Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'agente può analizzare i problemi, eseguire azioni sull'infrastruttura di produzione e accedere ai dati sensibili nell'ambiente in uso. Il controllo di accesso determina chi può richiedere azioni, chi può approvarle e chi può modificare la configurazione dell'agente.
Panoramica del controllo di accesso
Il controllo di accesso funziona su quattro livelli.
| Livello | Controlli | Configurato in |
|---|---|---|
| Ruoli utente (questo articolo) | Operazioni che gli utenti possono eseguire con l'agente | Azure IAM sulla risorsa dell'agente |
| Modalità di esecuzione | Indica se l'agente chiede prima di agire | Per trigger e per attività pianificata |
| L'identità dell'agente | Informazioni a cui l'agente può accedere in Azure | Ruoli RBAC nei gruppi di risorse |
| Ritorno OBO | Accesso con privilegi elevati temporanei | L'amministratore autorizza su richiesta |
Tre ruoli predefiniti
L'agente include tre ruoli RBAC integrati di Azure.
| Ruolo | Può fare | Non può farlo |
|---|---|---|
| SRE Agente Lettore | Visualizzare thread, log, eventi imprevisti | Chat, richiedere azioni, modificare qualsiasi elemento |
| Utente standard dell'agente SRE | Chat, eseguire la diagnostica, richiedere azioni | Approvare azioni, eliminare risorse, modificare i connettori |
| Amministratore agente SRE | Approvare azioni, gestire i connettori, eliminare le risorse | (Accesso completo) |
L'utente che crea l'agente ottiene automaticamente il ruolo amministratore agente SRE .
Chi deve avere quale ruolo
Usare le indicazioni seguenti per assegnare ruoli in base alle responsabilità del team.
| Ruolo | Assegna a |
|---|---|
| SRE Agente Lettore | Revisori, team di conformità, stakeholder che necessitano di visibilità |
| Utente standard dell'agente SRE | Ingegneri L1/L2, primi risponditori, chiunque diagnostica i problemi |
| Amministratore agente SRE | Responsabili SRE, amministratori cloud, comandanti degli incidenti |
Come il portale applica le autorizzazioni
Il portale controlla le assegnazioni di ruolo di Azure quando si accede all'agente. L'accesso viene applicato a due livelli.
Livello 1: Nessun accesso all'agente
Quando non si ha l'assegnazione di ruolo agente SRE, il portale visualizza una schermata Accesso richiesto con un'icona a forma di scudo e un pulsante Vai al controllo di accesso che apre l'interfaccia Azure IAM. Se si dispone del proprietario o del collaboratore di Azure nella risorsa, viene visualizzata anche un'offerta banner per assegnare automaticamente il ruolo di amministratore.
Livello 2: Applicazione back-end
Quando si dispone di un ruolo agente SRE ma si tenta di eseguire un'azione oltre le autorizzazioni, ad esempio un lettore che prova a inviare un messaggio o un utente standard che tenta di creare un subagente, il back-end blocca l'azione con un errore 403. Il portale potrebbe consentire di passare a una pagina o selezionare un pulsante, ma l'operazione non riesce con un errore di autorizzazione quando raggiunge il server.
Annotazioni
Alcune funzionalità del portale disabilitano in modo proattivo i pulsanti quando non sono disponibili autorizzazioni di scrittura( ad esempio, la gestione dei connettori mostra i pulsanti disabilitati con le descrizioni comando). Tuttavia, questo comportamento non è ancora coerente in tutte le funzionalità. Il back-end applica sempre le autorizzazioni corrette indipendentemente da ciò che viene visualizzato dall'interfaccia utente.
A cosa può accedere ogni ruolo
La tabella seguente riepiloga il livello di accesso per ogni ruolo in aree diverse del portale.
| Area | Lettore | utente Standard | Administrator |
|---|---|---|---|
| Chiacchierare | Visualizzare i thread (sola lettura) | Inviare messaggi, avviare thread | Accesso completo, approvazione delle azioni, eliminazione di thread |
| Generatore di subagent | Visualizzare i subagenti | Visualizzare i subagenti | Creare, modificare, eliminare subagenti |
| Knowledge Base | Esplorare i documenti | Carica documenti | Caricare ed eliminare documenti |
| Connettori | Visualizzare i connettori | Visualizzare i connettori | Aggiungere, modificare, eliminare connettori |
| Piani di risposta | Visualizzare i piani | Visualizzare i piani | Creare, modificare, eliminare piani |
| Risorse gestite | Visualizzazione di risorse | Visualizzazione di risorse | Aggiungere, rimuovere risorse |
| Impostazioni | Visualizza impostazioni | Visualizza impostazioni | Modificare le impostazioni, arrestare/eliminare l'agente |
Assegnazione di ruoli
Assegnare ruoli tramite il portale di Azure (Controllo di accesso (IAM)>Aggiungere un'assegnazione di ruolo) o usando l'interfaccia della riga di comando di Azure.
az role assignment create \
--assignee user@company.com \
--role "SRE Agent Administrator" \
--scope <AGENT_RESOURCE_ID>
Sostituire il nome del ruolo con SRE Agent Standard User o SRE Agent Reader in base alle esigenze.
Per trovare l'ID risorsa dell'agente, eseguire il comando seguente:
az resource show \
--resource-group <RESOURCE_GROUP> \
--name <AGENT_NAME> \
--resource-type Microsoft.SREAgent/agents \
--query id -o tsv
Come interagiscono i ruoli
Nell'esempio seguente viene illustrato come i ruoli interagiscono durante un flusso di lavoro di approvazione delle azioni. Un tecnico richiede un'azione, ma solo gli amministratori possono approvarlo.
| Passo | Chi | Action |
|---|---|---|
| 1 | Tecnico (utente standard) | "Risolvere il problema di configurazione" |
| 2 | Agente | Bozza di piano di correzione |
| 3 | Agente | Non è possibile eseguire (richiede l'approvazione dell'amministratore) |
| 4 | Manager (amministratore) | Revisioni e approvazioni |
| 5 | Agente | Esegue la correzione usando l'identità gestita o l'autorizzazione per conto di |
Ruoli utente e autorizzazioni dell'agente
I ruoli utente e le autorizzazioni dell'agente controllano diversi aspetti dell'accesso.
| Concetto | Controlli |
|---|---|
| Ruoli utente e autorizzazioni (questo articolo) | Operazioni che gli utenti possono eseguire con l'agente |
| Autorizzazioni dell'agente | Operazioni che l'agente può eseguire sulle risorse di Azure |
Quando un amministratore approva un'azione, l'agente usa uno dei metodi seguenti:
- Identità gestita dell'agente: usare questo metodo quando l'agente dispone delle autorizzazioni RBAC di Azure necessarie.
- Autorizzazione on-behalf-of: usare questo metodo quando l'agente non dispone delle autorizzazioni, ma l'amministratore ne dispone.
Suggerimento
Solo gli amministratori dell'agente SRE possono autorizzare l'accesso per conto dell'utente. Gli utenti standard non possono approvare azioni che richiedono autorizzazioni elevate.