Risorse, ruoli e controllo di accesso in Application Insights
È possibile controllare chi ha accesso in lettura e aggiornamento ai dati in Application Insights usando il controllo degli accessi in base al ruolo di Azure.
Importante
Assegnare l'accesso agli utenti nel gruppo di risorse o nella sottoscrizione a cui appartiene la risorsa dell'applicazione, non nella risorsa stessa. Assegnare il ruolo di Collaboratore componente di Application Insights. Questo ruolo garantisce un controllo uniforme dell'accesso ai test Web e agli avvisi insieme alla risorsa dell'applicazione. Ulteriori informazioni.
Nota
È consigliabile usare il modulo Azure Az PowerShell per interagire con Azure. Per iniziare, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.
Risorse, gruppi e sottoscrizioni
Prima di tutto, definiamo alcuni termini:
Risorsa: istanza di un servizio di Azure. La risorsa di Application Insights raccoglie, analizza e visualizza i dati di telemetria inviati dall'applicazione. Altri tipi di risorse di Azure includono app Web, database e macchine virtuali.
Per visualizzare le risorse, aprire il portale di Azure, accedere e selezionare Tutte le risorse. Per trovare una risorsa, immettere parte del nome nel campo filtro.
- Gruppo di risorse: ogni risorsa appartiene a un gruppo. Un gruppo è un modo pratico per gestire risorse correlate, in particolare per il controllo di accesso. Ad esempio, in un gruppo di risorse è possibile inserire un'app Web, una risorsa di Application Insights per monitorare l'app e una risorsa Archiviazione di Azure per mantenere i dati esportati.
- Sottoscrizione: per usare Application Insights o altre risorse di Azure, accedere a una sottoscrizione di Azure. Ogni gruppo di risorse appartiene a una sottoscrizione di Azure, in cui si sceglie il pacchetto di prezzo. Se si tratta di una sottoscrizione dell'organizzazione, il proprietario può scegliere i membri e le relative autorizzazioni di accesso.
- Account Microsoft: nome utente e password usati per accedere alle sottoscrizioni di Azure, Xbox Live, Outlook.com e altri servizi Microsoft.
Controllare l'accesso nel gruppo di risorse
Insieme alla risorsa creata per l'applicazione, sono disponibili anche risorse nascoste separate per gli avvisi e i test Web. Sono collegati allo stesso gruppo di risorse della risorsa di Application Insights. È anche possibile che siano stati inseriti altri servizi di Azure in tale posizione, ad esempio siti Web o risorsa di archiviazione.
Fornire l'accesso a un altro utente
È necessario disporre dei diritti di proprietario per la sottoscrizione o per il gruppo di risorse.
L'utente deve avere un account Microsoft o accedere al proprio account Microsoft aziendale. È possibile fornire l'accesso a singoli utenti e anche ai gruppi di utenti definiti in Microsoft Entra ID.
Passare a un gruppo di risorse o direttamente alla risorsa stessa
Assegnare il ruolo Collaboratore al controllo degli accessi in base al ruolo di Azure.
Per i passaggi dettagliati, vedere Assegnare ruoli di Azure usando il portale di Azure.
Selezionare un ruolo
Se applicabile, il collegamento si connette alla documentazione di riferimento ufficiale associata.
