Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Agent może badać problemy, podejmować działania dotyczące infrastruktury produkcyjnej i uzyskiwać dostęp do poufnych danych w całym środowisku. Kontrola dostępu określa, kto może żądać akcji, kto może je zatwierdzić i kto może modyfikować konfigurację agenta.
Omówienie kontroli dostępu
Kontrola dostępu działa w czterech warstwach.
| Warstwa | Sterowanie | Skonfigurowane na |
|---|---|---|
| Role użytkownika (ten artykuł) | Co użytkownicy mogą zrobić z agentem | Usługi IAM platformy Azure dotyczące zasobów agenta |
| Tryby uruchamiania | Czy agent pyta przed działaniem | Dla każdego wyzwalacza i zaplanowanego zadania |
| Tożsamość agenta | Do czego agent może uzyskać dostęp na platformie Azure | Role RBAC w grupach zasobów |
| Tryb awaryjny OBO | Tymczasowy dostęp z podwyższonym poziomem uprawnień | Administrator autoryzuje na żądanie |
Trzy wbudowane role
Agent zawiera trzy wbudowane role RBAC platformy Azure.
| roli | Może to zrobić | Nie da się wykonać |
|---|---|---|
| Czytelnik agenta SRE | Wyświetlanie wątków, dzienników, zdarzeń | Czat, przesyłanie żądań, modyfikowanie wszystkiego |
| Użytkownik standardowy agenta SRE | Czat, uruchom diagnostykę, żądaj akcji | Zatwierdzanie akcji, usuwanie zasobów, modyfikowanie łączników |
| Administrator agenta SRE | Zatwierdzanie akcji, zarządzanie łącznikami, usuwanie zasobów | (Pełny dostęp) |
Użytkownik, który tworzy agenta, automatycznie pobiera rolę administratora agenta SRE .
Zrzut ekranu pokazujący role agenta SRE w portalu Azure IAM, w tym rolę administratora, czytelnika i użytkownika standardowego.
Kto powinien mieć jaką rolę
Skorzystaj z poniższych wskazówek, aby przypisać role na podstawie obowiązków zespołu.
| roli | Nadaj |
|---|---|
| Czytelnik agenta SRE | Audytorzy, zespoły ds. zgodności, uczestnicy projektu, którzy potrzebują wglądu |
| Użytkownik standardowy agenta SRE | Inżynierowie L1/L2, ratownicy, każdy, kto diagnozuje problemy |
| Administrator agenta SRE | Menedżerowie usług SRE, administratorzy chmury, dowódcy zdarzeń |
Jak portal wymusza uprawnienia
Portal sprawdza przypisania ról platformy Azure podczas uzyskiwania dostępu do agenta. Dostęp jest wymuszany na dwóch poziomach.
Poziom 1. Brak dostępu do agenta
Jeśli nie masz przypisania roli agenta SRE, w portalu zostanie wyświetlony ekran Wymagany dostęp z ikoną osłony i przyciskiem Przejdź do kontroli dostępu , który otwiera blok Zarządzanie dostępem i tożsamościami platformy Azure. Jeśli masz właściciela platformy Azure lub współautora zasobu, zobaczysz również baner z ofertą automatycznego przypisywania roli Administrator.
Poziom 2. Wymuszanie zaplecza
Jeśli masz rolę agenta SRE, ale spróbujesz wykonać akcję poza uprawnieniami (na przykład czytelnik próbuje wysłać komunikat lub użytkownik standardowy próbuje utworzyć podagent), zaplecze blokuje akcję z błędem 403. Portal może pozwolić na przejście do strony lub wybranie przycisku, ale operacja kończy się niepowodzeniem z powodu błędu uprawnień po dotarciu do serwera.
Uwaga / Notatka
Niektóre funkcje portalu aktywnie wyłączają przyciski, gdy brakuje uprawnień do zapisu (na przykład zarządzanie łącznikami pokazuje wyłączone przyciski z podpowiedziami). Jednak to działanie nie jest jeszcze spójne we wszystkich funkcjach. Zaplecze zawsze wymusza prawidłowe uprawnienia niezależnie od tego, co pokazuje interfejs użytkownika.
Do czego może uzyskać dostęp każda rola
Poniższa tabela zawiera podsumowanie poziomu dostępu dla każdej roli w różnych obszarach portalu.
| Obszar | Czytelnik | Użytkownik standardowy | administratorzy |
|---|---|---|---|
| Czat | Wyświetlanie wątków (tylko do odczytu) | Wysyłanie komunikatów, uruchamianie wątków | Pełny dostęp, zatwierdzanie akcji, usuwanie wątków |
| Kreator subagentów | Wyświetlanie podagentów | Wyświetlanie podagentów | Tworzenie, edytowanie, usuwanie podagentów |
| Baza wiedzy | Przeglądanie dokumentów | Przekaż dokumenty | Przekazywanie i usuwanie dokumentów |
| Łączniki | Wyświetlanie łączników | Wyświetlanie łączników | Dodawanie, edytowanie, usuwanie łączników |
| Plany odpowiedzi | Wyświetlanie planów | Wyświetlanie planów | Tworzenie, edytowanie, usuwanie planów |
| Zasoby zarządzane | Wyświetlanie zasobów | Wyświetlanie zasobów | Dodawanie, usuwanie zasobów |
| Settings | Ustawienia widoku | Ustawienia widoku | Modyfikowanie ustawień, zatrzymywanie/usuwanie agenta |
Przypisywanie ról
Przypisz role za pomocą witryny Azure Portal (Kontrola dostępu (zarządzanie dostępem i tożsamościami)>Dodaj przypisanie roli) lub przy użyciu interfejsu wiersza polecenia platformy Azure.
az role assignment create \
--assignee user@company.com \
--role "SRE Agent Administrator" \
--scope <AGENT_RESOURCE_ID>
Zastąp nazwę roli ciągiem SRE Agent Standard User lub SRE Agent Reader w razie potrzeby.
Aby znaleźć identyfikator zasobu agenta, uruchom następujące polecenie:
az resource show \
--resource-group <RESOURCE_GROUP> \
--name <AGENT_NAME> \
--resource-type Microsoft.SREAgent/agents \
--query id -o tsv
Jak role współpracują ze sobą
W poniższym przykładzie pokazano, jak role oddziałują podczas przepływu pracy zatwierdzania działań. Inżynier żąda akcji, ale tylko administratorzy mogą ją zatwierdzić.
| Krok | Kto | Action |
|---|---|---|
| 1 | Inżynier (użytkownik standardowy) | "Rozwiązywanie problemu z konfiguracją" |
| 2 | Agent | Plan korygowania wersji roboczych |
| 3 | Agent | Nie można wykonać (wymaga zatwierdzenia przez administratora) |
| 4 | Menedżer (administrator) | Przeglądy i zatwierdzenia |
| 5 | Agent | Wykonuje poprawkę przy użyciu tożsamości zarządzanej lub autoryzacji w imieniu |
Role użytkownika a uprawnienia agenta
Role użytkownika i uprawnienia agenta kontrolują różne aspekty dostępu.
| Pojęcie | Sterowanie |
|---|---|
| Role i uprawnienia użytkownika (ten artykuł) | Co użytkownicy mogą zrobić z agentem |
| Uprawnienia agenta | Co agent może zrobić w zasobach platformy Azure |
Gdy administrator zatwierdzi akcję, agent używa jednej z następujących metod:
- Tożsamość zarządzana agenta: użyj tej metody, gdy agent ma wymagane uprawnienia RBAC platformy Azure.
- Autoryzacja w imieniu innego użytkownika: użyj tej metody, gdy agent nie ma uprawnień, ale ma je administrator.
Wskazówka
Tylko administratorzy agentów SRE mogą autoryzować dostęp w imieniu innej osoby. Użytkownicy standardowi nie mogą zatwierdzać akcji wymagających podwyższonych uprawnień.