Compartilhar via

Configuração de RBAC de exemplo para vários usuários empresariais

  • Artigo

Muitos clientes do Azure Sphere querem configurar o acesso do RBAC para permitir que as equipes de engenharia executem funções relacionadas ao desenvolvimento em dispositivos de propriedade de engenharia e grupos de dispositivos, mas impedem que as equipes de engenharia acessem diretamente grupos de dispositivos de produção normalmente gerenciados por uma equipe de operações. O cenário a seguir detalha como configurar um conjunto de grupos de usuários RBAC e permissões para dar à equipe de engenharia e à equipe de operações acesso apenas aos recursos e recursos necessários. Nesse cenário, há três grupos de usuários de negócios diferentes com as seguintes responsabilidades de trabalho comuns:

  • Usuários administradores do Azure Sphere – o grupo de usuários do Azure Sphere de maior privilégio para usuários que precisam criar, configurar e gerenciar novos catálogos do Azure Sphere e seus recursos filho, incluindo reivindicar dispositivos para catálogos (associar permanentemente os dispositivos reivindicados com apenas esse catálogo) e integrar locatários existentes do Azure Sphere (Herdado) aos catálogos do Azure Sphere (Integrado).
  • Usuários do Product Team – para usuários que precisam de privilégios para itens pertencentes ao próprio recurso de catálogo, como imagens e certificados, mas que não devem ter privilégios para todos os grupos de dispositivos pertencentes ao catálogo, como o grupo de dispositivos de produção potencialmente sensível. Esse grupo de usuários é especialmente apropriado para usuários de desenvolvimento de produtos que baixam arquivos de funcionalidade do dispositivo, movem dispositivos entre os grupos de dispositivos desenvolvimento, teste de campo e avaliação do sistema operacional de teste de campo, e que implantam novos softwares e potencialmente coletam arquivos de despejo de falhas nos grupos de dispositivos teste de campo e avaliação do sistema operacional de teste de campo, mas que não estão autorizados a gerenciar dispositivos de produção nos grupos de dispositivos de avaliação do sistema operacional de produção e produção.
  • Usuários da Equipe de Operações – para usuários que gerenciam a frota de dispositivos de produção, precisando de permissões para o grupo de dispositivos Production, onde implantarão novas imagens de software e firmware, potencialmente habilitam a coleta de arquivos de despejo de falhas e para validar que as versões de varejo do sistema operacional funcionam conforme o esperado no grupo de dispositivos de Avaliação do Sistema Operacional de Produção.

Configuração RBAC de exemplo.

Aviso

  • Os usuários que precisam integrar locatários do Azure Sphere (Herdado) aos catálogos do Azure Sphere (Integrado) devem ter a função colaboradora do Azure Sphere aplicada ao grupo de recursos que possui a assinatura à qual o locatário pertence.

  • Embora seja possível atribuir a um usuário uma função RBAC apenas em um produto ou grupo de dispositivos, mas não em seu catálogo pai, o usuário não poderá pesquisar o produto ou grupo de dispositivos, ou seu catálogo pai, na tela inicial do Azure. Eles só podem acessar o produto ou o grupo de dispositivos por meio de uma URL que aponta diretamente para ele. Por conveniência do usuário, recomendamos que todos os usuários tenham pelo menos acesso do Leitor do Azure Sphere ao catálogo.