Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł jest przeznaczony dla inżynierów platformy, centralnych administratorów IT i innych administratorów wyższego poziomu, którzy planują wdrożenia usługi Microsoft Dev Box i zarządzają nimi. Opisano w nim różne wbudowane role obsługiwane przez usługę Microsoft Dev Box oraz sposób mapowania ich na role organizacyjne, takie jak inżynier platformy i menedżer deweloperów, aby można było zaplanować odpowiedni model uprawnień przed wdrożeniem usługi Dev Box.
Kontrola dostępu oparta na rolach (RBAC) platformy Azure określa wbudowane role, które definiują uprawnienia do zastosowania. Zamiast udzielać szczegółowych uprawnień bezpośrednio poszczególnym użytkownikom lub grupom, przypisujesz role, które łączą powiązane uprawnienia, dzięki czemu można stale stosować i przeprowadzać inspekcję dostępu między zasobami. Tę definicję roli można przypisać użytkownikowi lub grupie za pomocą przypisania roli dla określonego zakresu. Zakres może być pojedynczym zasobem, grupą zasobów lub w ramach subskrypcji. W następnej sekcji dowiesz się, które wbudowane role obsługuje usługa Microsoft Dev Box.
Aby uzyskać więcej informacji, zobacz Co to jest kontrola dostępu oparta na rolach platformy Azure (Azure RBAC)?
Uwaga
Po wprowadzeniu zmian przypisania roli propagacja tych aktualizacji może potrwać kilka minut.
Wbudowane role
W tym artykule wbudowane role platformy Azure są logicznie pogrupowane w trzy typy ról organizacji na podstawie ich zakresu wpływu:
Role inżynierów platformy: wpływ na uprawnienia centrów deweloperskich, katalogów i projektów
Menedżer deweloperów: wpływ na uprawnienia dla zasobów opartych na projekcie
Role deweloperów: wpływ na uprawnienia użytkowników
Poniżej przedstawiono wbudowane role obsługiwane przez usługę Microsoft Dev Box:
| Typ roli organizacyjnej | Rola wbudowana | opis |
|---|---|---|
| Inżynier platformy | Właściciel | Udziel pełnej kontroli nad tworzeniem centrów deweloperskich, katalogami i projektami oraz udzielanie uprawnień innym użytkownikom. Dowiedz się więcej o roli Właściciel. |
| Inżynier platformy | Współautor | Przyznaj pełną kontrolę nad tworzeniem centrów deweloperskich, katalogami i projektami oraz zarządzanie nimi, z wyjątkiem przypisywania ról innym użytkownikom. Dowiedz się więcej o roli Współautor. |
| Inżynier platformy | Właściciel centrum programistycznego | Zapewnij dostęp do zarządzania wszystkimi zasobami Microsoft.DevCenter i dostępem do nich. Dowiedz się więcej o roli właściciela centrum deweloperów. |
| Menedżer deweloperów | Administrator projektu DevCenter | Udzielanie uprawnień do zarządzania pewnymi aspektami projektów i pól deweloperskich. Dowiedz się więcej o roli administratora projektu DevCenter. |
| Deweloper | Użytkownik usługi Dev Box | Przyznaj uprawnienia do tworzenia pól deweloperskich i masz pełną kontrolę nad tworzonymi polami deweloperskimi. Dowiedz się więcej o roli użytkownika usługi Dev Box. |
Zakres przypisania roli
W kontroli dostępu opartej na rolach platformy Azure zakres to zestaw zasobów, do których ma zastosowanie dostęp. Podczas przypisywania roli ważne jest, aby zrozumieć zakres, aby przyznać tylko wymagany dostęp.
Na platformie Azure można określić zakres na czterech poziomach: grupa zarządzania, subskrypcja, grupa zasobów i zasób. Zakresy mają strukturę opartą na relacji nadrzędny-podrzędny. Każdy poziom hierarchii sprawia, że zakres jest bardziej szczegółowy. Role można przypisywać na dowolnym z tych poziomów zakresu. Wybrany poziom określa, jak szeroko jest stosowana rola. Niższe poziomy dziedziczą uprawnienia roli z wyższych poziomów. Dowiedz się więcej o zakresie kontroli dostępu opartej na rolach platformy Azure.
W przypadku usługi Microsoft Dev Box należy wziąć pod uwagę następujące zakresy:
| Scope | opis |
|---|---|
| Subskrypcja | Służy do zarządzania rozliczeniami i zabezpieczeniami dla wszystkich zasobów i usług platformy Azure. Zazwyczaj tylko inżynierowie platformy mają dostęp na poziomie subskrypcji, ponieważ to przypisanie roli udziela dostępu do wszystkich zasobów w subskrypcji. |
| Grupa zasobów | Kontener logiczny do grupowania zasobów. Przypisanie roli dla grupy zasobów przyznaje uprawnienie do grupy zasobów i wszystkich zasobów w niej, takich jak centra deweloperów, definicje pól deweloperskich, pule pól deweloperskich, projekty i pola deweloperskie. |
| Centrum deweloperów (zasób) | Kolekcja projektów, które wymagają podobnych ustawień. Przypisanie roli centrum deweloperów przyznaje uprawnienie do samego centrum deweloperskiego. Uprawnienia przypisane do centrów deweloperów nie są dziedziczone przez inne zasoby usługi Dev Box. |
| Projekt (zasób) | Zasób platformy Azure używany do stosowania typowych ustawień konfiguracji podczas tworzenia pola deweloperskiego. Przypisanie roli dla projektu przyznaje uprawnienia tylko do tego konkretnego projektu. |
| Pula usługi Dev Box (zasób) | Kolekcja pól deweloperskich, którymi zarządzasz razem i do których stosujesz podobne ustawienia. Przypisanie roli dla puli usługi Dev Box przyznaje uprawnienia tylko do tej konkretnej puli usługi Dev Box. |
| Definicja pola deweloperskiego (zasób) | Zasób platformy Azure, który określa obraz źródłowy i rozmiar, w tym rozmiar obliczeniowy i rozmiar magazynu. Przypisanie roli dla definicji pola deweloperskiego przyznaje uprawnienia tylko do tej konkretnej definicji pola deweloperskiego. |
Role typowych działań usługi Dev Box
W poniższej tabeli przedstawiono typowe działania usługi Dev Box i rolę wymaganą dla użytkownika do wykonania tego działania.
| Działanie | Typ roli | Rola | Scope |
|---|---|---|---|
| Przyznaj uprawnienie do tworzenia grupy zasobów. | Inżynier platformy | Właściciel lub współautor | Subskrypcja |
| Udzielanie uprawnień do przesyłania biletu pomocy technicznej firmy Microsoft, w tym żądania pojemności. | Inżynier platformy | Właściciel, Współautor, Współautor, Współautor wniosku o pomoc techniczną — współautor | Subskrypcja |
| Udzielanie uprawnień do tworzenia sieci wirtualnych i podsieci. | Inżynier platformy | Współautor sieci | Grupa zasobów |
| Przyznaj uprawnienie do tworzenia połączenia sieciowego. | Inżynier platformy | Właściciel lub współautor | Grupa zasobów |
| Przyznaj uprawnienia do przypisywania ról innym użytkownikom. | Inżynier platformy | Właściciel | Grupa zasobów |
| Udzielanie uprawnień do: — Tworzenie centrów deweloperskich i zarządzanie nimi. - Dodawanie/usuwanie połączeń sieciowych. — Dodawanie/usuwanie galerii obliczeniowych platformy Azure. - Tworzenie definicji pól deweloperskich i zarządzanie nimi. - Tworzenie projektów i zarządzanie nimi. — Dołączanie katalogu i zarządzanie nim do centrum deweloperskiego lub projektu (katalogi na poziomie projektu muszą być włączone w centrum deweloperów). — Konfigurowanie limitów usługi Dev Box. |
Inżynier platformy | Współautor | Grupa zasobów |
| Udzielanie uprawnień do tworzenia zasobów usługi Dev Box i zarządzania nimi bez udzielania dostępu do innych typów zasobów w grupie zasobów.
— Centra deweloperów — Projekty — definicje pól deweloperskich — pule pól deweloperskich |
Inżynier platformy | Właściciel centrum programistycznego | Grupa zasobów |
| Przyznaj uprawnienie do dodawania lub usuwania połączenia sieciowego dla centrum deweloperów. | Inżynier platformy | Współautor lub Właściciel centrum programistycznego | Centrum deweloperów |
| Udziel uprawnień do włączania/wyłączania katalogów projektów. | Menedżer deweloperów | Współautor | Centrum deweloperów |
| Udzielanie uprawnień do: — Dodawanie, synchronizowanie, usuwanie katalogu (wykazy na poziomie projektu muszą być włączone w centrum deweloperów). — Tworzenie pul pól deweloperskich. - Zatrzymaj, uruchom, usuń pola deweloperskie w pulach. |
Menedżer deweloperów | Administrator projektu DevCenter | Projekt |
| Tworzenie własnych pól deweloperskich i zarządzanie nimi w projekcie. | User | Użytkownik usługi Dev Box | Projekt |
| Tworzenie wykazów i zarządzanie nimi w repozytorium GitHub lub Azure Repos. | Menedżer deweloperów | Nie podlega kontroli dostępu opartej na rolach.
— Użytkownik musi mieć przypisane uprawnienia za pośrednictwem usługi Azure DevOps lub GitHub. |
Repozytorium |
Ważne
Subskrypcja organizacji służy do zarządzania rozliczeniami i zabezpieczeniami dla wszystkich zasobów i usług platformy Azure. Możesz przypisać rolę Właściciel lub Współautor w subskrypcji. Zazwyczaj tylko inżynierowie platformy mają dostęp na poziomie subskrypcji, ponieważ obejmuje to pełny dostęp do wszystkich zasobów w subskrypcji.
Role dla inżynierów platformy
Aby udzielić użytkownikom uprawnień do zarządzania usługą Microsoft Dev Box w ramach subskrypcji organizacji, możesz przypisać im rolę Właściciel lub Współautor w zakresie grupy zasobów lub rolę Właściciel centrum deweloperów w zakresie centrum deweloperów.
Jeśli używasz ról Właściciel lub Współautor, przypisz je do grupy zasobów. Centra deweloperów, połączenia sieciowe, definicje pól deweloperskich, pule pól deweloperskich i projekty w grupie zasobów dziedziczą te przypisania ról.
Rola właściciela
Przypisz rolę Właściciel, aby przyznać użytkownikowi pełną kontrolę nad tworzeniem zasobów usługi Dev Box lub zarządzaniem nimi i udzielanie uprawnień innym użytkownikom. Gdy użytkownik ma rolę Właściciel w grupie zasobów, może wykonać następujące działania we wszystkich zasobach w grupie zasobów:
- Przypisz role inżynierom platformy, aby mogli zarządzać zasobami usługi Dev Box.
- Tworzenie centrów deweloperskich, połączeń sieciowych, definicji pól deweloperskich, pul pól deweloperskich i projektów.
- Wyświetlanie, usuwanie i zmienianie ustawień dla wszystkich centrów deweloperskich, połączeń sieciowych, definicji pól deweloperskich, pul pól deweloperskich i projektów.
- Dołączanie i odłączanie wykazów.
Rola współautora
Przypisz rolę Współautor, aby zapewnić użytkownikowi pełną kontrolę nad tworzeniem centrów deweloperskich i projektów w grupie zasobów lub zarządzanie nimi. Rola Współautor ma takie same uprawnienia jak rola Właściciel, z wyjątkiem :
- Wykonywanie przypisań ról.
