Controllo degli accessi in base al ruolo in Azure Lab Services
Importante
Azure Lab Services verrà ritirato il 28 giugno 2027. Per altre informazioni, vedere la guida al ritiro.
Azure Lab Services fornisce il controllo degli accessi in base al ruolo di Azure (Azure RBAC) predefinito per scenari di gestione comuni in Azure Lab Services. Un utente che ha un profilo in Microsoft Entra ID può assegnare questi ruoli di Azure a utenti, gruppi, entità servizio o identità gestite per concedere o negare l'accesso alle risorse e alle operazioni sulle risorse di Azure Lab Services. Questo articolo descrive i diversi ruoli predefiniti supportati da Azure Lab Services.
Il controllo degli accessi in base al ruolo di Azure (RBAC) è un sistema di autorizzazione basato su Azure Resource Manager che garantisce una gestione con granularità fine degli accessi alle risorse di Azure.
Il controllo degli accessi in base al ruolo di Azure (Azure RBAC) specifica le definizioni di ruolo predefinite che descrivono le autorizzazioni da applicare. È possibile assegnare a un utente o un gruppo questa definizione di ruolo tramite un'assegnazione di ruolo per un ambito particolare. L'ambito può essere una singola risorsa, un gruppo di risorse o una sottoscrizione. Nella sezione successiva, si apprenderà quali ruoli predefiniti sono supportati da Azure Lab Services.
Per ulteriori informazioni, vedi Che cos'è il controllo degli accessi in base al ruolo di Azure?
Nota
Quando si apportano modifiche all'assegnazione di ruolo, la propagazione di questi aggiornamenti può richiedere alcuni minuti.
Ruoli predefiniti
In questo articolo, i ruoli predefiniti di Azure vengono raggruppati logicamente in due tipi di ruolo, in base all'ambito di influenza:
- Ruoli di amministratore: influenzare le autorizzazioni lab e piani lab
- Ruoli di gestione lab: influenzare le autorizzazioni per i lab
Di seguito sono riportati i ruoli predefiniti supportati da Azure Lab Services:
| Tipo di ruolo | Ruolo predefinito | Descrizione |
|---|---|---|
| Amministratore | Proprietario | Concedere il controllo completo per creare/gestire lab e piani lab, e concedere autorizzazioni ad altri utenti. Altre informazioni sul ruolo Proprietario. |
| Amministratore | Collaboratore | Concedere il controllo completo per creare/gestire lab e piani lab, tranne l’assegnazione di ruoli ad altri utenti. Altre informazioni sul ruolo Collaboratore. |
| Amministratore | Collaboratore Lab Services | Concedere le stesse autorizzazioni del ruolo Proprietario, tranne l'assegnazione di ruoli. Altre informazioni sul ruolo Collaboratore di Lab Services. |
| Gestione lab | Lab Creator (Creatore di lab) | Concedere l'autorizzazione per creare lab e avere il controllo completo sui lab creati. Altre informazioni sul ruolo Creatore Lab. |
| Gestione lab | Collaboratore Lab | Concedere l'autorizzazione per facilitare la gestione di un lab esistente, ma non creare nuovi lab. Altre informazioni sul ruolo Collaboratore Lab. |
| Gestione lab | Assistente Lab | Concedere l'autorizzazione per visualizzare un lab esistente. È possibile avviare, restare o ricreare l'immagine di una VM nel lab. Altre informazioni sul ruolo Assistente Lab. |
| Gestione lab | Lettore Lab Services | Concedere l'autorizzazione per visualizzare lab esistenti. Altre informazioni sul ruolo Lettore Lab Services. |
Ambito dell'assegnazione di ruoli
In Azure RBAC, l’ambito è una serie di risorse a cui si applica l’accesso. Quando si assegna un ruolo, è importante comprendere l'ambito in modo da concedere solo l'accesso necessario.
In Azure è possibile specificare un ambito su quattro livelli: gruppo di gestione, sottoscrizione, gruppo di risorse e risorsa. Gli ambiti sono strutturati in una relazione padre-figlio. Ogni livello di gerarchia rende più specifico l'ambito. È possibile assegnare ruoli su uno qualsiasi di questi livelli di ambito. Il livello selezionato determina la portata dell'applicazione del ruolo. I livelli inferiori ereditano le autorizzazioni del ruolo da quelli superiori. Altre informazioni sull'ambito per il controllo degli accessi in base al ruolo di Azure (Azure RBAC).
Per Azure Lab Services, prendere in considerazione gli ambiti seguenti:
| Ambito | Descrizione |
|---|---|
| Subscription | Usato per gestire la fatturazione e la sicurezza per tutte le risorse e i servizi di Azure. Generalmente, solo gli amministratori hanno accesso a livello di sottoscrizione, perché questa assegnazione di ruolo concede l'accesso a tutte le risorse nella sottoscrizione. |
| Gruppo di risorse | Un contenitore logico per raggruppare le risorse. L'assegnazione di ruolo per il gruppo di risorse concede l'autorizzazione al gruppo di risorse e a tutte le risorse incluse, ad esempio lab e piani lab. |
| Piano lab | Una risorsa di Azure usata per applicare impostazioni di configurazione comuni quando si crea un lab. L'assegnazione di ruolo per il piano lab concede l'autorizzazione solo a un piano lab specifico. |
| Lab | Una risorsa di Azure usata per applicare impostazioni di configurazione comuni per la creazione e l'esecuzione di macchine virtuali lab. L'assegnazione di ruolo per il lab concede l'autorizzazione solo a un lab specifico. |
Importante
In Azure Lab Services, i lab e i piani lab sono di pari livello. Di conseguenza, i lab non ereditano alcuna assegnazione di ruolo dal piano lab. Tuttavia, le assegnazioni di ruolo dal gruppo di risorse vengono ereditate dai lab e dai piani lab in tale gruppo di risorse.
Ruoli per attività lab comuni
La tabella seguente illustra attività lab comuni e il ruolo necessario a un utente per eseguire tale attività.
| Impegno | Tipo di ruolo | Ruolo | Ambito |
|---|---|---|---|
| Concedere l’autorizzazione per creare un gruppo di risorse. Un gruppo di risorse è un contenitore logico in Azure per contenere lab e piani lab. Per poter creare un lab o piano lab, questo gruppo di risorse deve esistere. | Amministratore | Proprietario o Collaboratore | Abbonamento |
| Concedere l'autorizzazione per inviare un ticket di supporto Microsoft, anche per richiedere capacità. | Amministratore | Proprietario, Collaboratore, Collaboratore richieste di supporto | Abbonamento |
| Concedere l’autorizzazione per: - Assegnare ruoli ad altri utenti. - Creare/gestire lab, piani lab e altre risorse all'interno del gruppo di risorse. - Abilitare/disabilitare Marketplace e immagini personalizzate in un piano lab. - Collegare/scollegare una raccolta di ambienti calcolo in un piano lab. |
Amministratore | Proprietario | Gruppo di risorse |
| Concedere l’autorizzazione per: - Creare/gestire lab, piani lab e altre risorse all'interno del gruppo di risorse. - Abilitare o disabilitare Azure Marketplace e immagini personalizzate in un piano lab. Tuttavia, non la possibilità di assegnare ruoli ad altri utenti. |
Amministratore | Collaboratore | Gruppo di risorse |
| Concedere l'autorizzazione per creare o gestire lab personalizzati per tutti i piani lab all'interno di un gruppo di risorse. | Gestione lab | Lab Creator (Creatore di lab) | Gruppo di risorse |
| Concedere l'autorizzazione per creare o gestire lab personalizzati per un piano lab specifico. | Gestione lab | Lab Creator (Creatore di lab) | Piano lab |
| Concedere l'autorizzazione per la co-gestione di un lab, ma non la possibilità di creare lab. | Gestione lab | Collaboratore Lab | Lab |
| Concedere l'autorizzazione solo per avviare/arrestare/ricreare l’immagine delle macchine virtuali per tutti i lab all'interno di un gruppo di risorse. | Gestione lab | Assistente Lab | Gruppo di risorse |
| Concedere l'autorizzazione solo per avviare/arrestare/ricreare l’immagine delle macchine virtuali per un lab specifico. | Gestione lab | Assistente Lab | Lab |
Importante
Una sottoscrizione dell’organizzazione è usata per gestire la fatturazione e la sicurezza per tutte le risorse e i servizi di Azure. È possibile assegnare il ruolo Proprietario o Collaboratore nella sottoscrizione. Generalmente, solo gli amministratori hanno accesso a livello di sottoscrizione, perché ciò include l’accesso completo a tutte le risorse nella sottoscrizione.
Ruoli di amministratore
Per concedere agli utenti l'autorizzazione per gestire Azure Lab Services all'interno della sottoscrizione dell'organizzazione, è necessario assegnare a tali utenti il ruolo di Proprietario, Collaboratore o Collaboratore Lab Services.
Assegnare questi ruoli nel gruppo di risorse. I lab e i piani lab all'interno del gruppo di risorse ereditano queste assegnazioni di ruolo.
La tabella seguente confronta i diversi ruoli di amministratore quando vengono assegnati nel gruppo di risorse.
| Piano lab/lab | Impegno | Proprietario | Collaboratore | Collaboratore Lab Services |
|---|---|---|---|---|
| Piano lab | Visualizzare tutti i piani lab all'interno del gruppo di risorse | Sì | Sì | Sì |
| Piano lab | Creare, modificare o eliminare tutti i piani lab all'interno del gruppo di risorse | Sì | Sì | Sì |
| Piano lab | Assegnare ruoli ai piani lab all'interno del gruppo di risorse | Sì | No | No |
| Lab | Creare lab all’interno del gruppo di risorse** | Sì | Sì | Sì |
| Lab | Visualizzare i lab di altri utenti all’interno del gruppo di risorse | Sì | Sì | Sì |
| Lab | Modificare o eliminare lab di altri utenti all’interno del gruppo di risorse | Sì | Sì | No |
| Lab | Assegnare ruoli ai lab di altri utenti all’interno del gruppo di risorse | Sì | No | No |
** Agli utenti viene concessa automaticamente l'autorizzazione per visualizzare, modificare le impostazioni, eliminare e assegnare ruoli per i lab che creano.
Ruolo di proprietario
Assegnare il ruolo Proprietario per concedere a un utente il controllo completo per creare o gestire lab e piani lab, e concedere autorizzazioni ad altri utenti. Quando un utente ha il ruolo Proprietario nel gruppo di risorse, può eseguire le attività seguenti in tutte le risorse all'interno del gruppo di risorse:
- Assegnare ruoli agli amministratori, in modo da poter gestire risorse correlate al lab.
- Assegnare ruoli ai gestori lab, in modo che possano creare e gestire lab.
- Creare lab e piani di lab.
- Visualizzare, eliminare e modificare le impostazioni per tutti i piani lab, incluso il collegamento o lo scollegamento della raccolta di ambienti di calcolo e l’abilitazione o la disabilitazione di Azure Marketplace e immagini personalizzate nei piani lab.
- Visualizzare, eliminare e modificare le impostazioni per tutti i lab.
Attenzione
Quando si assegna il ruolo Proprietario o Collaboratore nel gruppo di risorse, queste autorizzazioni si applicano anche a risorse non correlate al lab esistenti nel gruppo di risorse. Ad esempio, risorse come reti virtuali, account di archiviazione, raccolte di ambienti di calcolo e altro.
Ruolo Collaboratore
Assegnare il ruolo Collaboratore per concedere a un utente il controllo completo per creare o gestire lab e piani lab all’interno di un gruppo di risorse. Il ruolo Collaboratore ha le stesse autorizzazioni del ruolo Proprietario, tranne per:
- Esecuzione di assegnazioni di ruolo
Ruolo Collaboratore Lab Services
Il Collaboratore Lab Services è il ruolo di amministratore più restrittivo. Assegnare il ruolo Collaboratore Lab Services per abilitare le stesse attività del ruolo Proprietario, tranne per:
- Esecuzione di assegnazioni di ruolo
- Modifica o eliminazione di lab di altri utenti
Nota
Il ruolo Collaboratore Lab Services non consente modifiche alle risorse non correlate ad Azure Lab Services. D'altra parte, il ruolo Collaboratore consente le modifiche a tutte le risorse di Azure all'interno del gruppo di risorse.
Ruoli di gestione lab
Usare i ruoli seguenti per concedere agli utenti le autorizzazioni per creare e gestire lab:
- Lab Creator (Creatore di lab)
- Collaboratore Lab
- Assistente Lab
- Lettore Lab Services
Questi ruoli di gestione lab concedono solo l'autorizzazione per visualizzare i piani lab. Questi ruoli non consentono la creazione, la modifica, l'eliminazione o l'assegnazione di ruoli a piani lab. Inoltre, gli utenti con questi ruoli non possono collegare o scollegare una raccolta di ambienti di calcolo e abilitare o disabilitare immagini delle macchine virtuali.
Ruolo Creatore lab
Assegnare il ruolo Creatore lab per concedere a un utente l'autorizzazione per creare lab e avere il controllo completo dei lab che crea. Ad esempio, può modificare le impostazioni dei suoi lab, eliminare i suoi lab e anche concedere ad altri utenti l'autorizzazione per i suoi lab.
Assegnare il ruolo Creatore lab nel gruppo di risorse o nel piano lab.
La tabella seguente confronta l'assegnazione del ruolo Creatore lab per il gruppo di risorse o il piano lab.
| Impegno | Gruppo di risorse | Piano lab |
|---|---|---|
| Creare lab all’interno del gruppo di risorse** | Sì | Sì |
| Visualizzare i lab che crea | Sì | Sì |
| Visualizzare i lab di altri utenti all’interno del gruppo di risorse | Sì | No |
| Modificare o eliminare i lab creati dall'utente | Sì | Sì |
| Modificare o eliminare lab di altri utenti all’interno del gruppo di risorse | No | No |
| Assegnare ruoli ai lab di altri utenti all’interno del gruppo di risorse | No | No |
** Agli utenti viene concessa automaticamente l'autorizzazione per visualizzare, modificare le impostazioni, eliminare e assegnare ruoli per i lab che creano.
