Op rollen gebaseerde Access Control gebruiken om Azure Stack HCI-Virtual Machines te beheren
Van toepassing op: Azure Stack HCI, versie 23H2
In dit artikel wordt beschreven hoe u de op rollen gebaseerde Access Control (RBAC) gebruikt om de toegang te beheren tot virtuele Arc-machines (VM's) die worden uitgevoerd op uw Azure Stack HCI-cluster.
U kunt de ingebouwde RBAC-rollen gebruiken om de toegang tot VM's en VM-resources zoals virtuele schijven, netwerkinterfaces, VM-installatiekopieën, logische netwerken en opslagpaden te beheren. U kunt deze rollen toewijzen aan gebruikers, groepen, service-principals en beheerde identiteiten.
Belangrijk
Deze functie is momenteel beschikbaar als PREVIEW-versie. Raadpleeg de Aanvullende voorwaarden voor Microsoft Azure-previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Over ingebouwde RBAC-rollen
Als u de toegang tot VM's en VM-resources op uw Azure Stack HCI wilt beheren, kunt u de volgende RBAC-rollen gebruiken:
- Azure Stack HCI-beheerder : deze rol verleent volledige toegang tot uw Azure Stack HCI-cluster en de bijbehorende resources. Een Azure Stack HCI-beheerder kan het cluster registreren en azure Stack HCI VM-inzender en Azure Stack HCI VM-lezerrollen toewijzen aan andere gebruikers. Ze kunnen ook cluster-gedeelde resources maken, zoals logische netwerken, VM-installatiekopieën en opslagpaden.
- Azure Stack HCI VM-inzender : deze rol verleent machtigingen voor het uitvoeren van alle VM-acties, zoals starten, stoppen en opnieuw starten van de VM's. Een Azure Stack HCI VM-inzender kan VM's maken en verwijderen, evenals de resources en extensies die aan vm's zijn gekoppeld. Een Azure Stack HCI VM-inzender kan het cluster niet registreren of rollen toewijzen aan andere gebruikers en geen gedeelde clusterresources maken, zoals logische netwerken, VM-installatiekopieën en opslagpaden.
- Azure Stack HCI VM Reader : deze rol verleent machtigingen om alleen de VM's weer te geven. Een VM-lezer kan geen acties uitvoeren op de VM's of VM-resources en -extensies.
Hier volgt een tabel met een beschrijving van de VM-acties die door elke rol worden verleend voor de VM's en de verschillende VM-resources. De VM-resources worden verwezen naar resources die nodig zijn om een virtuele machine te maken en omvatten virtuele schijven, netwerkinterfaces, VM-installatiekopieën, logische netwerken en opslagpaden:
| Ingebouwde rol | VM's | VM-resources |
|---|---|---|
| Azure Stack HCI-beheerder | VM's maken, weergeven en verwijderen VM's starten, stoppen en opnieuw starten |
Alle VM-resources maken, weergeven en verwijderen, inclusief logische netwerken, VM-installatiekopieën en opslagpaden |
| Azure Stack HCI VM-inzender | VM's maken, weergeven en verwijderen VM's starten, stoppen en opnieuw starten |
Alle VM-resources maken, weergeven en verwijderen, met uitzondering van logische netwerken, VM-installatiekopieën en opslagpaden |
| Azure Stack HCI VM Reader | Alle VM's weergeven | Alle VM-resources weergeven |
Vereisten
Zorg ervoor dat u aan de volgende vereisten voldoet voordat u begint:
Zorg ervoor dat u toegang hebt tot een Azure Stack HCI-cluster dat is geïmplementeerd en geregistreerd. Tijdens de implementatie worden ook een Arc-resourcebrug en een aangepaste locatie gemaakt.
Ga naar de resourcegroep in Azure. U kunt de aangepaste locatie en Azure Arc Resource Bridge zien die zijn gemaakt voor het Azure Stack HCI-cluster. Noteer het abonnement, de resourcegroep en de aangepaste locatie terwijl u deze later in dit scenario gebruikt.
Zorg ervoor dat u toegang hebt tot het Azure-abonnement als eigenaar of beheerder van gebruikerstoegang om rollen aan anderen toe te wijzen.
RBAC-rollen toewijzen aan gebruikers
U kunt RBAC-rollen toewijzen aan de gebruiker via de Azure Portal. Volg deze stappen om RBAC-rollen toe te wijzen aan gebruikers:
Zoek in Azure Portal naar het bereik om toegang te verlenen, bijvoorbeeld naar abonnementen, resourcegroepen of een specifieke resource. In dit voorbeeld gebruiken we het abonnement waarin het Azure Stack HCI-cluster wordt geïmplementeerd.
Ga naar uw abonnement en ga vervolgens naar Toegangsbeheer (IAM) > Roltoewijzingen. Selecteer in de bovenste opdrachtbalk + Toevoegen en selecteer vervolgens Roltoewijzing toevoegen.
Als u geen machtigingen hebt om rollen toe te wijzen, is de optie Roltoewijzing toevoegen uitgeschakeld.
Selecteer op het tabblad Rol een RBAC-rol die u wilt toewijzen en kies een van de volgende ingebouwde rollen:
- Azure Stack HCI-beheerder
- Azure Stack HCI VM-inzender
- Azure Stack HCI VM Reader
Selecteer op het tabblad Leden de gebruiker, groep of service-principal. Selecteer ook een lid om de rol toe te wijzen.
Controleer de rol en wijs deze toe.
Controleer de roltoewijzing. Ga naar Toegangsbeheer (IAM) > Toegang controleren > Mijn toegang weergeven. U ziet nu de roltoewijzing.
Zie Azure-rollen toewijzen met behulp van de Azure Portal voor meer informatie over roltoewijzing.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor