Ya |
| Laboratorium | Menampilkan lab pengguna lain dalam grup sumber daya | Ya | Ya | Ya |
| Laboratorium | Mengubah atau menghapus lab pengguna lain dalam grup sumber daya | Ya | Ya | Tidak |
| Laboratorium | Menetapkan peran ke lab pengguna lain dalam grup sumber daya | Ya | No | Tidak |
** Pengguna secara otomatis diberikan izin untuk melihat, mengubah pengaturan, menghapus, dan menetapkan peran untuk lab yang mereka buat.
Peran pemilik
Tetapkan peran Pemilik untuk memberi pengguna kontrol penuh untuk membuat atau mengelola rencana lab dan lab, dan memberikan izin kepada pengguna lain. Saat pengguna memiliki peran Pemilik pada grup sumber daya, mereka dapat melakukan aktivitas berikut di semua sumber daya dalam grup sumber daya:
- Tetapkan peran ke administrator, sehingga mereka dapat mengelola sumber daya terkait lab.
- Tetapkan peran ke manajer lab, sehingga mereka dapat membuat dan mengelola lab.
- Buat rencana lab dan lab.
- Lihat, hapus, dan ubah pengaturan untuk semua paket lab, termasuk melampirkan atau melepaskan galeri komputasi dan mengaktifkan atau menonaktifkan Marketplace Azure dan gambar kustom pada paket lab.
- Menampilkan, menghapus, dan mengubah pengaturan untuk semua lab.
Perhatian
Saat Anda menetapkan peran Pemilik atau Kontributor pada grup sumber daya, maka izin ini juga berlaku untuk sumber daya terkait non-lab yang ada di grup sumber daya. Misalnya, sumber daya seperti jaringan virtual, akun penyimpanan, galeri komputasi, dan banyak lagi.
Peran kontributor
Tetapkan peran Kontributor untuk memberi pengguna kontrol penuh untuk membuat atau mengelola rencana lab dan lab dalam grup sumber daya. Peran Kontributor memiliki izin yang sama dengan peran Pemilik, kecuali untuk:
- Melakukan penetapan peran
Peran Kontributor Layanan Lab
Kontributor Layanan Lab adalah peran administrator yang paling ketat. Tetapkan peran Kontributor Layanan Lab untuk mengaktifkan aktivitas yang sama dengan peran Pemilik, kecuali untuk:
- Melakukan penetapan peran
- Mengubah atau menghapus lab pengguna lain
Catatan
Peran Kontributor Layanan Lab tidak mengizinkan perubahan pada sumber daya yang tidak terkait dengan Azure Lab Services. Di sisi lain, peran Kontributor memungkinkan perubahan pada semua sumber daya Azure dalam grup sumber daya.
Peran manajemen lab
Gunakan peran berikut untuk memberikan izin kepada pengguna untuk membuat dan mengelola lab:
- Pembuat Lab
- Kontributor Lab
- Asisten Lab
- Pembaca Layanan Lab
Peran manajemen lab ini hanya memberikan izin untuk melihat rencana lab. Peran ini tidak memungkinkan pembuatan, perubahan, penghapusan, atau penetapan peran ke paket lab. Selain itu, pengguna dengan peran ini tidak dapat melampirkan atau melepaskan galeri komputasi dan mengaktifkan atau menonaktifkan gambar komputer virtual.
Peran Pembuat Lab
Tetapkan peran Pembuat Lab untuk memberikan izin kepada pengguna untuk membuat lab dan memiliki kontrol penuh atas lab yang mereka buat. Misalnya, mereka dapat mengubah pengaturan lab mereka, menghapus lab mereka, dan bahkan memberikan izin kepada pengguna lain ke lab mereka.
Tetapkan peran Pembuat Lab pada grup sumber daya atau paket lab.
Tabel berikut membandingkan penetapan peran Pembuat Lab untuk grup sumber daya atau paket lab.
| Aktivitas | Grup sumber daya | Paket lab |
|---|---|---|
| Membuat lab dalam grup sumber daya** | Ya | Ya |
| Menampilkan lab yang mereka buat | Ya | Ya |
| Menampilkan lab pengguna lain dalam grup sumber daya | Ya | Tidak |
| Mengubah atau menghapus lab yang dibuat pengguna | Ya | Ya |
| Mengubah atau menghapus lab pengguna lain dalam grup sumber daya | Tidak | Tidak |
| Menetapkan peran ke lab pengguna lain dalam grup sumber daya | Tidak | Tidak |
** Pengguna secara otomatis diberikan izin untuk melihat, mengubah pengaturan, menghapus, dan menetapkan peran untuk lab yang mereka buat.
Peran Kontributor Lab
Tetapkan peran Kontributor Lab untuk memberikan izin kepada pengguna untuk membantu mengelola lab yang sudah ada.
Tetapkan peran Kontributor Lab di lab.
Saat Anda menetapkan peran Kontributor Lab di lab, pengguna dapat mengelola lab yang ditetapkan. Secara khusus, pengguna:
- Dapat melihat, mengubah semua pengaturan, atau menghapus lab yang ditetapkan.
- Pengguna tidak dapat melihat lab pengguna lain.
- Tidak dapat membuat lab baru.
Peran Asisten Lab
Tetapkan peran Asisten Lab untuk memberikan izin pengguna untuk melihat lab, dan memulai, menghentikan, dan menggambar ulang komputer virtual lab untuk lab.
Tetapkan peran Asisten Lab pada grup sumber daya atau lab.
Saat Anda menetapkan peran Asisten Lab pada grup sumber daya, pengguna:
- Dapat melihat semua lab dalam grup sumber daya dan memulai, menghentikan, atau meniru ulang komputer virtual lab untuk setiap lab.
- Tidak dapat menghapus atau membuat perubahan lain pada lab.
Saat Anda menetapkan peran Asisten Lab di lab, pengguna:
- Dapat melihat lab yang ditetapkan dan memulai, menghentikan, atau menggambar ulang komputer virtual lab.
- Tidak dapat menghapus atau membuat perubahan lain pada lab.
- Tidak dapat membuat lab baru.
Saat Anda memiliki peran Asisten Lab, untuk melihat lab lain tempat Anda diberi akses, pastikan untuk memilih filter Semua lab di situs web Azure Lab Services.
Peran Pembaca Layanan Lab
Tetapkan peran Pembaca Lab Services untuk memberikan tampilan izin pengguna lab yang ada. Pengguna tidak dapat membuat perubahan apa pun pada lab yang ada.
Tetapkan peran Pembaca Lab Services pada grup sumber daya atau lab.
Saat Anda menetapkan peran Pembaca Lab Services pada grup sumber daya, pengguna dapat:
- Lihat semua lab dalam grup sumber daya.
Saat Anda menetapkan peran Pembaca Lab Services di lab, pengguna dapat:
- Hanya lihat lab tertentu.
IAM (Identity and access management/Manajemen Identitas & Akses)
Halaman Kontrol akses (IAM) di portal Azure digunakan untuk mengonfigurasi kontrol akses berbasis peran Azure pada sumber daya Azure Lab Services. Anda dapat menggunakan peran bawaan untuk individu dan grup di Direktori Aktif. Cuplikan layar berikut menunjukkan integrasi Direktori Aktif (Azure RBAC) menggunakan kontrol akses (IAM) di portal Microsoft Azure:
Untuk langkah-langkah mendetail, lihat Menetapkan peran Azure menggunakan portal Azure.
Grup sumber daya dan struktur rencana lab
Organisasi Anda harus menginvestasikan waktu di muka untuk merencanakan struktur grup sumber daya dan rencana lab. Ini sangat penting ketika Anda menetapkan peran pada grup sumber daya karena juga menerapkan izin ke semua sumber daya dalam grup sumber daya.
Untuk memastikan bahwa pengguna hanya diberikan izin ke sumber daya yang sesuai:
Buat grup sumber daya yang hanya berisi sumber daya terkait lab.
Atur rencana lab dan lab ke dalam grup sumber daya terpisah sesuai dengan pengguna yang harus memiliki akses.
Misalnya, Anda dapat membuat grup sumber daya terpisah untuk departemen yang berbeda untuk mengisolasi sumber daya lab setiap departemen. Pembuat lab dalam satu departemen kemudian dapat diberikan izin pada grup sumber daya, yang hanya memberi mereka akses ke sumber daya lab departemen mereka.
Penting
Rencanakan grup sumber daya dan struktur rencana lab di muka karena tidak dimungkinkan untuk memindahkan rencana lab atau lab ke grup sumber daya yang berbeda setelah dibuat.
Akses ke beberapa grup sumber daya
Anda dapat memberi pengguna akses ke beberapa grup sumber daya. Di situs web Azure Lab Services, pengguna kemudian dapat memilih dari daftar grup sumber daya untuk melihat lab mereka.
Akses ke beberapa paket lab
Anda dapat memberi pengguna akses ke beberapa paket lab. Misalnya, saat Anda menetapkan peran Pembuat Lab kepada pengguna di grup sumber daya yang berisi lebih dari satu paket lab. Pengguna kemudian dapat memilih dari daftar paket lab saat membuat lab baru.
