Usare i Controllo di accesso basati sui ruoli per gestire Macchine virtuali Azure Stack HCI

Si applica a: Azure Stack HCI, versione 23H2

Questo articolo descrive come usare il controllo degli Controllo di accesso accessi in base al ruolo (RBAC) per controllare l'accesso alle macchine virtuali Arc in esecuzione nel cluster Azure Stack HCI.

È possibile usare i ruoli controllo degli accessi in base al ruolo predefiniti per controllare l'accesso alle macchine virtuali e alle risorse delle macchine virtuali, ad esempio dischi virtuali, interfacce di rete, immagini di macchine virtuali, reti logiche e percorsi di archiviazione. È possibile assegnare questi ruoli a utenti, gruppi, entità servizio e identità gestite.

Importante

Questa funzionalità è attualmente disponibile in ANTEPRIMA. Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.

Informazioni sui ruoli controllo degli accessi in base al ruolo predefiniti

Per controllare l'accesso alle macchine virtuali e alle risorse della macchina virtuale in Azure Stack HCI, è possibile usare i ruoli controllo degli accessi in base al ruolo seguenti:

• Amministratore di Azure Stack HCI : questo ruolo concede l'accesso completo al cluster Azure Stack HCI e alle relative risorse. Un amministratore di Azure Stack HCI può registrare il cluster, nonché assegnare i ruoli di lettore vm di Azure Stack HCI e azure Stack HCI ad altri utenti. Possono anche creare risorse condivise dal cluster, ad esempio reti logiche, immagini di macchine virtuali e percorsi di archiviazione.
• Collaboratore macchina virtuale Azure Stack HCI : questo ruolo concede le autorizzazioni per eseguire tutte le azioni della macchina virtuale, ad esempio l'avvio, l'arresto, il riavvio delle macchine virtuali. Un Collaboratore macchina virtuale Azure Stack HCI può creare ed eliminare macchine virtuali, nonché le risorse e le estensioni collegate alle macchine virtuali. Un Collaboratore macchina virtuale Azure Stack HCI non può registrare il cluster o assegnare ruoli ad altri utenti, né creare risorse condivise dal cluster, ad esempio reti logiche, immagini vm e percorsi di archiviazione.
• Lettore di macchine virtuali azure Stack HCI : questo ruolo concede le autorizzazioni per visualizzare solo le macchine virtuali. Un lettore di macchine virtuali non può eseguire alcuna azione nelle macchine virtuali o nelle risorse e nelle estensioni della macchina virtuale.

Ecco una tabella che descrive le azioni della macchina virtuale concesse da ogni ruolo per le macchine virtuali e le varie risorse della macchina virtuale. Le risorse della macchina virtuale sono denominate risorse necessarie per creare una macchina virtuale e includono dischi virtuali, interfacce di rete, immagini vm, reti logiche e percorsi di archiviazione:

Ruolo predefinito	VM	Risorse della macchina virtuale
Amministratore di Azure Stack HCI	Creare, elencare, eliminare macchine virtuali Avviare, arrestare, riavviare le macchine virtuali	Creare, elencare ed eliminare tutte le risorse vm, incluse le reti logiche, le immagini delle macchine virtuali e i percorsi di archiviazione
Collaboratore macchina virtuale Azure Stack HCI	Creare, elencare, eliminare macchine virtuali Avviare, arrestare, riavviare le macchine virtuali	Creare, elencare, eliminare tutte le risorse vm ad eccezione delle reti logiche, delle immagini delle macchine virtuali e dei percorsi di archiviazione
Lettore di macchine virtuali di Azure Stack HCI	Elencare tutte le macchine virtuali	Elencare tutte le risorse della macchina virtuale

Prerequisiti

Prima di iniziare, assicurarsi di completare i prerequisiti seguenti:

1. Assicurarsi di avere accesso a un cluster Azure Stack HCI distribuito e registrato. Durante la distribuzione vengono creati anche un Arc Resource Bridge e una posizione personalizzata.

   Passare al gruppo di risorse in Azure. È possibile visualizzare la posizione personalizzata e azure Arc Resource Bridge creati per il cluster Azure Stack HCI. Prendere nota della sottoscrizione, del gruppo di risorse e della posizione personalizzata, perché verranno usati più avanti in questo scenario.

2. Assicurarsi di avere accesso alla sottoscrizione di Azure come proprietario o amministratore accesso utenti per assegnare ruoli ad altri utenti.

Assegnare ruoli Controllo degli accessi in base al ruolo agli utenti

È possibile assegnare ruoli controllo degli accessi in base al ruolo all'utente tramite il portale di Azure. Seguire questa procedura per assegnare ruoli controllo degli accessi in base al ruolo agli utenti:

1. Nel portale di Azure cercare l'ambito a cui concedere l'accesso, ad esempio cercare sottoscrizioni, gruppi di risorse o una risorsa specifica. In questo esempio viene usata la sottoscrizione in cui viene distribuito il cluster Azure Stack HCI.

2. Passare alla sottoscrizione e quindi passare a Controllo di accesso (IAM) > Assegnazioni di ruolo. Nella barra dei comandi superiore selezionare + Aggiungi e quindi selezionare Aggiungi assegnazione di ruolo.

   Se non si dispone delle autorizzazioni per assegnare i ruoli, l'opzione Aggiungi assegnazione di ruolo è disabilitata.

   

3. Nella scheda Ruolo selezionare un ruolo controllo degli accessi in base al ruolo da assegnare e scegliere tra uno dei ruoli predefiniti seguenti:

   • Amministratore di Azure Stack HCI
   • Collaboratore macchina virtuale Azure Stack HCI
   • Lettore di macchine virtuali di Azure Stack HCI

   

4. Nella scheda Membri selezionare l'entità utente, il gruppo o l'entità servizio. Selezionare anche un membro per assegnare il ruolo.

   

5. Esaminare il ruolo e assegnarlo.

   

6. Verificare l'assegnazione di ruolo. Passare a Controllo di accesso (IAM) > Controllare l'accesso > Visualizza l'accesso. Verrà visualizzata l'assegnazione di ruolo.

   

Per altre informazioni sull'assegnazione di ruolo, vedere Assegnare ruoli di Azure usando il portale di Azure.

Passaggi successivi

• Creare un percorso di archiviazione per la macchina virtuale Azure Stack HCI.