Uwaga
Po przypisaniu roli Właściciel lub Współautor w grupie zasobów te uprawnienia dotyczą również zasobów powiązanych z usługą Non-Dev Box, które istnieją w grupie zasobów.
Rola właściciela centrum deweloperów
Rolę Właściciela DevCenter można przypisać w zakresie grupy zasobów lub w zakresie DevCenter.
Rola właściciela DevCenter w kontekście grupy zasobów
Przypisz rolę DevCenter Owner do grupy zasobów, aby zapewnić użytkownikowi pełną kontrolę nad zasobami Microsoft.DevCenter bez udzielania szerszego dostępu do innych zasobów w grupie zasobów.
Gdy użytkownik ma rolę DevCenter Owner w grupie zasobów, może:
- Tworzenie, aktualizowanie i usuwanie centrów deweloperskich w tej grupie zasobów.
- Tworzenie, aktualizowanie i usuwanie projektów w tej grupie zasobów.
- Tworzenie, aktualizowanie i usuwanie pul pól deweloperskich oraz definicji pól deweloperskich w tej grupie zasobów.
- Zarządzaj katalogami, połączeniami sieciowymi i galeriami obliczeń dołączonymi do centrów deweloperskich w grupie zasobów.
- Deleguj administrowanie projektem przez przypisanie ról administratora projektu DevCenter i użytkownika usługi DevCenter Dev Box na poziomie projektu.
Rola właściciela DevCenter w zakresie centrum deweloperskiego
Przypisz rolę Właściciel centrum deweloperów do centrum deweloperskiego, aby zapewnić użytkownikowi pełną kontrolę nad zasobami Microsoft.DevCenter bez udzielania szerszego dostępu do innych centrów deweloperskich i ich zasobów. Użytkownicy z tą rolą przypisaną do centrum deweloperskiego nie mogą tworzyć nowych centrów deweloperskich.
Gdy użytkownik ma rolę Właściciela DevCenter w centrum deweloperów, może:
- Tworzenie, aktualizowanie i usuwanie projektów w tym centrum deweloperów.
- Tworzenie, aktualizowanie i usuwanie pul pól deweloperskich oraz definicji pól deweloperskich w tym centrum deweloperów.
- Zarządzaj katalogami, połączeniami sieciowymi i galeriami obliczeniowymi dołączonymi do tego centrum deweloperów.
- Deleguj administrowanie projektem przez przypisanie ról administratora projektu DevCenter i użytkownika usługi DevCenter Dev Box na poziomie projektu.
Role dla menedżerów deweloperów
Istnieje jedna rola menedżera deweloperów: Administrator projektu DevCenter. Ta rola ma bardziej ograniczone uprawnienia w zakresach niższego poziomu niż role inżyniera platformy. Tę rolę można przypisać menedżerom deweloperów, aby umożliwić im wykonywanie zadań administracyjnych dla ich zespołu.
Rola administratora projektu DevCenter
Przypisz administratora projektu DevCenter, aby włączyć:
Dodawanie, synchronizowanie, usuwanie wykazu (wykazy na poziomie projektu muszą być włączone w centrum deweloperów).
Tworzenie pul pól deweloperskich.
Zatrzymaj, uruchom, usuń pola deweloperskie w pulach.
Role dla deweloperów
Istnieje jedna rola dewelopera: Dev Box User. Ta rola umożliwia deweloperom tworzenie własnych pól deweloperskich i zarządzanie nimi.
Rola użytkownika usługi Dev Box
Przypisz rolę użytkownika usługi Dev Box, aby przyznać użytkownikom uprawnienia do tworzenia pól deweloperskich i mieć pełną kontrolę nad tworzonymi polami deweloperskimi. Deweloperzy mogą wykonywać następujące akcje w dowolnym tworzonym polu deweloperskim:
- Utworzenie
- Uruchamianie/zatrzymywanie
- Uruchom ponownie
- Opóźnienie zaplanowanego zamykania
- Delete
Zarządzanie dostępem i tożsamościami (IAM)
Strona Kontrola dostępu (IAM) w witrynie Azure Portal służy do konfigurowania kontroli dostępu opartej na rolach na platformie Azure w zasobach usługi Microsoft Dev Box. Wbudowane role można używać dla użytkowników indywidualnych i grup w usłudze Active Directory. Poniższy zrzut ekranu przedstawia integrację usługi Active Directory (Azure RBAC) przy użyciu kontroli dostępu (IAM) w witrynie Azure Portal:
Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.
Centrum deweloperów, grupa zasobów i struktura projektu
Twoja organizacja powinna zainwestować czas z góry, aby zaplanować rozmieszczenie centrów deweloperskich oraz strukturę grup zasobów i projektów.
Centra deweloperów: organizuj centra deweloperskie według zestawu projektów, którymi chcesz zarządzać razem, stosując podobne ustawienia i udostępniając podobne szablony.
Organizacje mogą używać co najmniej jednego centrum deweloperskiego. Zazwyczaj każda organizacja podrzędna w organizacji ma własne centrum deweloperskie. Możesz rozważyć utworzenie wielu centrów deweloperskich w następujących przypadkach:
Jeśli chcesz, aby określone konfiguracje były dostępne dla podzbioru projektów.
Jeśli różne zespoły muszą posiadać i obsługiwać zasób centrum deweloperskiego na platformie Azure.
Projekty: skojarzone z każdym zespołem deweloperskim lub grupą osób pracujących nad jedną aplikacją lub produktem.
Planowanie jest szczególnie ważne w przypadku przypisywania ról do grupy zasobów, ponieważ stosuje również uprawnienia do wszystkich zasobów w grupie zasobów, w tym centrów deweloperskich, połączeń sieciowych, definicji pól deweloperskich, pul pól deweloperskich i projektów.
Aby upewnić się, że użytkownicy mają uprawnienia tylko do odpowiednich zasobów:
Utwórz grupy zasobów, które zawierają tylko zasoby usługi Dev Box.
Organizuj projekty zgodnie z definicją pola deweloperskiego i wymaganymi pulami deweloperów oraz deweloperami, którzy powinni mieć dostęp. Należy pamiętać, że pule pól deweloperskich określają lokalizację tworzenia pól deweloperskich. Deweloperzy powinni tworzyć pola deweloperskie w lokalizacji blisko nich w celu uzyskania najmniejszego opóźnienia.
Możesz na przykład utworzyć oddzielne projekty dla różnych zespołów deweloperów, aby odizolować zasoby każdego zespołu. Menedżerowie deweloperzy w projekcie mogą następnie zostać przypisani do roli Administratora projektu, która udziela im dostępu tylko do zasobów swojego zespołu.
Ważne
Zaplanuj strukturę z góry, ponieważ nie można przenieść zasobów usługi Dev Box, takich jak projekty do innej grupy zasobów po ich utworzeniu.
Struktura wykazu
Usługa Microsoft Dev Box używa katalogów, aby umożliwić deweloperom wdrażanie dostosowań dla pól deweloperskich przy użyciu katalogu zadań i pliku dostosowywania do instalowania oprogramowania, dodawania rozszerzeń, klonowania repozytoriów i nie tylko.
Usługa Microsoft Dev Box przechowuje katalogi w repozytorium GitHub lub repozytorium usługi Azure DevOps Services. Katalog można dołączyć do centrum deweloperskiego lub do projektu.
Możesz dołączyć co najmniej jeden wykaz do centrum deweloperów i zarządzać wszystkimi dostosowaniami na tym poziomie. Aby zapewnić większą szczegółowość w sposobie uzyskiwania przez deweloperów dostępu do dostosowań, można dołączać katalogi na poziomie projektu. W planowaniu miejsca dołączania katalogów należy wziąć pod uwagę potrzeby każdego zespołu deweloperów.