Udostępnij za pośrednictwem


Omówienie dostępu opartego na rolach do obszaru roboczego usługi Azure Quantum

Dowiedz się więcej o różnych podmiotach zabezpieczeń i rolach, których można użyć do zarządzania dostępem do obszaru roboczego usługi Azure Quantum.

Azure role-based access control (RBAC) (Kontrola dostępu oparta na rolach na platformie Azure)

Kontrola dostępu oparta na rolach (RBAC) platformy Azure to system autoryzacji używany do zarządzania dostępem do zasobów platformy Azure, takich jak obszar roboczy. Aby udzielić dostępu, należy przypisać role do podmiotu zabezpieczeń.

Podmiot zabezpieczeń

Podmiot zabezpieczeń to obiekt reprezentujący użytkownika, grupę, jednostkę usługi lub tożsamość zarządzaną.

Podmiot zabezpieczeń Definicja
User Konto użytkownika, które loguje się do platformy Azure w celu tworzenia zasobów, zarządzania nimi i korzystania z nich.
Grupa Grupa użytkowników. Służy do zarządzania użytkownikami, którzy potrzebują tego samego dostępu i uprawnień do zasobów.
Jednostka usługi Tożsamość użytkownika dla aplikacji, usługi lub platformy, która musi uzyskiwać dostęp do zasobów.
Tożsamość zarządzana Automatycznie zarządzana tożsamość w usłudze Azure Active Directory (Azure AD) dla aplikacji używanych podczas nawiązywania połączenia z zasobami obsługującymi uwierzytelnianie usługi Azure AD.

Rola

Po udzieleniu dostępu do podmiotu zabezpieczeń należy przypisać wbudowaną rolę lub utworzyć rolę niestandardową. Najczęściej używane role wbudowane to Właściciel, Współautor i Czytelnik.

Rola Poziom dostępu
Właściciel Udziela pełnego dostępu do zarządzania wszystkimi zasobami, w tym możliwość przypisywania ról w kontroli dostępu opartej na rolach platformy Azure.
Współautor Udziela pełnego dostępu do zarządzania wszystkimi zasobami, ale nie umożliwia przypisywania ról w kontroli dostępu opartej na rolach platformy Azure.
Czytelnik Wyświetl wszystkie zasoby, ale nie zezwala na wprowadzanie żadnych zmian.

Scope

Role są przypisywane w określonym zakresie. Zakres to zestaw zasobów, w ramach którego jest przydzielany dostęp. Zakresy mają strukturę opartą na relacji nadrzędny-podrzędny. Każdy poziom hierarchii sprawia, że zakres jest bardziej szczegółowy. Wybrany poziom określa, jak szeroko jest stosowana rola. Niższe poziomy dziedziczą uprawnienia roli z wyższych poziomów. Role można przypisywać na czterech poziomach zakresu: grupa zarządzania, subskrypcja, grupa zasobów lub zasób.

Diagram przedstawiający cztery poziomy zakresu.

Scope opis
Grupa zarządzania Ułatwia zarządzanie dostępem, zasadami i zgodnością dla wielu subskrypcji. Wszystkie subskrypcje w grupie zarządzania automatycznie dziedziczą warunki stosowane do grupy zarządzania. Może być potrzebna grupa zarządzania, jeśli organizacja ma wiele subskrypcji.
Subskrypcja Logicznie kojarzy konta użytkowników z tworzonymi przez nich zasobami. Konto użytkownika to tożsamość użytkownika i co najmniej jedna subskrypcja. Subskrypcja reprezentuje grupowanie zasobów platformy Azure. W zakresie subskrypcji są generowane faktury. Aby utworzyć zasoby platformy Azure, musisz mieć konto z aktywną subskrypcją. Aby uzyskać informacje o opcjach subskrypcji, zobacz Tworzenie obszaru roboczego usługi Azure Quantum.
Grupa zasobów: kontener, który przechowuje powiązane zasoby dla rozwiązania platformy Azure. Grupa zasobów zawiera zasoby, którymi chcesz zarządzać jako grupą. Na przykład następujące zasoby są wymagane do uruchamiania aplikacji w usłudze Azure Quantum:
  • Konto usługi Azure Storage: przechowuje dane wejściowe i wyjściowe dla zadań kwantowych.
  • Obszar roboczy usługi Azure Quantum: kolekcja zasobów skojarzonych z uruchomionymi aplikacjami kwantowymi.
Te zasoby działają w jednej grupie zasobów.
Zasób Wystąpienie usługi, którą można utworzyć, takie jak obszar roboczy lub konto magazynu.

