Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel is bedoeld voor platformtechnici, centrale IT-beheerders en andere beheerders op hoger niveau die Microsoft Dev Box-implementaties plannen en beheren. Hierin worden de verschillende ingebouwde rollen beschreven die door Microsoft Dev Box worden ondersteund en hoe ze worden toegewezen aan organisatierollen zoals platformengineer en dev manager, zodat u het juiste machtigingsmodel kunt plannen voordat u Dev Box implementeert.
Op rollen gebaseerd toegangsbeheer van Azure (RBAC) geeft ingebouwde rollen op waarmee de machtigingen worden gedefinieerd die moeten worden toegepast. In plaats van gedetailleerde machtigingen rechtstreeks toe te kennen aan afzonderlijke gebruikers of groepen, wijst u rollen toe die gerelateerde machtigingen bundelen, zodat u de toegang consistent kunt toepassen en controleren voor alle resources. U wijst een gebruiker of groep deze roldefinitie toe via een roltoewijzing voor een bepaald bereik. Het bereik kan een afzonderlijke resource, een resourcegroep of in het abonnement zijn. In de volgende sectie leert u welke ingebouwde rollen Microsoft Dev Box ondersteunt.
Zie Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)?
Notitie
Wanneer u wijzigingen aanbrengt in de roltoewijzing, kan het enkele minuten duren voordat deze updates zijn doorgevoerd.
Ingebouwde rollen
In dit artikel worden de ingebouwde Azure-rollen logisch gegroepeerd in drie typen organisatierollen op basis van hun invloedsbereik:
Platformengineerrollen: machtigingen voor ontwikkelcentra, catalogi en projecten beïnvloeden
Dev Manager: machtigingen voor projectgebaseerde resources beïnvloeden
Rollen voor ontwikkelaars: machtigingen voor gebruikers beïnvloeden
Hieronder ziet u de ingebouwde rollen die worden ondersteund door Microsoft Dev Box:
| Type organisatierol | Ingebouwde rol | Beschrijving |
|---|---|---|
| Platformengineer | Eigenaar | Verken volledig beheer om ontwikkelcentra, catalogi en projecten te maken/beheren en machtigingen te verlenen aan andere gebruikers. Meer informatie over de rol Eigenaar. |
| Platformengineer | Inzender | Verwijs volledig beheer om ontwikkelcentra, catalogi en projecten te maken/beheren, met uitzondering van het toewijzen van rollen aan andere gebruikers. Meer informatie over de rol Inzender. |
| Platformengineer | DevCenter-eigenaar | Verleen toegang om alle Microsoft.DevCenter-resources te beheren en toegang ertoe te bieden. Meer informatie over de DevCenter Owner-rol. |
| Ontwikkelingsmanager | DevCenter-projectbeheerder | Ververleent toestemming om bepaalde aspecten van projecten en ontwikkelvakken te beheren. Meer informatie over de rol Van DevCenter-projectbeheerder. |
| Ontwikkelaar | Dev Box-gebruiker | Ververleent toestemming voor het maken van dev-vakken en heeft volledige controle over de dev-vakken die ze maken. Meer informatie over de gebruikersrol Dev Box. |
Bereik van roltoewijzing
In Azure RBAC is het bereik de set resources waarop toegang van toepassing is. Wanneer u een rol toewijst, is het belangrijk om inzicht te krijgen in het bereik, zodat u alleen de benodigde toegang verleent.
In Azure kunt u een bereik opgeven op vier niveaus: beheergroep, abonnement, resourcegroep en resource. Bereiken zijn gestructureerd in een bovenliggende/onderliggende relatie. Elk niveau van de hiërarchie maakt het bereik specifieker. U kunt rollen toewijzen aan elk van deze bereikniveaus. Het niveau dat u selecteert, bepaalt hoe breed de rol wordt toegepast. Lagere niveaus nemen rolmachtigingen over van hogere niveaus. Meer informatie over het bereik voor Azure RBAC.
Houd voor Microsoft Dev Box rekening met de volgende bereiken:
| Bereik | Beschrijving |
|---|---|
| Abonnement | Wordt gebruikt voor het beheren van facturering en beveiliging voor alle Azure-resources en -services. Normaal gesproken hebben alleen platformtechnici toegang op abonnementsniveau omdat deze roltoewijzing toegang verleent tot alle resources in het abonnement. |
| Resourcegroep | Een logische container voor het groeperen van resources. Roltoewijzing voor de resourcegroep verleent machtigingen aan de resourcegroep en alle resources daarin, zoals dev centers, dev box-definities, dev box-pools, projecten en dev-vakken. |
| Ontwikkelaarscentrum (resource) | Een verzameling projecten waarvoor vergelijkbare instellingen zijn vereist. Roltoewijzing voor het ontwikkelaarscentrum verleent machtigingen aan het ontwikkelaarscentrum zelf. Machtigingen die zijn toegewezen voor de ontwikkelcentra, worden niet overgenomen door andere dev box-resources. |
| Project (resource) | Een Azure-resource die wordt gebruikt om algemene configuratie-instellingen toe te passen wanneer u een ontwikkelvak maakt. Roltoewijzing voor het project verleent alleen machtigingen aan dat specifieke project. |
| Dev Box-pool (resource) | Een verzameling ontwikkelvakken die u samen beheert en waarop u vergelijkbare instellingen toepast. Roltoewijzing voor de dev box-pool verleent alleen machtigingen aan die specifieke dev box-pool. |
| Definitie van dev box (resource) | Een Azure-resource die een broninstallatiekopieën en -grootte opgeeft, inclusief rekenkracht en opslaggrootte. Roltoewijzing voor de definitie van het dev-vak verleent alleen machtigingen voor die specifieke definitie van het dev-vak. |
Rollen voor algemene Dev Box-activiteiten
In de volgende tabel ziet u algemene Dev Box-activiteiten en de rol die een gebruiker nodig heeft om die activiteit uit te voeren.
| Activiteit | Roltype | Role | Bereik |
|---|---|---|---|
| Geef toestemming om een resourcegroep te maken. | Platformengineer | Eigenaar of inzender | Abonnement |
| Ververleent toestemming om een Microsoft-ondersteuningsticket in te dienen, inclusief om capaciteit aan te vragen. | Platformengineer | Eigenaar, Inzender, Inzender ondersteuningsaanvraag | Abonnement |
| Verlenen machtigingen voor het maken van virtuele netwerken en subnetten. | Platformengineer | Inzender voor netwerken | Resourcegroep |
| Ververleent toestemming om een netwerkverbinding te maken. | Platformengineer | Eigenaar of inzender | Resourcegroep |
| Verwijs machtigingen om rollen toe te wijzen aan andere gebruikers. | Platformengineer | Eigenaar | Resourcegroep |
| Machtigingen verlenen aan: - Dev Centers maken/beheren. - Netwerkverbindingen toevoegen/verwijderen. - Azure-rekengalerieën toevoegen/verwijderen. - Dev Box-definities maken/beheren. - Projecten maken/beheren. - Catalogus koppelen/beheren aan een ontwikkelaarscentrum of project (catalogi op projectniveau moeten zijn ingeschakeld in het ontwikkelaarscentrum). - Configureer limieten voor dev boxs. |
Platformengineer | Inzender | Resourcegroep |
| Verken machtigingen voor het maken en beheren van Dev Box-resources zonder toegang te verlenen tot andere resourcetypen in de resourcegroep.
- Dev Centers - Projecten - Dev Box-definities - Dev Box-pools |
Platformengineer | DevCenter-eigenaar | Resourcegroep |
| Ververleent toestemming om een netwerkverbinding voor een ontwikkelaarscentrum toe te voegen of te verwijderen. | Platformengineer | Bijdrager of DevCenter-eigenaar | Ontwikkelaarscentrum |
| Geef toestemming om projectcatalogussen in of uit te schakelen. | Ontwikkelingsmanager | Inzender | Ontwikkelaarscentrum |
| Machtigingen verlenen aan: - Catalogus toevoegen, synchroniseren, verwijderen (catalogi op projectniveau moeten zijn ingeschakeld in het ontwikkelaarscentrum). - Dev Box-pools maken. - Stop, start, verwijder ontwikkelvakken in pools. |
Ontwikkelingsmanager | DevCenter-projectbeheerder | Project |
| Uw eigen ontwikkelvakken in een project maken en beheren. | User | Dev Box-gebruiker | Project |
| Catalogi maken en beheren in een GitHub- of Azure-opslagplaats voor opslagplaatsen. | Ontwikkelingsmanager | Niet beheerd door RBAC.
- De gebruiker moet machtigingen krijgen via Azure DevOps of GitHub. |
Opslagplaats |
Belangrijk
Het abonnement van een organisatie wordt gebruikt voor het beheren van facturering en beveiliging voor alle Azure-resources en -services. U kunt de rol Eigenaar of Inzender toewijzen aan het abonnement. Normaal gesproken hebben alleen platformtechnici toegang op abonnementsniveau, omdat dit volledige toegang tot alle resources in het abonnement omvat.
Rollen voor platformtechnici
Als u gebruikers machtigingen wilt verlenen voor het beheren van Microsoft Dev Box binnen het abonnement van uw organisatie, kunt u de rol Eigenaar of Inzender toewijzen aan het bereik van de resourcegroep, of aan de rol DevCenter-eigenaar in het bereik van het ontwikkelaarscentrum.
Wanneer u de rollen Eigenaar of Inzender gebruikt, wijst u deze toe aan de resourcegroep. De ontwikkelaarscentra, netwerkverbindingen, dev box-definities, dev box-pools en projecten binnen de resourcegroep nemen deze roltoewijzingen over.
Rol van eigenaar
Wijs de rol Eigenaar toe om een gebruiker volledige controle te geven over het maken of beheren van Dev Box-resources en het verlenen van machtigingen aan andere gebruikers. Wanneer een gebruiker de rol Eigenaar in de resourcegroep heeft, kan deze de volgende activiteiten uitvoeren voor alle resources binnen de resourcegroep:
- Wijs rollen toe aan platformtechnici, zodat ze Dev Box-resources kunnen beheren.
- Ontwikkelcentra, netwerkverbindingen, dev box-definities, dev box-pools en projecten maken.
- Instellingen voor alle ontwikkelcentra, netwerkverbindingen, dev box-definities, dev box-pools en projecten weergeven, verwijderen en wijzigen.
- Catalogi koppelen en loskoppelen.
Rol Inzender
Wijs de rol Inzender toe om een gebruiker volledige controle te geven over het maken of beheren van ontwikkelcentra en projecten binnen een resourcegroep. De rol Inzender heeft dezelfde machtigingen als de rol Eigenaar, met uitzondering van :
- Roltoewijzingen uitvoeren.
Let op
Wanneer u de rol Eigenaar of Inzender aan de resourcegroep toewijst, zijn deze machtigingen ook van toepassing op niet-Dev Box-gerelateerde resources die aanwezig zijn in de resourcegroep.
Rol DevCenter-eigenaar
U kunt de rol DevCenter-eigenaar toewijzen binnen zowel het bereik van de resourcegroep als dat van het ontwikkelaarscentrum.
Rol DevCenter-eigenaar op het toepassingsgebied van de resourcegroep
Wijs de rol DevCenter-eigenaar toe aan een resourcegroep om een gebruiker volledige controle te geven over Microsoft.DevCenter-resources zonder bredere toegang te verlenen tot andere resources in de resourcegroep.
Wanneer een gebruiker de rol DevCenter-eigenaar voor een resourcegroep heeft, kan deze het volgende doen:
- Ontwikkelcentra in die resourcegroep maken, bijwerken en verwijderen.
- Projecten in die resourcegroep maken, bijwerken en verwijderen.
- Dev Box-pools en dev box-definities in die resourcegroep maken, bijwerken en verwijderen.
- Catalogi, netwerkverbindingen en rekengalerijen beheren die zijn gekoppeld aan ontwikkelingscentra in de resourcegroep.
- Delegeer projectbeheer door DevCenter-projectbeheerder en DevCenter Dev Box-gebruikersrollen toe te wijzen op projectniveau.
DevCenter-eigenaarrol op het niveau van het ontwikkelaarscentrum
Wijs de rol DevCenter-eigenaar toe aan een ontwikkelaarscentrum om een gebruiker volledige controle te geven over Microsoft.DevCenter-resources zonder bredere toegang te verlenen tot andere ontwikkelaarscentra en hun resources. Gebruikers met deze rol die zijn toegewezen aan een ontwikkelaarscentrum, kunnen geen nieuwe ontwikkelcentra maken.
Wanneer een gebruiker de rol DevCenter-eigenaar heeft in een ontwikkelaarscentrum, kan deze het volgende doen:
- Projecten maken, bijwerken en verwijderen in dat ontwikkelcentrum.
- Dev Box-pools en dev box-definities in dat ontwikkelaarscentrum maken, bijwerken en verwijderen.
- Beheer catalogi, netwerkverbindingen en rekengalerijen gekoppeld aan dat ontwikkelaarscentrum.
- Delegeer projectbeheer door DevCenter-projectbeheerder en DevCenter Dev Box-gebruikersrollen toe te wijzen op projectniveau.
Rollen voor ontwikkelaarsmanagers
Er is één dev manager-rol: DevCenter-projectbeheerder. Deze rol heeft meer beperkte machtigingen voor bereiken op lager niveau dan de platformengineerrollen. U kunt deze rol toewijzen aan ontwikkelaars om hen in staat te stellen beheertaken voor hun team uit te voeren.
Rol Van DevCenter-projectbeheerder
Wijs de DevCenter-projectbeheerder toe om het volgende in te schakelen:
Catalogus toevoegen, synchroniseren, verwijderen (catalogi op projectniveau moeten zijn ingeschakeld in het ontwikkelaarscentrum).
Ontwikkelvakgroepen maken.
Stop, start, verwijder ontwikkelvakken in pools.
Rollen voor ontwikkelaars
Er is één rol voor ontwikkelaars: Dev Box User. Met deze rol kunnen ontwikkelaars hun eigen ontwikkelvakken maken en beheren.
Gebruikersrol "Dev Box"
Wijs de gebruikersrol Dev Box toe om gebruikers toestemming te geven voor het maken van dev-vakken en om volledige controle te hebben over de ontwikkelvakken die ze maken. Ontwikkelaars kunnen de volgende acties uitvoeren op elk ontwikkelvak dat ze maken:
- Maken
- Starten/stoppen
- Opnieuw starten
- Geplande afsluiting uitstellen
- Delete
Identiteits- en toegangsbeheer (IAM)
De pagina Toegangsbeheer (IAM) in Azure Portal wordt gebruikt voor het configureren van op rollen gebaseerd toegangsbeheer van Azure op Microsoft Dev Box-resources. U kunt ingebouwde rollen gebruiken voor personen en groepen in Active Directory. In de volgende schermopname ziet u Active Directory-integratie (Azure RBAC) met behulp van toegangsbeheer (IAM) in Azure Portal:
Raadpleeg Azure-rollen toewijzen met Azure Portal voor informatie over het toewijzen van rollen.
Ontwikkelaarscentrum, resourcegroep en projectstructuur
Uw organisatie moet vooraf tijd investeren om de plaatsing van uw ontwikkelcentra en de structuur van resourcegroepen en projecten te plannen.
Ontwikkelaarscentra: Organiseer ontwikkelcentra door de set projecten die u samen wilt beheren, vergelijkbare instellingen toe te passen en vergelijkbare sjablonen te bieden.
Organisaties kunnen een of meer ontwikkelaarscentrums gebruiken. Normaal gesproken heeft elke suborganisatie binnen de organisatie een eigen ontwikkelcentrum. In de volgende gevallen kunt u overwegen om meerdere ontwikkelcentra te maken:
Als u specifieke configuraties beschikbaar wilt maken voor een subset van projecten.
Als verschillende teams eigenaar moeten zijn van en de resource van het ontwikkelaarscentrum moeten onderhouden in Azure.
Projecten: gekoppeld aan elk ontwikkelteam of elke groep personen die aan één app of product werken.
Planning is met name belangrijk wanneer u rollen toewijst aan de resourcegroep, omdat hiermee ook machtigingen worden toegepast op alle resources in de resourcegroep, waaronder ontwikkelaarscentra, netwerkverbindingen, dev box-definities, dev box-pools en projecten.
Om ervoor te zorgen dat gebruikers alleen machtigingen krijgen voor de juiste resources:
Maak resourcegroepen die alleen Dev Box-resources bevatten.
Organiseer projecten op basis van de definitie van het ontwikkelaarsvak en de vereiste dev box-pools en de ontwikkelaars die toegang moeten hebben. Het is belangrijk te weten dat dev box-pools de locatie bepalen van het maken van dev boxs. Ontwikkelaars moeten ontwikkelvakken maken op een locatie dicht bij hen voor de minste latentie.
U kunt bijvoorbeeld afzonderlijke projecten maken voor verschillende ontwikkelaarsteams om de resources van elk team te isoleren. Ontwikkelaars in een project kunnen vervolgens worden toegewezen aan de rol Projectbeheerder, waarmee ze alleen toegang krijgen tot de resources van hun team.
Belangrijk
Plan de structuur vooraf omdat het niet mogelijk is om Dev Box-resources, zoals projecten, naar een andere resourcegroep te verplaatsen nadat ze zijn gemaakt.
Catalogusstructuur
Microsoft Dev Box maakt gebruik van catalogi om ontwikkelaars in staat te stellen aanpassingen voor ontwikkelvakken te implementeren met behulp van een catalogus met taken en een aanpassingsbestand voor het installeren van software, het toevoegen van extensies, kloonopslagplaatsen en meer.
Microsoft Dev Box slaat catalogi op in een GitHub-opslagplaats of een Azure DevOps Services-opslagplaats. U kunt een catalogus koppelen aan een ontwikkelaarscentrum of aan een project.
U kunt een of meer catalogi koppelen aan uw ontwikkelaarscentrum en alle aanpassingen op dat niveau beheren. Als u meer granulariteit wilt bieden in de manier waarop ontwikkelaars toegang hebben tot aanpassingen, kunt u catalogi toevoegen op projectniveau. Bij het plannen waar catalogi moeten worden gekoppeld, moet u rekening houden met de behoeften van elk ontwikkelteam.