Controllo degli accessi in base al ruolo di Azure in Azure Lab Services
Azure Lab Services offre il controllo degli accessi in base al ruolo di Azure predefinito per scenari di gestione comuni in Azure Lab Services. Un utente che ha un profilo in Microsoft Entra ID può assegnare questi ruoli di Azure a utenti, gruppi, entità servizio o identità gestite per concedere o negare l'accesso alle risorse e alle operazioni sulle risorse di Azure Lab Services. Questo articolo descrive i diversi ruoli predefiniti supportati da Azure Lab Services.
Il controllo degli accessi in base al ruolo di Azure è un sistema di autorizzazione basato su Azure Resource Manager che offre una gestione degli accessi granulare delle risorse di Azure.
Controllo degli accessi in base al ruolo di Azure specifica le definizioni di ruolo predefinite che delineano le autorizzazioni da applicare. È possibile assegnare un utente o un gruppo a questa definizione di ruolo tramite un'assegnazione di ruolo per un determinato ambito. L'ambito può essere una singola risorsa, un gruppo di risorse o una sottoscrizione. Nella sezione successiva vengono illustrati i ruoli predefiniti supportati da Azure Lab Services.
Per altre informazioni, vedere Che cos'è il controllo degli accessi in base al ruolo di Azure?
Nota
Quando si apportano modifiche all'assegnazione di ruolo, la propagazione di questi aggiornamenti può richiedere alcuni minuti.
Ruoli predefiniti
In questo articolo i ruoli predefiniti di Azure vengono raggruppati logicamente in due tipi di ruolo, in base all'ambito di influenza:
- ruoli Amministrazione istrator: influenzare le autorizzazioni per i piani e i lab del lab
- Ruoli di gestione del lab: influenzare le autorizzazioni per i lab
Di seguito sono riportati i ruoli predefiniti supportati da Azure Lab Services:
| Tipo di ruolo | Ruolo predefinito | Descrizione |
|---|---|---|
| Amministratore | Proprietario | Concedere il controllo completo per creare/gestire lab e piani lab e concedere autorizzazioni ad altri utenti. Altre informazioni sul ruolo Proprietario. |
| Amministratore | Collaboratore | Concedere il controllo completo per creare/gestire lab e piani di lab, ad eccezione dell'assegnazione di ruoli ad altri utenti. Altre informazioni sul ruolo Collaboratore. |
| Amministratore | Collaboratore di Lab Services | Concedere le stesse autorizzazioni del ruolo Proprietario, ad eccezione dell'assegnazione dei ruoli. Altre informazioni sul ruolo Collaboratore Lab Services. |
| Gestione del lab | Lab Creator (Creatore di lab) | Concedere l'autorizzazione per creare lab e avere il controllo completo sui lab creati. Altre informazioni sul ruolo Autore lab. |
| Gestione del lab | Collaboratore lab | Concedere l'autorizzazione per gestire un lab esistente, ma non creare nuovi lab. Altre informazioni sul ruolo Collaboratore lab. |
| Gestione del lab | Assistente lab | Concedere l'autorizzazione per visualizzare un lab esistente. Può anche avviare, arrestare o riprodurre l'immagine di qualsiasi macchina virtuale nel lab. Altre informazioni sul ruolo Assistente lab. |
| Gestione del lab | Lettore di Lab Services | Concedere l'autorizzazione per visualizzare i lab esistenti. Altre informazioni sul ruolo lettore di Lab Services. |
Ambito dell'assegnazione di ruolo
In Controllo degli accessi in base al ruolo di Azure l'ambito è il set di risorse a cui si applica l'accesso. Quando si assegna un ruolo, è importante comprendere l'ambito in modo da concedere solo l'accesso necessario.
In Azure è possibile specificare un ambito su quattro livelli: gruppo di gestione, sottoscrizione, gruppo di risorse e risorsa. Gli ambiti sono strutturati in una relazione padre-figlio. Ogni livello di gerarchia rende più specifico l'ambito. È possibile assegnare ruoli su uno qualsiasi di questi livelli di ambito. Il livello selezionato determina la portata dell'applicazione del ruolo. I livelli inferiori ereditano le autorizzazioni del ruolo da quelli superiori. Altre informazioni sull'ambito per il controllo degli accessi in base al ruolo di Azure.
Per Azure Lab Services, prendere in considerazione gli ambiti seguenti:
| Ambito | Descrizione |
|---|---|
| Subscription | Usato per gestire la fatturazione e la sicurezza per tutte le risorse e i servizi di Azure. In genere, solo gli amministratori hanno accesso a livello di sottoscrizione perché questa assegnazione di ruolo concede l'accesso a tutte le risorse nella sottoscrizione. |
| Gruppo di risorse | Contenitore logico per raggruppare le risorse. L'assegnazione di ruolo per il gruppo di risorse concede l'autorizzazione al gruppo di risorse e a tutte le risorse al suo interno, ad esempio lab e piani lab. |
| Piano lab | Una risorsa di Azure usata per applicare le impostazioni di configurazione comuni quando si crea un lab. L'assegnazione di ruolo per il piano lab concede l'autorizzazione solo a un piano lab specifico. |
| Lab | Una risorsa di Azure usata per applicare le impostazioni di configurazione comuni per la creazione e l'esecuzione di macchine virtuali lab. L'assegnazione di ruolo per il lab concede l'autorizzazione solo a un lab specifico. |
Importante
In Azure Lab Services i piani di lab e i lab sono risorse di pari livello tra loro. Di conseguenza, i lab non ereditano alcuna assegnazione di ruoli dal piano del lab. Tuttavia, le assegnazioni di ruolo del gruppo di risorse vengono ereditate dai piani lab e dai lab in tale gruppo di risorse.
Ruoli per attività lab comuni
La tabella seguente illustra le attività comuni del lab e il ruolo necessario per consentire a un utente di eseguire tale attività.
| Attività | Tipo di ruolo | Ruolo | Ambito |
|---|---|---|---|
| Concedere l'autorizzazione per creare un gruppo di risorse. Un gruppo di risorse è un contenitore logico in Azure per contenere i piani e i lab del lab. Prima di poter creare un piano o un lab del lab, questo gruppo di risorse deve esistere. | Amministratore | Proprietario o Collaboratore | Subscription |
| Concedere l'autorizzazione per inviare un ticket di supporto Microsoft, inclusa la capacità richiesta. | Amministratore | Proprietario, Collaboratore, Collaboratore richiesta di supporto | Subscription |
| Concedere l'autorizzazione a: - Assegnare ruoli ad altri utenti. - Creare/gestire piani di lab, lab e altre risorse all'interno del gruppo di risorse. - Abilitare/disabilitare il marketplace e le immagini personalizzate in un piano lab. - Collegare/scollegare la raccolta di calcolo in un piano lab. |
Amministratore | Proprietario | Gruppo di risorse |
| Concedere l'autorizzazione a: - Creare/gestire piani di lab, lab e altre risorse all'interno del gruppo di risorse. - Abilitare o disabilitare Azure Marketplace e immagini personalizzate in un piano lab. Tuttavia, non è possibile assegnare ruoli ad altri utenti. |
Amministratore | Collaboratore | Gruppo di risorse |
| Concedere l'autorizzazione per creare o gestire lab personalizzati per tutti i piani lab all'interno di un gruppo di risorse. | Gestione del lab | Lab Creator (Creatore di lab) | Gruppo di risorse |
| Concedere l'autorizzazione per creare o gestire lab personalizzati per un piano lab specifico. | Gestione del lab | Lab Creator (Creatore di lab) | Piano lab |
| Concedere l'autorizzazione per la co-gestione di un lab, ma non la possibilità di creare lab. | Gestione del lab | Collaboratore lab | Lab |
| Concedere l'autorizzazione solo alle macchine virtuali di avvio/arresto/ricreazione dell'immagine per tutti i lab all'interno di un gruppo di risorse. | Gestione del lab | Assistente lab | Gruppo di risorse |
| Concedere l'autorizzazione solo alle macchine virtuali di avvio/arresto/ricreazione dell'immagine per un lab specifico. | Gestione del lab | Assistente lab | Lab |
Importante
La sottoscrizione di un'organizzazione viene usata per gestire la fatturazione e la sicurezza per tutte le risorse e i servizi di Azure. È possibile assegnare il ruolo Proprietario o Collaboratore nella sottoscrizione. In genere, solo gli amministratori hanno accesso a livello di sottoscrizione perché include l'accesso completo a tutte le risorse nella sottoscrizione.
Ruoli di amministratore
Per concedere agli utenti l'autorizzazione per gestire Azure Lab Services all'interno della sottoscrizione dell'organizzazione, è necessario assegnargli il ruolo Proprietario, Collaboratore o Collaboratore Lab Services.
Assegnare questi ruoli al gruppo di risorse. I piani e i lab del lab all'interno del gruppo di risorse ereditano queste assegnazioni di ruolo.
La tabella seguente confronta i diversi ruoli di amministratore quando vengono assegnati nel gruppo di risorse.
| Piano lab/Lab | Attività | Proprietario | Collaboratore | Collaboratore di Lab Services |
|---|---|---|---|---|
| Piano lab | Visualizzare tutti i piani lab all'interno del gruppo di risorse | Sì | Sì | Sì |
| Piano lab | Creare, modificare o eliminare tutti i piani lab all'interno del gruppo di risorse | Sì | Sì | Sì |
| Piano lab | Assegnare ruoli ai piani lab all'interno del gruppo di risorse | Sì | No | No |
| Lab | Creare lab all'interno del gruppo di risorse** | Sì | Sì | Sì |
| Lab | Visualizzare i lab di altri utenti all'interno del gruppo di risorse | Sì | Sì | Sì |
| Lab | Modificare o eliminare i lab di altri utenti all'interno del gruppo di risorse | Sì | Sì | No |
| Lab | Assegnare ruoli ai lab di altri utenti all'interno del gruppo di risorse | Sì | No | No |
** Agli utenti viene concessa automaticamente l'autorizzazione per visualizzare, modificare le impostazioni, eliminare e assegnare ruoli per i lab creati.
Ruolo di proprietario
Assegnare il ruolo Proprietario per concedere a un utente il controllo completo per creare o gestire i piani e i lab del lab e concedere autorizzazioni ad altri utenti. Quando un utente ha il ruolo Proprietario nel gruppo di risorse, può eseguire le attività seguenti in tutte le risorse all'interno del gruppo di risorse:
- Assegnare ruoli agli amministratori, in modo da poter gestire le risorse correlate al lab.
- Assegnare ruoli ai responsabili del lab, in modo da poter creare e gestire lab.
- Creare piani e lab del lab.
- Visualizzare, eliminare e modificare le impostazioni per tutti i piani lab, tra cui collegamento o scollegamento della raccolta di calcolo e abilitazione o disabilitazione di Azure Marketplace e immagini personalizzate nei piani lab.
- Visualizzare, eliminare e modificare le impostazioni per tutti i lab.
Attenzione
Quando si assegna il ruolo Proprietario o Collaboratore nel gruppo di risorse, queste autorizzazioni si applicano anche alle risorse non correlate al lab presenti nel gruppo di risorse. Ad esempio, risorse come reti virtuali, account di archiviazione, raccolte di calcolo e altro ancora.
Ruolo Collaboratore
Assegnare il ruolo Collaboratore per concedere a un utente il controllo completo per creare o gestire piani e lab del lab all'interno di un gruppo di risorse. Il ruolo Collaboratore ha le stesse autorizzazioni del ruolo Proprietario, ad eccezione di:
- Esecuzione di assegnazioni di ruolo
Ruolo Collaboratore Lab Services
Il collaboratore di Lab Services è il più restrittivo dei ruoli di amministratore. Assegnare il ruolo Collaboratore Lab Services per abilitare le stesse attività del ruolo Proprietario, ad eccezione di:
- Esecuzione di assegnazioni di ruolo
- Modifica o eliminazione di altri lab degli utenti
Nota
Il ruolo Collaboratore Lab Services non consente modifiche alle risorse non correlate ad Azure Lab Services. D'altra parte, il ruolo Collaboratore consente di modificare tutte le risorse di Azure all'interno del gruppo di risorse.
Ruoli di gestione del lab
Usare i ruoli seguenti per concedere agli utenti le autorizzazioni per creare e gestire lab:
- Lab Creator (Creatore di lab)
- Collaboratore lab
- Assistente lab
- Lettore di Lab Services
Questi ruoli di gestione del lab concedono solo l'autorizzazione per visualizzare i piani del lab. Questi ruoli non consentono la creazione, la modifica, l'eliminazione o l'assegnazione di ruoli ai piani lab. Inoltre, gli utenti con questi ruoli non possono collegare o scollegare una raccolta di calcolo e abilitare o disabilitare le immagini delle macchine virtuali.
Ruolo autore del lab
Assegnare il ruolo Lab Creator per concedere a un utente l'autorizzazione per creare lab e avere il controllo completo sui lab creati. Ad esempio, possono modificare le impostazioni dei lab, eliminare i lab e persino concedere ad altri utenti l'autorizzazione ai lab.
Assegnare il ruolo Autore lab nel gruppo di risorse o nel piano lab.
La tabella seguente confronta l'assegnazione di ruolo Lab Creator per il gruppo di risorse o il piano lab.
| Attività | Gruppo di risorse | Piano lab |
|---|---|---|
| Creare lab all'interno del gruppo di risorse** | Sì | Sì |
| Visualizzare i lab creati | Sì | Sì |
| Visualizzare i lab di altri utenti all'interno del gruppo di risorse | Sì | No |
| Modificare o eliminare lab creati dall'utente | Sì | Sì |
| Modificare o eliminare i lab di altri utenti all'interno del gruppo di risorse | No | No |
| Assegnare ruoli ai lab di altri utenti all'interno del gruppo di risorse | No | No |
** Agli utenti viene concessa automaticamente l'autorizzazione per visualizzare, modificare le impostazioni, eliminare e assegnare ruoli per i lab creati.
Ruolo Collaboratore lab
Assegnare il ruolo Collaboratore lab per concedere a un utente l'autorizzazione per gestire un lab esistente.
Assegnare il ruolo Collaboratore lab nel lab.
Quando si assegna il ruolo Collaboratore lab nel lab, l'utente può gestire il lab assegnato. In particolare, l'utente:
- Può visualizzare, modificare tutte le impostazioni o eliminare il lab assegnato.
- L'utente non può visualizzare altri lab degli utenti.
- Non è possibile creare nuovi lab.
Ruolo Assistente lab
Assegnare il ruolo Assistente lab per concedere a un utente l'autorizzazione per visualizzare un lab e avviare, arrestare e ricreare l'immagine delle macchine virtuali del lab per il lab.
Assegnare il ruolo Assistente lab nel gruppo di risorse o nel lab.
Quando si assegna il ruolo Assistente lab nel gruppo di risorse, l'utente:
- Può visualizzare tutti i lab all'interno del gruppo di risorse e avviare, arrestare o creare di nuovo l'immagine delle macchine virtuali del lab per ogni lab.
- Non è possibile eliminare o apportare altre modifiche ai lab.
Quando si assegna il ruolo Assistente lab nel lab, l'utente:
- Può visualizzare il lab assegnato e avviare, arrestare o riprodurre l'immagine delle macchine virtuali del lab.
- Non è possibile eliminare o apportare altre modifiche al lab.
- Non è possibile creare nuovi lab.
Quando si ha il ruolo Assistente lab, per visualizzare altri lab a cui si ha accesso, assicurarsi di scegliere il filtro Tutti i lab nel sito Web di Azure Lab Services.
Ruolo lettore di Lab Services
Assegnare il ruolo Lettore di Lab Services per concedere una visualizzazione delle autorizzazioni utente ai lab esistenti. L'utente non può apportare modifiche ai lab esistenti.
Assegnare il ruolo Lettore di Lab Services nel gruppo di risorse o nel lab.
Quando si assegna il ruolo lettore Lab Services nel gruppo di risorse, l'utente può:
- Visualizzare tutti i lab all'interno del gruppo di risorse.
Quando si assegna il ruolo lettore Lab Services nel lab, l'utente può:
- Visualizzare solo il lab specifico.
Gestione delle identità e degli accessi (IAM)
La pagina Controllo di accesso (IAM) nella portale di Azure viene usata per configurare il controllo degli accessi in base al ruolo di Azure nelle risorse di Azure Lab Services. È possibile usare i ruoli predefiniti per utenti singoli e gruppi in Active Directory. Lo screenshot seguente mostra l'integrazione di Active Directory (Controllo degli accessi in base al ruolo di Azure) usando il controllo di accesso (IAM) nel portale di Azure:
Per la procedura dettagliata, vedere Assegnare ruoli di Azure usando il portale di Azure.
Gruppo di risorse e struttura del piano lab
L'organizzazione deve investire tempo prima per pianificare la struttura dei gruppi di risorse e dei piani lab. Ciò è particolarmente importante quando si assegnano ruoli nel gruppo di risorse perché applica anche le autorizzazioni a tutte le risorse nel gruppo di risorse.
Per assicurarsi che agli utenti venga concessa solo l'autorizzazione per le risorse appropriate:
Creare gruppi di risorse che contengono solo risorse correlate al lab.
Organizzare i piani e i lab del lab in gruppi di risorse separati in base agli utenti che devono avere accesso.
Ad esempio, è possibile creare gruppi di risorse separati per reparti diversi per isolare le risorse lab di ogni reparto. Ai creatori di lab in un reparto possono quindi essere concesse le autorizzazioni per il gruppo di risorse, che concede loro solo l'accesso alle risorse lab del reparto.
Importante
Pianificare il gruppo di risorse e la struttura del piano lab in anticipo perché non è possibile spostare i piani o i lab in un gruppo di risorse diverso dopo la creazione.
Accesso a più gruppi di risorse
È possibile concedere agli utenti l'accesso a più gruppi di risorse. Nel sito Web di Azure Lab Services l'utente può quindi scegliere tra l'elenco dei gruppi di risorse per visualizzare i lab.
Accesso a più piani lab
È possibile concedere agli utenti l'accesso a più piani di lab. Ad esempio, quando si assegna il ruolo Autore lab a un utente in un gruppo di risorse che contiene più di un piano lab. L'utente può quindi scegliere dall'elenco dei piani lab durante la creazione di un nuovo lab.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per