Uwaga

Ponieważ dostęp można ograniczyć do wielu poziomów na platformie Azure, użytkownik może mieć różne role na każdym poziomie. Na przykład osoba mająca dostęp właściciela do obszaru roboczego może nie mieć dostępu właściciela do grupy zasobów zawierającej obszar roboczy.

Wymagania dotyczące roli tworzenia obszaru roboczego

Podczas tworzenia nowego obszaru roboczego należy najpierw wybrać subskrypcję, grupę zasobów i konto magazynu do skojarzenia z obszarem roboczym. Możliwość utworzenia obszaru roboczego zależy od posiadanych poziomów dostępu, począwszy od zakresu subskrypcji. Aby wyświetlić autoryzację dla różnych zasobów, zobacz Sprawdzanie przypisań ról.

Właściciel subskrypcji

Właściciele subskrypcji mogą tworzyć obszary robocze przy użyciu opcji szybkiej tworzenia lub tworzenia zaawansowanego. Możesz wybrać grupę zasobów i konto magazynu, które już istnieje w ramach subskrypcji, lub utworzyć nowe. Masz również możliwość przypisywania ról innym użytkownikom.

Współautor subskrypcji

Współautorzy subskrypcji mogą tworzyć obszary robocze przy użyciu opcji Tworzenie zaawansowane.

  • Aby utworzyć nowe konto magazynu, musisz wybrać istniejącą grupę zasobów, której jesteś właścicielem.

  • Aby wybrać istniejące konto magazynu, musisz być właścicielem konta magazynu. Musisz również wybrać istniejącą grupę zasobów, do której należy konto magazynu.

Współautorzy subskrypcji nie mogą przypisywać ról innym osobom.

Czytelnik subskrypcji

Czytelnicy subskrypcji nie mogą tworzyć obszarów roboczych. Możesz wyświetlić wszystkie zasoby utworzone w ramach subskrypcji, ale nie można wprowadzać żadnych zmian ani przypisywać ról.

Sprawdzanie przypisań ról

Sprawdzanie subskrypcji

Aby wyświetlić listę subskrypcji i skojarzonych ról:

  1. Zaloguj się w witrynie Azure Portal.
  2. W obszarze nagłówka Usługi platformy Azure wybierz pozycję Subskrypcje. Jeśli nie widzisz pozycji Subskrypcje w tym miejscu, użyj pola wyszukiwania, aby ją znaleźć.
  3. Filtr Subskrypcje obok pola wyszukiwania może domyślnie mieć wartość Subskrypcje == filtr globalny. Aby wyświetlić listę wszystkich subskrypcji, wybierz filtr Subskrypcje i usuń zaznaczenie pozycji "Wybierz tylko subskrypcje wybrane w..." pudełko. Następnie wybierz pozycję Zastosuj. Następnie filtr powinien zawierać pozycję Subskrypcje == wszystkie. Zrzut ekranu witryny Azure Portal przedstawiający sposób zmiany filtru subskrypcji w celu wyświetlenia listy wszystkich subskrypcji.

Sprawdzanie zasobów

Aby sprawdzić przypisanie roli, które masz lub inny użytkownik dla określonego zasobu, zobacz Sprawdzanie dostępu użytkownika do zasobów platformy Azure.

Przypisywanie ról

Aby dodać nowych użytkowników do obszaru roboczego, musisz być właścicielem obszaru roboczego. Aby udzielić dostępu do obszaru roboczego 10 lub mniej użytkownikom, zobacz Udostępnianie dostępu do obszaru roboczego usługi Azure Quantum. Aby udzielić dostępu ponad 10 użytkownikom, zobacz Dodawanie grupy do obszaru roboczego usługi Azure Quantum.

Aby przypisać role dla dowolnego zasobu w dowolnym zakresie, w tym poziom subskrypcji, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

Rozwiązywanie problemów

Aby uzyskać rozwiązania typowych problemów, zobacz Rozwiązywanie problemów z usługą Azure Quantum: tworzenie obszaru roboczego usługi Azure Quantum.

  • Podczas tworzenia zasobu na platformie Azure, takiego jak obszar roboczy, nie jesteś bezpośrednio właścicielem zasobu. Twoja rola jest dziedziczona z roli o najwyższym zakresie, względem której masz autoryzację w tej subskrypcji.

  • Podczas tworzenia nowych przypisań ról czasami może upłynąć do jednej godziny, aby przejąć uprawnienia buforowane w całym stosie.