Ruolo Collaboratore lab
Assegnare il ruolo Collaboratore lab per concedere a un utente l'autorizzazione per facilitare la gestione di un lab esistente.
Assegnare il ruolo Collaboratore lab nel lab.
Quando si assegna il ruolo Collaboratore lab nel lab, l'utente può gestire il lab assegnato. In particolare, l’utente:
- Può visualizzare, modificare tutte le impostazioni o eliminare il lab assegnato.
- L'utente non può visualizzare lab di altri utenti.
- Non può creare nuovi lab.
Ruolo Assistente lab
Assegnare il ruolo Assistente lab per concedere a un utente l'autorizzazione per visualizzare un lab e avviare, arrestare e ricreare l'immagine delle macchine virtuali del lab per il lab.
Assegnare il ruolo Assistente lab nel gruppo di risorse o nel lab.
Quando si assegna il ruolo Assistente lab nel gruppo di risorse, l’utente:
- Può visualizzare tutti i lab all'interno del gruppo di risorse e avviare, arrestare o ricreare l'immagine delle macchine virtuali del lab per ogni lab.
- Non può eliminare o apportare altre modifiche ai lab.
Quando si assegna il ruolo Assistente lab nel lab, l’utente:
- Può visualizzare il lab assegnato e avviare, arrestare o riprodurre l'immagine delle macchine virtuali del lab.
- Non può eliminare o apportare altre modifiche ai lab.
- Non può creare nuovi lab.
Quando si ha il ruolo Assistente lab, per visualizzare altri lab a cui si ha accesso, scegliere il filtro Tutti i lab nel sito Web di Azure Lab Services.
Ruolo Lettore Lab Services
Assegnare il ruolo Lettore Lab Services per concedere a un utente l’autorizzazione per visualizzare i lab esistenti. L'utente non può apportare modifiche ai lab esistenti.
Assegnare il ruolo Lettore Lab Services nel gruppo di risorse o nel lab.
Quando si assegna il ruolo Lettore Lab Services nel gruppo di risorse, l’utente può:
- Visualizzare tutti i lab all’interno del gruppo di risorse.
Quando si assegna il ruolo Lettore Lab Services nel lab, l’utente può:
- Visualizzare solo il lab specifico.
Gestione delle identità e degli accessi (IAM)
Il riquadro Controllo di accesso (IAM) nel portale di Azure viene usato per configurare il controllo degli accessi in base al ruolo di Azure nelle risorse di Azure Lab Services. È possibile usare ruoli predefiniti per individui e gruppi in Active Directory. La schermata seguente mostra l'integrazione di Active Directory (controllo degli accessi in base al ruolo di Azure) tramite il controllo di accesso (IAM) nel portale di Azure:
Per la procedura dettagliata, vedere Assegnare ruoli di Azure usando il portale di Azure.
Struttura del gruppo di risorse e del piano lab
L'organizzazione deve investire tempo per pianificare la struttura dei gruppi di risorse e dei piani lab. Ciò è particolarmente importante quando si assegnano ruoli nel gruppo di risorse, perché si applicano anche le autorizzazioni per tutte le risorse nel gruppo di risorse.
Per accertarsi che agli utenti venga concessa solo l'autorizzazione per le risorse appropriate:
Creare gruppi di risorse che contengono solo risorse correlate al lab.
Organizzare lab e piani lab in gruppi di risorse separati in base agli utenti che devono avere l’accesso.
Ad esempio, è possibile creare gruppi di risorse separati per reparti diversi per isolare le risorse lab di ogni reparto. Ai creatori di lab in un reparto, quindi, possono essere concesse le autorizzazioni nel gruppo di risorse, concedendo in tal modo solo l'accesso alle risorse lab del loro reparto.
Importante
Pianificare in anticipo la struttura del gruppo di risorse e del piano lab, perché non è possibile spostare lab o piani lab in un gruppo di risorse diverso dopo che sono stati creati.
Accesso a più gruppi di risorse
È possibile concedere agli utenti l'accesso a più gruppi di risorse. Nel sito Web di Azure Lab Services, quindi, l'utente può scegliere dall'elenco dei gruppi di risorse per visualizzare i suoi lab.
Accesso a più piani lab
È possibile concedere agli utenti l'accesso a più piani lab. Ad esempio, quando si assegna il ruolo Creatore lab a un utente in un gruppo di risorse che contiene più di un piano lab. L'utente, quindi, può scegliere dall'elenco dei piani lab durante la creazione di un nuovo lab.
