Zasoby, role i kontrola dostępu w usłudze Application Insights

Możesz kontrolować, kto ma dostęp do odczytu i aktualizacji danych w usłudze Application Szczegółowe informacje przy użyciu kontroli dostępu na podstawie ról (RBAC) platformy Azure.

Ważne

Przypisz dostęp do użytkowników w grupie zasobów lub subskrypcji, do której należy zasób aplikacji, a nie do samego zasobu. Przypisz rolę Współautor składników usługi Application Insights. Ta rola zapewnia jednolitą kontrolę dostępu do testów internetowych i alertów wraz z zasobem aplikacji. Dowiedz się więcej.

Uwaga

Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Zasoby, grupy i subskrypcje

Najpierw zdefiniujmy kilka terminów:

  • Zasób: wystąpienie usługi platformy Azure. Zasób aplikacji Szczegółowe informacje zbiera, analizuje i wyświetla dane telemetryczne wysyłane z aplikacji. Inne typy zasobów platformy Azure obejmują aplikacje internetowe, bazy danych i maszyny wirtualne.

    Aby wyświetlić zasoby, otwórz witrynę Azure Portal, zaloguj się i wybierz pozycję Wszystkie zasoby. Aby znaleźć zasób, wprowadź część nazwy w polu filtru.

    Screenshot that shows a list of Azure resources.

  • Grupa zasobów: każdy zasób należy do jednej grupy. Grupa to wygodny sposób zarządzania powiązanymi zasobami, szczególnie w przypadku kontroli dostępu. Na przykład w jednej grupie zasobów można umieścić aplikację internetową, zasób Application Szczegółowe informacje do monitorowania aplikacji oraz zasób usługi Azure Storage w celu zachowania wyeksportowanych danych.
  • Subskrypcja: aby użyć Szczegółowe informacje aplikacji lub innych zasobów platformy Azure, zaloguj się do subskrypcji platformy Azure. Każda grupa zasobów należy do jednej subskrypcji platformy Azure, w której wybierasz pakiet cenowy. Jeśli jest to subskrypcja organizacji, właściciel może wybrać członków i ich uprawnienia dostępu.
  • Konto Microsoft: nazwa użytkownika i hasło używane do logowania się do subskrypcji platformy Azure, usługi Xbox Live, Outlook.com i innych usługi firmy Microsoft.

Kontrola dostępu w grupie zasobów

Oprócz zasobu utworzonego dla aplikacji istnieją również oddzielne ukryte zasoby dla alertów i testów internetowych. Są one dołączone do tej samej grupy zasobów co zasób aplikacji Szczegółowe informacje. Możesz również umieścić w nim inne usługi platformy Azure, takie jak witryny internetowe lub magazyn.

Zapewnianie dostępu do innego użytkownika

Musisz mieć prawa właściciela do subskrypcji lub grupy zasobów.

Użytkownik musi mieć konto Microsoft lub dostęp do swojego organizacyjnego konta Microsoft. Możesz zapewnić dostęp do użytkowników indywidualnych, a także grup użytkowników zdefiniowanych w identyfikatorze Entra firmy Microsoft.

Przejdź do grupy zasobów lub bezpośrednio do samego zasobu

Przypisz rolę Współautor do kontroli dostępu opartej na rolach platformy Azure.

Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

Wybierz rolę

Jeśli ma to zastosowanie, link łączy się ze skojarzona oficjalną dokumentacją referencyjną.

Rola W grupie zasobów
Właściciel Może zmienić wszystko, w tym dostęp użytkowników.
Współautor Może edytować dowolne elementy, w tym wszystkie zasoby.
Współautor składnika Szczegółowe informacje aplikacji Może edytować zasoby Szczegółowe informacje aplikacji.
Czytelnik Może wyświetlać, ale nic nie zmienia.
Debuger migawek Szczegółowe informacje aplikacji Nadaje użytkownikowi uprawnienia do korzystania z funkcji debugera migawek aplikacji Szczegółowe informacje. Ta rola nie jest uwzględniana w rolach Właściciel ani Współautor.
Współautor zarządzania wydaniami w usłudze Azure Rola współautora dla usług wdrażanych za pomocą usługi Azure Service Deploy.
Przeczyszczanie danych Szczególna rola do przeczyszczania danych osobowych. Aby uzyskać więcej informacji, zobacz Zarządzanie danymi osobowymi w usługach Log Analytics i Application Szczegółowe informacje.
Administrator usługi Azure ExpressRoute Może tworzyć, usuwać i zarządzać trasami ekspresowymi.
Współautor usługi Log Analytics Współautor usługi Log Analytics może odczytywać wszystkie dane monitorowania i edytować ustawienia monitorowania. Edytowanie ustawień monitorowania obejmuje dodawanie rozszerzenia maszyny wirtualnej do maszyn wirtualnych, odczytywanie kluczy konta magazynu w celu skonfigurowania zbierania dzienników z usługi Azure Storage, tworzenia i konfigurowania kont usługi Automation, dodawania rozwiązań i konfigurowania diagnostyki platformy Azure na wszystkich zasobach platformy Azure. Jeśli masz problem z konfigurowaniem diagnostyki platformy Azure, zobacz Diagnostyka platformy Azure.
Czytelnik usługi Log Analytics Czytelnik usługi Log Analytics może wyświetlać i przeszukiwać wszystkie dane monitorowania oraz wyświetlać ustawienia monitorowania, w tym wyświetlać konfigurację diagnostyki platformy Azure we wszystkich zasobach platformy Azure. Jeśli masz problem z konfigurowaniem diagnostyki platformy Azure, zobacz Diagnostyka platformy Azure.
masterreader Umożliwia użytkownikowi wyświetlanie wszystkich elementów, ale nie wprowadzanie zmian.
Współautor monitorowania Może odczytywać wszystkie dane monitorowania i aktualizować ustawienia monitorowania.
Wydawca metryk monitorowania Umożliwia publikowanie metryk względem zasobów platformy Azure.
Czytelnik monitorowania Może odczytywać wszystkie dane monitorowania.
Współautor zasad zasobów (wersja zapoznawcza) Wypełnianie użytkowników z Umowa Enterprise z uprawnieniami do tworzenia/modyfikowania zasad zasobów, tworzenia biletów pomocy technicznej i odczytywania zasobów/hierarchii.
Administrator dostępu użytkowników Umożliwia użytkownikowi zarządzanie dostępem innych użytkowników do zasobów platformy Azure.
Współautor witryny sieci Web Umożliwia zarządzanie witrynami internetowymi (nie planami internetowymi), ale nie dostępem do nich.

Edytowanie obejmuje tworzenie, usuwanie i aktualizowanie:

  • Zasoby
  • Testy internetowe
  • Alerty
  • Eksport ciągły

Wybierz użytkownika

Jeśli żądany użytkownik nie znajduje się w katalogu, możesz zaprosić wszystkich użytkowników z kontem Microsoft. Jeśli korzystają z usług, takich jak Outlook.com, OneDrive, Windows Telefon lub Xbox Live, mają konto Microsoft.

Zobacz artykuł Kontrola dostępu oparta na rolach (RBAC) platformy Azure.

Zapytanie programu PowerShell w celu określenia członkostwa w rolach

Ponieważ niektóre role mogą być połączone z powiadomieniami i alertami e-mail, warto wygenerować listę użytkowników należących do danej roli. Aby ułatwić generowanie tych typów list, następujące przykładowe zapytania można dostosować do konkretnych potrzeb.

Wykonywanie zapytań dotyczących całej subskrypcji dla ról Administracja i ról współautora

(Get-AzRoleAssignment -IncludeClassicAdministrators | Where-Object {$_.RoleDefinitionName -in @('ServiceAdministrator', 'CoAdministrator', 'Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "

Wykonywanie zapytań w kontekście określonego zasobu Szczegółowe informacje aplikacji dla właścicieli i współautorów

$resourceGroup = "RGNAME"
$resourceName = "AppInsightsName"
$resourceType = "microsoft.insights/components"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup -ResourceType $resourceType -ResourceName $resourceName | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "

Wykonywanie zapytań w kontekście określonej grupy zasobów dla właścicieli i współautorów

$resourceGroup = "RGNAME"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "