Resources, rollen en toegangsbeheer in Application Insights
U kunt bepalen wie lees- en updatetoegang heeft tot uw gegevens in Application Insights met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC).
Belangrijk
Wijs toegang toe aan gebruikers in de resourcegroep of het abonnement waartoe uw toepassingsresource behoort, niet in de resource zelf. Wijs de rol Inzender voor Application Insights-onderdelen toe. Deze rol zorgt voor uniform beheer van toegang tot webtests en waarschuwingen, samen met uw toepassingsresource. Meer informatie.
Notitie
Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.
Resources, groepen en abonnementen
Laten we eerst enkele termen definiëren:
Resource: Een exemplaar van een Azure-service. Uw Application Insights-resource verzamelt, analyseert en geeft de telemetriegegevens weer die vanuit uw toepassing worden verzonden. Andere typen Azure-resources zijn web-apps, databases en VM's.
Als u uw resources wilt zien, opent u Azure Portal, meldt u zich aan en selecteert u Alle resources. Als u een resource wilt zoeken, voert u een deel van de naam in het filterveld in.
- Resourcegroep: elke resource behoort tot één groep. Een groep is een handige manier om gerelateerde resources te beheren, met name voor toegangsbeheer. In één resourcegroep kunt u bijvoorbeeld een web-app, een Application Insights-resource voor het bewaken van de app en een Azure Storage-resource plaatsen om geëxporteerde gegevens te bewaren.
- Abonnement: Als u Application Insights of andere Azure-resources wilt gebruiken, meldt u zich aan bij een Azure-abonnement. Elke resourcegroep behoort tot één Azure-abonnement, waar u uw prijspakket kiest. Als het een organisatieabonnement is, kan de eigenaar de leden en hun toegangsmachtigingen kiezen.
- Microsoft-account: de gebruikersnaam en het wachtwoord waarmee u zich aanmeldt bij Azure-abonnementen, Xbox Live, Outlook.com en andere Microsoft-services.
Toegang in de resourcegroep beheren
Naast de resource die u voor uw toepassing hebt gemaakt, zijn er ook afzonderlijke verborgen resources voor waarschuwingen en webtests. Ze zijn gekoppeld aan dezelfde resourcegroep als uw Application Insights-resource. Mogelijk hebt u daar ook andere Azure-services geplaatst, zoals websites of opslag.
Toegang verlenen aan een andere gebruiker
U moet eigenaarsrechten hebben voor het abonnement of de resourcegroep.
De gebruiker moet een Microsoft-account of toegang hebben tot het Microsoft-account van de organisatie. U kunt toegang bieden tot personen en ook gebruikersgroepen die zijn gedefinieerd in Microsoft Entra-id.
Ga naar een resourcegroep of rechtstreeks naar de resource zelf
Wijs de rol Inzender toe aan Azure RBAC.
Raadpleeg Azure-rollen toewijzen met de Azure Portal voor informatie over het toewijzen van rollen.
Een rol selecteren
Indien van toepassing maakt de koppeling verbinding met de bijbehorende officiële referentiedocumentatie.
| - Rol | In de resourcegroep |
|---|---|
| Eigenaar | Kan alles wijzigen, inclusief gebruikerstoegang. |
| Inzender | Kan alles bewerken, inclusief alle resources. |
| Inzender voor Application Insights-onderdelen | Kan Application Insights-resources bewerken. |
| Lezer | Kan bekijken, maar niets wijzigen. |
| Application Insights Snapshot Debugger | Geeft de gebruiker toestemming om application Insights Snapshot Debugger-functies te gebruiken. Deze rol is niet opgenomen in de rollen Eigenaar of Inzender. |
| Inzender voor versiebeheer voor implementatie van Azure Service | Rol Inzender voor services die worden geïmplementeerd via Azure Service Deploy. |
| Gegevens opschonen | Speciale rol voor het opschonen van persoonsgegevens. Zie Persoonlijke gegevens beheren in Log Analytics en Application Insights voor meer informatie. |
| Azure ExpressRoute-beheerder | Kan snelle routes maken, verwijderen en beheren. |
| Log Analytics-inzender | Log Analytics-inzender kan alle bewakingsgegevens lezen en bewakingsinstellingen bewerken. Het bewerken van bewakingsinstellingen omvat het toevoegen van de VM-extensie aan VM's, het lezen van opslagaccountsleutels om het verzamelen van logboeken vanuit Azure Storage te configureren, Automation-accounts te maken en te configureren, oplossingen toe te voegen en Azure Diagnostics te configureren voor alle Azure-resources. Als u problemen ondervindt bij het instellen van azure-diagnostische gegevens, raadpleegt u Diagnostische gegevens van Azure. |
| Log Analytics Reader | Log Analytics Reader kan alle bewakingsgegevens bekijken en doorzoeken en bewakingsinstellingen weergeven, waaronder het weergeven van de configuratie van Diagnostische gegevens van Azure op alle Azure-resources. Als u problemen ondervindt bij het instellen van azure-diagnostische gegevens, raadpleegt u Diagnostische gegevens van Azure. |
| masterreader | Hiermee kan een gebruiker alles bekijken, maar geen wijzigingen aanbrengen. |
| Bijdrager voor bewaking | Kan alle bewakingsgegevens lezen en bewakingsinstellingen bijwerken. |
| Uitgever van metrische gegevens bewaken | Hiermee kunt u metrische gegevens publiceren voor Azure-resources. |
| Lezer voor bewaking | Kan alle bewakingsgegevens lezen. |
| Inzender voor resourcebeleid (preview) | Gevulde gebruikers uit Enterprise Overeenkomst s, met rechten om resourcebeleid te maken/te wijzigen, ondersteuningstickets te maken en resource/hiërarchie te lezen. |
| Beheerder van gebruikerstoegang | Hiermee kan een gebruiker de toegang voor andere gebruikers tot Azure-resources beheren. |
| Inzender voor websites | Hiermee kunt u websites (geen webplannen) beheren, maar geen toegang tot deze websites. |
Bewerken omvat het maken, verwijderen en bijwerken:
- Resources
- Webtests
- Waarschuwingen
- Continue export
Selecteer de gebruiker
Als de gewenste gebruiker zich niet in de directory bevindt, kunt u iedereen uitnodigen met een Microsoft-account. Als ze services gebruiken zoals Outlook.com, OneDrive, Windows Telefoon of Xbox Live, hebben ze een Microsoft-account.
Gerelateerde inhoud
Zie het artikel op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC).
PowerShell-query om het rollidmaatschap te bepalen
Omdat bepaalde rollen kunnen worden gekoppeld aan meldingen en e-mailwaarschuwingen, kan het handig zijn om een lijst te genereren met gebruikers die deel uitmaken van een bepaalde rol. Om u te helpen bij het genereren van deze typen lijsten, kunnen de volgende voorbeeldquery's worden aangepast aan uw specifieke behoeften.
Een query uitvoeren op het hele abonnement voor Beheer rollen + Inzender-rollen
(Get-AzRoleAssignment -IncludeClassicAdministrators | Where-Object {$_.RoleDefinitionName -in @('ServiceAdministrator', 'CoAdministrator', 'Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Query's uitvoeren binnen de context van een specifieke Application Insights-resource voor eigenaren en inzenders
$resourceGroup = "RGNAME"
$resourceName = "AppInsightsName"
$resourceType = "microsoft.insights/components"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup -ResourceType $resourceType -ResourceName $resourceName | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Query's uitvoeren binnen de context van een specifieke resourcegroep voor eigenaren en inzenders
$resourceGroup = "RGNAME"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "