Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive i differenti ruoli predefiniti supportati da Microsoft Dev Box e il relativo mapping ai ruoli dell'organizzazione, ad esempio il tecnico della piattaforma e il responsabile di sviluppo.
Il controllo degli accessi in base al ruolo di Azure (RBAC) specifica le definizioni di ruolo predefinite che delineano le autorizzazioni da applicare. È possibile assegnare a un utente o un gruppo questa definizione di ruolo tramite un'assegnazione di ruolo per un ambito particolare. L'ambito può essere una singola risorsa, un gruppo di risorse o una sottoscrizione. Nella sezione successiva, si apprenderà quali ruoli predefiniti sono supportati da Microsoft Dev Box.
Per ulteriori informazioni, vedi Che cos'è il controllo degli accessi in base al ruolo di Azure?
Nota
Quando si apportano modifiche all'assegnazione di ruolo, la propagazione di questi aggiornamenti può richiedere alcuni minuti.
Ruoli predefiniti
In questo articolo, i ruoli predefiniti di Azure vengono raggruppati logicamente in tre tipi di ruolo organizzativo, in base all'ambito di influenza:
Ruoli del tecnico della piattaforma: influenzare le autorizzazioni per i centri di sviluppo, i cataloghi e i progetti
Dev Manager: influenzare le autorizzazioni per le risorse basate su progetto
Ruoli sviluppatore: influenzare le autorizzazioni per gli utenti
Di seguito sono riportati i ruoli predefiniti supportati da Microsoft Dev Box:
| Tipo di ruolo dell'organizzazione | Ruolo predefinito | Descrizione |
|---|---|---|
| Tecnico di piattaforma | Proprietario | Concedere il controllo completo per creare/gestire centri di sviluppo, cataloghi e progetti e concedere autorizzazioni ad altri utenti. Altre informazioni sul ruolo Proprietario. |
| Tecnico di piattaforma | Collaboratore | Concedere il controllo completo per creare/gestire centri di sviluppo, cataloghi e progetti, ad eccezione dell'assegnazione di ruoli ad altri utenti. Altre informazioni sul ruolo Collaboratore. |
| Manager di sviluppo | Amministratore progetto DevCenter | Concedere l'autorizzazione per gestire determinati aspetti dei progetti e delle finestre di sviluppo. Altre informazioni sul ruolo di amministratore del progetto DevCenter. |
| Sviluppatore | Utente di Dev Box | Concedere l'autorizzazione per creare le caselle di sviluppo e avere il controllo completo sulle caselle di sviluppo create. Altre informazioni sul ruolo Utente di Dev Box. |
Ambito dell'assegnazione di ruoli
In Azure RBAC, l’ambito è una serie di risorse a cui si applica l’accesso. Quando si assegna un ruolo, è importante comprendere l'ambito in modo da concedere solo l'accesso necessario.
In Azure è possibile specificare un ambito su quattro livelli: gruppo di gestione, sottoscrizione, gruppo di risorse e risorsa. Gli ambiti sono strutturati in una relazione padre-figlio. Ogni livello di gerarchia rende più specifico l'ambito. È possibile assegnare ruoli su uno qualsiasi di questi livelli di ambito. Il livello selezionato determina la portata dell'applicazione del ruolo. I livelli inferiori ereditano le autorizzazioni del ruolo da quelli superiori. Altre informazioni sull'ambito per il controllo degli accessi in base al ruolo di Azure (Azure RBAC).
Per Microsoft Dev Box, prendere in considerazione gli ambiti seguenti:
| Ambito | Descrizione |
|---|---|
| Subscription | Usato per gestire la fatturazione e la sicurezza per tutte le risorse e i servizi di Azure. Generalmente, solo i tecnici della piattaforma hanno accesso a livello di sottoscrizione, perché questa assegnazione di ruolo concede l'accesso a tutte le risorse nella sottoscrizione. |
| Gruppo di risorse | Un contenitore logico per raggruppare le risorse. L'assegnazione di ruolo per il gruppo di risorse concede l'autorizzazione al gruppo di risorse e a tutte le risorse al suo interno, ad esempio i centri di sviluppo, le definizioni delle caselle di sviluppo, i pool di box di sviluppo, i progetti e le caselle di sviluppo. |
| Dev Center (risorsa) | Una raccolta di progetti che richiedono impostazioni simili. L'assegnazione di ruolo per il Dev Center concede l'autorizzazione al Dev Center stesso. Le autorizzazioni assegnate per i centri di sviluppo non vengono ereditate da altre risorse della macchina di sviluppo. |
| Progetto (risorsa) | Una risorsa di Azure usata per applicare impostazioni di configurazione comuni quando si crea una macchina di sviluppo. L'assegnazione di ruolo per il progetto concede l'autorizzazione solo a tale progetto specifico. |
| Pool di box di sviluppo (risorsa) | Una raccolta di macchine di sviluppo gestite insieme e a cui si applicano impostazioni simili. L'assegnazione di ruolo per il pool della macchina di sviluppo concede l'autorizzazione solo a tale pool di box di sviluppo specifico. |
| Definizione della casella di sviluppo (risorsa) | Risorsa di Azure che specifica un'immagine e una dimensione di origine, incluse le dimensioni di calcolo e le dimensioni di archiviazione. L'assegnazione di ruolo per la definizione della casella di sviluppo concede l'autorizzazione solo alla definizione specifica della casella di sviluppo. |
Ruoli per le attività comuni di Dev Box
La tabella seguente illustra attività Dev Box comuni e il ruolo necessario a un utente per eseguire tale attività.
| Impegno | Tipo di ruolo | Ruolo | Ambito |
|---|---|---|---|
| Concedere l’autorizzazione per creare un gruppo di risorse. | Tecnico di piattaforma | Proprietario o Collaboratore | Abbonamento |
| Concedere l'autorizzazione per inviare un ticket di supporto Microsoft, anche per richiedere capacità. | Tecnico di piattaforma | Proprietario, Collaboratore, Collaboratore richieste di supporto | Abbonamento |
| Concedere l'autorizzazione per creare reti virtuali e subnet. | Tecnico di piattaforma | Collaboratore di rete | Gruppo di risorse |
| Concedere l'autorizzazione per creare una connessione di rete. | Tecnico di piattaforma | Proprietario o Collaboratore | Gruppo di risorse |
| Concedere l'autorizzazione per assegnare ruoli ad altri utenti. | Tecnico di piattaforma | Proprietario | Gruppo di risorse |
| Concedere l'autorizzazione a: - Creare/gestire i centri di sviluppo. - Aggiungere / Rimuovere connessioni di rete. - Aggiungere/Rimuovere raccolte di calcolo di Azure. - Creare / Gestire definizioni della macchina di sviluppo. - Creare/Gestire progetti. - Allegare/Gestire il catalogo a un Dev Center o a un progetto (i cataloghi a livello di progetto devono essere abilitati nel Dev Center). - Configurare i limiti della macchina di sviluppo. |
Tecnico di piattaforma | Collaboratore | Gruppo di risorse |
| Concedere l'autorizzazione per aggiungere o rimuovere una connessione di rete per un Dev Center. | Tecnico di piattaforma | Collaboratore | Centro per sviluppatori |
| Concedere l'autorizzazione per abilitare/disabilitare i cataloghi di progetti. | Manager di sviluppo | Collaboratore | Centro per sviluppatori |
| Concedere l'autorizzazione a: - Aggiungere, sincronizzare, rimuovere il catalogo (i cataloghi a livello di progetto devono essere abilitati nel Dev Center). - Crea pool della macchina di sviluppo. - Arrestare, avviare, eliminare le caselle di sviluppo nei pool. |
Manager di sviluppo | Amministratore progetto DevCenter | Project |
| Creare e gestire le proprie finestre di sviluppo in un progetto. | User | Utente di Dev Box | Project |
| Creare e gestire cataloghi in un repository GitHub o Azure Repos. | Manager di sviluppo | Non disciplinato dal controllo degli accessi in base al ruolo.
- All'utente devono essere assegnate autorizzazioni tramite Azure DevOps o GitHub. |
Repository |
Importante
Una sottoscrizione dell’organizzazione è usata per gestire la fatturazione e la sicurezza per tutte le risorse e i servizi di Azure. È possibile assegnare il ruolo Proprietario o Collaboratore nella sottoscrizione. Generalmente, solo i tecnici di piattaforma hanno accesso a livello di sottoscrizione, perché ciò include l'accesso completo a tutte le risorse nella sottoscrizione.
Ruoli del tecnico della piattaforma
Per concedere agli utenti l'autorizzazione per gestire Microsoft Dev Box all'interno della sottoscrizione dell'organizzazione, è necessario assegnargli il ruolo Proprietario o Collaboratore.
Assegnare questi ruoli al gruppo di risorse. I centri di sviluppo, le connessioni di rete, le definizioni della macchina di sviluppo, i pool della macchina di sviluppo e i progetti all'interno del gruppo di risorse ereditano queste assegnazioni di ruolo.
Ruolo di proprietario
Assegnare il ruolo Proprietario per concedere a un utente il controllo completo per creare o gestire risorse Dev Box, e concedere autorizzazioni ad altri utenti. Quando un utente ha il ruolo Proprietario nel gruppo di risorse, può eseguire le attività seguenti in tutte le risorse all'interno del gruppo di risorse:
Assegnare ruoli ai tecnici della piattaforma, in modo che possano gestire le risorse di Dev Box.
Creare centri di sviluppo, connessioni di rete, definizioni della macchina di sviluppo, pool della macchina di sviluppo e progetti.
Visualizzare, eliminare e modificare le impostazioni per tutti i centri di sviluppo, le connessioni di rete, le definizioni della macchina di sviluppo, i pool di box di sviluppo e i progetti.
Allegare e scollegare cataloghi.
Attenzione
Quando si assegna il ruolo Proprietario o Collaboratore nel gruppo di risorse, queste autorizzazioni si applicano anche a risorse non correlate a Dev Box esistenti nel gruppo di risorse.
Ruolo Collaboratore
Assegnare il ruolo Collaboratore per concedere a un utente il controllo completo per creare o gestire Dev Center e progetti all’interno di un gruppo di risorse. Il ruolo Collaboratore ha le stesse autorizzazioni del ruolo Proprietario, tranne per:
- Esecuzione di assegnazioni di ruolo.
Ruolo Dev Manager
È presente un ruolo di responsabile di sviluppo: DevCenter Project Admin. Questo ruolo ha autorizzazioni più limitate in ambiti di livello inferiore rispetto ai ruoli del tecnico della piattaforma. È possibile assegnare questo ruolo ai responsabili di sviluppo per consentire loro di eseguire attività amministrative per il proprio team.
Ruolo di amministratore progetto DevCenter
Assegnare l'amministratore del progetto DevCenter per abilitare:
Aggiungere, sincronizzare, rimuovere il catalogo (i cataloghi a livello di progetto devono essere abilitati nel Dev Center).
Crea pool della macchina di sviluppo.
Arrestare, avviare ed eliminare le caselle di sviluppo nei pool.
ruolo di sviluppatore
C'è un ruolo sviluppatore: Dev Box User. Questo ruolo consente agli sviluppatori di creare e gestire le proprie finestre di sviluppo.
Utente di Dev Box
Assegnare il ruolo Dev Box User per concedere agli utenti l'autorizzazione per creare le caselle di sviluppo e avere il controllo completo sulle caselle di sviluppo create. Gli sviluppatori possono eseguire le azioni seguenti in qualsiasi casella di sviluppo creata:
- Creazione
- Start / stop
- Riavviare
- Arresto pianificato ritardato
- Elimina
Gestione delle identità e degli accessi (IAM)
Il riquadro Controllo di accesso (IAM) nel portale di Azure viene usato per configurare il controllo degli accessi in base al ruolo nelle risorse di Microsoft Dev Box. È possibile usare ruoli predefiniti per individui e gruppi in Active Directory. La schermata seguente mostra l'integrazione di Active Directory (controllo degli accessi in base al ruolo di Azure) tramite il controllo di accesso (IAM) nel portale di Azure:
Per la procedura dettagliata, vedere Assegnare ruoli di Azure usando il portale di Azure.
Dev Center, gruppo di risorse e struttura del progetto
L'organizzazione deve investire tempo prima per pianificare il posizionamento dei centri di sviluppo e la struttura di gruppi di risorse e progetti.
Dev Center: organizzare i Dev Center in base al set di progetti che si desidera gestire insieme, applicare impostazioni simili e fornire modelli simili.
Le organizzazioni possono usare uno o più Dev Center. In genere, ogni sotto-organizzazione all'interno dell'organizzazione ha un proprio Dev Center. Si può prendere in considerazione la creazione di più Dev Center nei casi seguenti:
Se si desidera che siano disponibili configurazioni specifiche per un subset di progetti.
Se team differenti devono essere proprietari e gestire la risorsa Dev Center in Azure.
Progetti: associati a ogni team di sviluppo o gruppo di persone che lavorano su un'app o un prodotto.
La pianificazione è particolarmente importante quando si assegnano ruoli al gruppo di risorse perché applica anche le autorizzazioni a tutte le risorse nel gruppo di risorse, inclusi i centri di sviluppo, le connessioni di rete, le definizioni della macchina di sviluppo, i pool della macchina di sviluppo e i progetti.
Per accertarsi che agli utenti venga concessa solo l'autorizzazione per le risorse appropriate:
Creare gruppi di risorse che contengono solo risorse di Dev Box.
Organizzare i progetti in base alla definizione della casella di sviluppo e ai pool della macchina di sviluppo necessari e agli sviluppatori che devono avere accesso. È importante notare che i pool della macchina di sviluppo determinano la posizione di creazione della casella di sviluppo. Gli sviluppatori devono creare macchine di sviluppo in una posizione vicino a loro per ottenere la latenza minima.
Ad esempio, è possibile creare progetti separati per team di sviluppo differenti per isolare le risorse di ogni team. I responsabili di sviluppo in un progetto possono quindi essere assegnati al ruolo di amministratore del progetto, che concede loro solo l'accesso alle risorse del team.
Importante
Pianificare la struttura in anticipo perché non è possibile spostare risorse di Dev Box come progetti in un gruppo di risorse differente dopo la creazione.
Struttura del catalogo
Microsoft Dev Box usa cataloghi per consentire agli sviluppatori di distribuire personalizzazioni per le finestre di sviluppo usando un catalogo di attività e un file di personalizzazione per installare software, aggiungere estensioni, clonare repository e altro ancora.
Microsoft Dev Box archivia i cataloghi in un repository GitHub o in un repository di Azure DevOps Services. È possibile collegare un catalogo a un Dev Center o a un progetto.
È possibile allegare uno o più cataloghi al Dev Center e gestire tutte le personalizzazioni a tale livello. Per offrire maggiore granularità nel modo in cui gli sviluppatori accedono alle personalizzazioni, è possibile allegare cataloghi a livello di progetto. Nella pianificazione della posizione in cui allegare i cataloghi, è necessario considerare le esigenze di ogni team di sviluppo.