| Ruolo | Nel gruppo di risorse |
|---|---|
| Proprietario | Può apportare qualsiasi modifica, incluso l'accesso utente. |
| Collaboratore | Può apportare qualsiasi modifica, incluse tutte le risorse. |
| Collaboratore componente di Application Insights | Può modificare le risorse di Application Insights. |
| Lettore | Può visualizzare qualsiasi oggetto ma non può apportare alcuna modifica. |
| Debugger di snapshot di Application Insights | Concede l'autorizzazione utente per l'uso delle funzionalità di Snapshot Debugger di Application Insights. Questo ruolo non è incluso nei ruoli Proprietario o Collaboratore. |
| Collaboratore alla gestione delle versioni di distribuzione dei servizi di Azure | Ruolo di collaboratore per i servizi di distribuzione tramite la distribuzione dei servizi di Azure. |
| Pulizia dati | Ruolo speciale per l'eliminazione dei dati personali. Per altre informazioni, vedere Gestire i dati personali in Log Analytics e Application Insights. |
| Amministratore di Azure ExpressRoute | Può creare, eliminare e gestire le route rapide. |
| Collaboratore di Log Analytics | Il ruolo Collaboratore di Log Analytics può leggere tutti i dati di monitoraggio e modificare le impostazioni di monitoraggio. La modifica delle impostazioni di monitoraggio include l'aggiunta dell'estensione vm alle macchine virtuali, la lettura delle chiavi dell'account di archiviazione per poter configurare la raccolta di log da Archiviazione di Azure, la creazione e la configurazione degli account di Automazione, l'aggiunta di soluzioni e la configurazione della diagnostica di Azure in tutte le risorse di Azure. Se si verificano problemi durante la configurazione della diagnostica di Azure, vedere Diagnostica di Azure. |
| Lettore di Log Analytics | Il lettore di Log Analytics può visualizzare e cercare tutti i dati di monitoraggio e visualizzare le impostazioni di monitoraggio, inclusa la visualizzazione della configurazione della diagnostica di Azure in tutte le risorse di Azure. Se si verificano problemi durante la configurazione della diagnostica di Azure, vedere Diagnostica di Azure. |
| masterreader | Consente a un utente di visualizzare tutti gli elementi, ma senza apportare modifiche. |
| Collaboratore al monitoraggio | Può leggere tutti i dati di monitoraggio e aggiornare le impostazioni di monitoraggio. |
| Autore delle metriche di monitoraggio | Abilita la pubblicazione di metriche delle risorse di Azure. |
| Lettore di monitoraggio | Può leggere tutti i dati di monitoraggio. |
| Collaboratore criteri risorse (anteprima) | Gli utenti con backfilling da Contratto Enterprise, con diritti per creare/modificare i criteri delle risorse, creare ticket di supporto e leggere risorse/gerarchia. |
| Amministratore accesso utenti | Consente a un utente gestire l'accesso per altri utenti alle risorse di Azure. |
| Collaboratore siti Web | Consente di gestire siti Web (non piani Web), ma non di accedervi. |
La modifica include la creazione, l'eliminazione e l'aggiornamento:
- Risorse
- Test Web
- Avvisi
- Esportazione continua
Selezionare l'utente
Se l'utente desiderato non è nella directory, è possibile invitare chiunque disponga di un account Microsoft. Se usano servizi come Outlook.com, OneDrive, Windows Telefono o Xbox Live, hanno un account Microsoft.
Contenuto correlato
Vedere l'articolo Controllo degli accessi in base al ruolo di Azure.
Query di PowerShell per determinare l'appartenenza al ruolo
Poiché alcuni ruoli possono essere collegati a notifiche e avvisi di posta elettronica, può essere utile generare un elenco di utenti che appartengono a un determinato ruolo. Per facilitare la generazione di questi tipi di elenchi, è possibile modificare le query di esempio seguenti in base alle esigenze specifiche.
Query dell'intera sottoscrizione per i ruoli di Amministratore e Collaboratore
(Get-AzRoleAssignment -IncludeClassicAdministrators | Where-Object {$_.RoleDefinitionName -in @('ServiceAdministrator', 'CoAdministrator', 'Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Query all'interno del contesto di una risorsa specifica di Application Insights per proprietari e collaboratori
$resourceGroup = "RGNAME"
$resourceName = "AppInsightsName"
$resourceType = "microsoft.insights/components"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup -ResourceType $resourceType -ResourceName $resourceName | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Query all'interno del contesto di un gruppo di risorse specifico per proprietari e collaboratori
$resourceGroup = "RGNAME"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "