Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Batch Service ondersteunt een set ingebouwde Azure-rollen die verschillende machtigingsniveaus bieden voor een Azure Batch-account. Met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC), een autorisatiesysteem voor het beheren van afzonderlijke toegang tot Azure-resources, kunt u specifieke machtigingen toewijzen aan gebruikers, service-principals of andere identiteiten die moeten communiceren met uw Batch-account. U kunt ook aangepaste rollen toewijzen met aangepaste, verfijnde machtigingen waarmee uw specifieke gebruiksscenario wordt aangepast.
Notitie
Alle RBAC-rollen (zowel ingebouwde als aangepaste) zijn voor gebruikers geverifieerd door Microsoft Entra ID, niet voor de referenties voor gedeelde sleutels van Batch. De gedeelde sleutelreferenties van Batch bieden volledige toegang tot het Batch-account.
Azure RBAC toewijzen
Volg deze stappen om een Azure RBAC-rol toe te wijzen aan een gebruiker, groep, service-principal of beheerde identiteit. Raadpleeg Azure-rollen toewijzen met de Azure Portal voor informatie over het toewijzen van rollen.
Navigeer in Azure Portal naar uw specifieke Batch-account.
Tip
U kunt Azure RBAC ook instellen voor hele resourcegroepen, abonnementen of beheergroepen. Doe dit door het gewenste bereikniveau te selecteren en vervolgens naar het gewenste item te navigeren. Selecteer bijvoorbeeld Resourcegroepen en navigeer naar een specifieke resourcegroep.
Selecteer Toegangsbeheer (IAM) in de linkernavigatie.
Selecteer Op de pagina Toegangsbeheer (IAM) de optie Roltoewijzing toevoegen.
Selecteer op de pagina Roltoewijzing toevoegen het tabblad Rol en selecteer vervolgens een van de ingebouwde RBAC-rollen van Azure Batch.
Selecteer het tabblad Leden en selecteer Leden selecteren onder Leden.
Op het scherm Leden selecteren zoek en selecteer een gebruiker, groep, service-principal of beheerde identiteit, en selecteer vervolgens Selecteren.
Notitie
Wanneer u een toepassing configureert voor het verifiëren van Azure Batch-services met service-principal, zoekt en selecteert u uw toepassing hier om de toegang en machtigingen voor het Azure Batch-account te configureren.
Selecteer Beoordelen en toewijzen op de pagina Roltoewijzing toevoegen.
De doelidentiteit moet nu worden weergegeven op het tabblad Roltoewijzingen van de pagina Toegangsbeheer (IAM) van het Batch-account.
Ingebouwde RBAC-rollen van Azure Batch
Azure Batch heeft een aantal vooraf gedefinieerde rollen om algemene gebruikersscenario's aan te pakken, waardoor de juiste toegangsniveaus in het Azure Batch-account efficiënt kunnen worden toegewezen aan een identiteit voor hun specifieke taak.
Ingebouwde rol Beschrijving Id Bijdrager aan Azure Batch-accounts Hiermee verleent u volledige toegang tot het beheren van alle Batch-resources, waaronder Batch-accounts, pools en taken. 29fe4964-1e60-436b-bd3a-77fd4c178b3c Azure Batch-accountlezer Hiermee kunt u alle resources bekijken, inclusief pools en banen in het Batch-account. 11076f67-66f6-4be0-8f6b-f0609fd05cc9 Inzender voor Azure Batch-gegevens Verleent machtigingen voor het beheren van Batch-pools en -taken, maar niet voor het wijzigen van accounts. 6aaa78f1-f7de-44ca-8722-c64a23943cae Azure Batch Job Submitter Hiermee kunt u taken verzenden en beheren in het Batch-account. 48e5e92e-a480-4e71-aa9c-2778f4c13781
Machtigingen Inzender voor Azure Batch-accounts Azure Batch-account lezer Inzender voor Azure Batch-gegevens Azure Batchtaak Indiendeur Batch-accounts weergeven of eigenschappen van een Batch-account weergeven ✓ ✓ ✓ Een Batch-account maken, bijwerken of verwijderen ✓ Toegangssleutels weergeven voor een Batch-account ✓ Toegangssleutels voor een Batch-account opnieuw genereren ✓ Eigenschappen van toepassingen en toepassingspakketten op een Batch-account weergeven of bekijken ✓ ✓ ✓ ✓ Toepassingen en toepassingspakketten maken, bijwerken of verwijderen in een Batch-account ✓ ✓ Eigenschappen van certificaten in een Batch-account weergeven of opnemen. ✓ ✓ ✓ Certificaten maken, bijwerken of verwijderen in een Batch-account ✓ ✓ De eigenschappen van pools in een Batch-account opsommen of weergeven. ✓ ✓ ✓ ✓ Pools maken, bijwerken of verwijderen in een Batch-account ✓ ✓ Eigenschappen van taken in een Batch-account opsommen of weergeven ✓ ✓ ✓ ✓ Taken in een Batch-account maken, bijwerken of verwijderen ✓ ✓ ✓ Lijst of bekijk eigenschappen van taakschema's op een Batch-account ✓ ✓ ✓ ✓ Taakplanningen maken, bijwerken of verwijderen in een Batch-account ✓ ✓ ✓
Waarschuwing
De functie Batch-accountcertificaat is buiten gebruik gesteld.
Inzender voor Azure Batch-accounts
Hiermee verleent u volledige toegang tot het beheren van alle Batch-resources, waaronder Batch-accounts, pools en taken.
Acties Beschrijving Microsoft.Authorization/*/read Lees rollen en roltoewijzingen. Microsoft.Insights/alertRules/* Een klassieke waarschuwing voor metrische gegevens maken en beheren. Microsoft.Resources/deployments/* Een implementatie maken en beheren. Microsoft.Resources/subscriptions/resourceGroups/read Hiermee haalt u resourcegroepen op of vermeldt u deze. Microsoft.Batch/* NotActions geen DataActions Microsoft.Batch/* NotDataActions geen
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all Batch resources, including Batch accounts, pools and jobs.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/29fe4964-1e60-436b-bd3a-77fd4c178b3c",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Batch/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/*"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Account Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Batch-account lezer
Hiermee kunt u alle resources bekijken, inclusief pools en banen in het Batch-account.
Acties Beschrijving Microsoft.Batch/*/read Bekijk alle resources in het Batch-account. Microsoft.Resources/subscriptions/resourceGroups/read Hiermee haalt u resourcegroepen op of vermeldt u deze. NotActions geen DataActions Microsoft.Batch/*/read Bekijk alle resources in het Batch-account. NotDataActions geen
{
"assignableScopes": [
"/"
],
"description": "Lets you view all resources including pools and jobs in the Batch account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/11076f67-66f6-4be0-8f6b-f0609fd05cc9",
"permissions": [
{
"actions": [
"Microsoft.Batch/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/*/read"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Account Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Inzender voor Azure Batch-gegevens
Verleent machtigingen voor het beheren van Batch-pools en -taken, maar niet voor het wijzigen van accounts.
Acties Beschrijving Microsoft.Authorization/*/read Lees rollen en roltoewijzingen. Microsoft.Batch/batchAccounts/read Hiermee geeft u Batch-accounts weer of haalt u de eigenschappen van een Batch-account op. Microsoft.Batch/batchAccounts/applications/* Toepassingen en toepassingspakketten maken en beheren in een Batch-account. Microsoft.Batch/batchAccounts/certificates/* Certificaten maken en beheren in een Batch-account. (Waarschuwing: certificaatfunctie is buiten gebruik gesteld) Microsoft.Batch/batchAccounts/certificateOperationResults/* Hiermee haalt u de resultaten op van een langdurige certificaatbewerking in een Batch-account. (Waarschuwing: certificaatfunctie is buiten gebruik gesteld) Microsoft.Batch/pools/* Pools maken en beheren in een Batch-account. Microsoft.Batch/poolOperationResults/* Haalt de resultaten op van een langlopende poolbewerking in een Batch-account. Microsoft.Batch/locations/*/read Haal het resultaat van de Batch-accounthandeling, het batchquotum en de ondersteunde VM-grootte op voor de opgegeven locatie. Microsoft.Insights/alertRules/* Een klassieke waarschuwing voor metrische gegevens maken en beheren. Microsoft.Resources/deployments/* Een implementatie maken en beheren. Microsoft.Resources/subscriptions/resourceGroups/read Hiermee haalt u resourcegroepen op of vermeldt u deze. NotActions geen DataActions Microsoft.Batch/batchAccounts/jobSchedules/* Taakplanningen maken en beheren in een Batch-account. Microsoft.Batch/batchAccounts/jobs/* Taken in een Batch-account maken en beheren. NotDataActions geen
{
"assignableScopes": [
"/"
],
"description": "Grants permissions to manage Batch pools and jobs but not to modify accounts.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6aaa78f1-f7de-44ca-8722-c64a23943cae",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Batch/batchAccounts/read",
"Microsoft.Batch/batchAccounts/applications/*",
"Microsoft.Batch/batchAccounts/certificates/*",
"Microsoft.Batch/batchAccounts/certificateOperationResults/*",
"Microsoft.Batch/batchAccounts/pools/*",
"Microsoft.Batch/batchAccounts/poolOperationResults/*",
"Microsoft.Batch/locations/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/batchAccounts/jobSchedules/*",
"Microsoft.Batch/batchAccounts/jobs/*"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Data Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Batchtaak Indiendeur
Hiermee kunt u taken verzenden en beheren in het Batch-account.
Acties Beschrijving Microsoft.Batch/batchAccounts/applications/read Hiermee geeft u toepassingen weer of haalt u de eigenschappen van een toepassing op. Microsoft.Batch/batchAccounts/applications/versions/read Hiermee haalt u de eigenschappen van een toepassingspakket op. Microsoft.Batch/pools/lezen Bevat pools in een Batch-account of haalt de eigenschappen van een pool op. Microsoft.Insights/alertRules/* Een klassieke waarschuwing voor metrische gegevens maken en beheren. Microsoft.Resources/subscriptions/resourceGroups/read Hiermee haalt u resourcegroepen op of vermeldt u deze. NotActions geen DataActions Microsoft.Batch/batchAccounts/jobSchedules/* Taakplanningen maken en beheren in een Batch-account. Microsoft.Batch/batchAccounts/jobs/* Taken in een Batch-account maken en beheren. NotDataActions geen
{
"assignableScopes": [
"/"
],
"description": "Lets you submit and manage jobs in the Batch account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/48e5e92e-a480-4e71-aa9c-2778f4c13781",
"permissions": [
{
"actions": [
"Microsoft.Batch/batchAccounts/applications/read",
"Microsoft.Batch/batchAccounts/applications/versions/read",
"Microsoft.Batch/batchAccounts/pools/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/batchAccounts/jobSchedules/*",
"Microsoft.Batch/batchAccounts/jobs/*"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Job Submitter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Een aangepaste rol toewijzen
Als ingebouwde Azure Batch-rollen niet aan uw behoeften voldoen, kunnen aangepaste Azure-rollen worden gebruikt om een gebruiker gedetailleerde machtigingen te verlenen voor het verzenden van taken, taken en meer. U kunt een aangepaste rol gebruiken om machtigingen aan een Microsoft Entra-id te verlenen of te weigeren voor de volgende Azure Batch RBAC-bewerkingen.
- Microsoft.Batch/batchAccounts/pools/write
- Microsoft.Batch/batchAccounts/pools/delete
- Microsoft.Batch/batchAccounts/pools/read
- Microsoft.Batch/batchAccounts/jobSchedules/write
- Microsoft.Batch/batchAccounts/jobSchedules/delete
- Microsoft.Batch/batchAccounts/jobSchedules/read
- Microsoft.Batch/batchAccounts/jobs/write
- Microsoft.Batch/batchAccounts/jobs/delete
- Microsoft.Batch/batchAccounts/jobs/read
- Microsoft.Batch/batchAccounts/certificates/write
- Microsoft.Batch/batchAccounts/certificates/delete (waarschuwing: certificaatfunctie is buiten gebruik gesteld)
- Microsoft.Batch/batchAccounts/certificates/read (waarschuwing: certificaatfunctie is buiten gebruik gesteld)
- Microsoft.Batch/batchAccounts/applicaties/schrijven
- Microsoft.Batch/batchAccounts/applications/delete
- Microsoft.Batch/batchAccounts/applications/read
- Microsoft.Batch/batchAccounts/applications/versions/write
- Microsoft.Batch/batchAccounts/applicaties/versies/verwijderen
- Microsoft.Batch/batchAccounts/applications/versions/read
- Microsoft.Batch/batchAccounts/read, voor elke leesbewerking
- Microsoft.Batch/batchAccounts/listKeys/action, voor om het even welke bewerking
Tip
Voor taken die gebruikmaken van autopool zijn schrijfmachtigingen op poolniveau vereist.
Notitie
Bepaalde roltoewijzingen moeten worden opgegeven in het actions veld, terwijl andere in het dataActions veld moeten worden opgegeven. U moet zowel actions als dataActions onderzoeken om het volledige bereik van de aan een rol toegewezen mogelijkheden te begrijpen. Zie Bewerkingen van de Azure-resourceprovider voor meer informatie.
In het volgende voorbeeld ziet u een aangepaste azure Batch-roldefinitie:
{
"properties":{
"roleName":"Azure Batch Custom Job Submitter",
"type":"CustomRole",
"description":"Allows a user to submit autopool jobs to Azure Batch",
"assignableScopes":[
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
],
"permissions":[
{
"actions":[
"Microsoft.Batch/*/read",
"Microsoft.Batch/batchAccounts/pools/write",
"Microsoft.Batch/batchAccounts/pools/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Insights/alertRules/*"
],
"notActions":[
],
"dataActions":[
"Microsoft.Batch/batchAccounts/jobs/*",
"Microsoft.Batch/batchAccounts/jobSchedules/*"
],
"notDataActions":[
]
}
]
}
}