Toegang tot resources in Azure Stack Hub beheren met op rollen gebaseerd toegangsbeheer
Azure Stack Hub ondersteunt op rollen gebaseerd toegangsbeheer (RBAC), hetzelfde beveiligingsmodel voor toegangsbeheer dat Microsoft Azure gebruikt. U kunt RBAC gebruiken om gebruikers-, groeps- of app-toegang tot abonnementen, resources en services te beheren.
Basisbeginselen van toegangsbeheer
Op rollen gebaseerd toegangsbeheer (RBAC) biedt gedetailleerd toegangsbeheer dat u kunt gebruiken om uw omgeving te beveiligen. U geeft gebruikers de exacte machtigingen die ze nodig hebben door een RBAC-rol toe te wijzen aan een bepaald bereik. Het bereik van de roltoewijzing kan een abonnement, een resourcegroep of één resource zijn. Zie het op rollen gebaseerde Access Control in het artikel Azure Portal voor meer gedetailleerde informatie over toegangsbeheer.
Notitie
Wanneer Azure Stack Hub wordt geïmplementeerd met behulp van Active Directory Federation Services als id-provider, worden alleen universele groepen ondersteund voor RBAC-scenario's.
Ingebouwde rollen
Azure Stack Hub heeft drie basisrollen die u kunt toepassen op alle resourcetypen:
- Eigenaar: kan alles beheren, inclusief toegang tot resources.
- Inzender: kan alles beheren, behalve de toegang tot resources.
- Lezer: kan alles bekijken, maar kan geen wijzigingen aanbrengen.
Resourcehiërarchie en overname
Azure Stack Hub heeft de volgende resourcehiërarchie:
- Elk abonnement behoort tot één map.
- Elke resourcegroep behoort tot één abonnement.
- Elke resource behoort tot één resourcegroep.
Toegang die u verleent voor een bovenliggend bereik, wordt overgenomen op onderliggende bereiken. Bijvoorbeeld:
- U wijst de rol Lezer toe aan een Microsoft Entra groep binnen het abonnementsbereik. De leden van die groep kunnen elke resourcegroep en resource in het abonnement bekijken.
- U wijst de rol Inzender toe aan een app binnen het bereik van de resourcegroep. De app kan resources van alle typen in die resourcegroep beheren, maar geen andere resourcegroepen in het abonnement.
Rollen toewijzen
U kunt meer dan één rol toewijzen aan een gebruiker en elke rol kan worden gekoppeld aan een ander bereik. Bijvoorbeeld:
- U wijst TestUser-A de rol Lezer toe aan Abonnement-1.
- U wijst TestUser-A de rol Eigenaar toe aan TestVM-1.
Het artikel Azure-roltoewijzingen bevat gedetailleerde informatie over het weergeven, toewijzen en verwijderen van rollen.
Toegangsmachtigingen instellen voor een gebruiker
In de volgende stappen wordt beschreven hoe u machtigingen voor een gebruiker configureert.
Meld u aan met een account met eigenaarsmachtigingen voor de resource die u wilt beheren.
Kies Resourcegroepen in het linkernavigatievenster.
Kies de naam van de resourcegroep waarvoor u machtigingen wilt instellen.
Kies toegangsbeheer (IAM) in het navigatiedeelvenster van de resourcegroep.
De weergave Roltoewijzingen bevat de items die toegang hebben tot de resourcegroep. U kunt de resultaten filteren en groeperen.Kies op de menubalk Toegangsbeheerde optie Toevoegen.
In het deelvenster Machtigingen toevoegen :
- Kies de rol die u wilt toewijzen in de vervolgkeuzelijst Rol .
- Kies de resource die u wilt toewijzen in de vervolgkeuzelijst Toegang toewijzen aan .
- Selecteer de gebruiker, groep of app in uw directory waartoe u toegang wilt verlenen. U kunt zoeken in de directory met weergavenamen, e-mailadressen en object-id's.
Selecteer Opslaan.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor