Usar Controle de Acesso baseadas em função para gerenciar o Azure Stack HCI Máquinas Virtuais

  • Artigo

Aplica-se a: Azure Stack HCI, versão 23H2

Este artigo descreve como usar o RBAC (Controle de Acesso baseado em função) para controlar o acesso a VMs (máquinas virtuais) arc em execução no cluster do Azure Stack HCI.

Você pode usar as funções RBAC internas para controlar o acesso a VMs e recursos de VM, como discos virtuais, adaptadores de rede, imagens de VM, redes lógicas e caminhos de armazenamento. Você pode atribuir essas funções a usuários, grupos, entidades de serviço e identidades gerenciadas.

Importante

Esse recurso está em VERSÃO PRÉVIA no momento. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Sobre as funções RBAC internas

Para controlar o acesso a VMs e recursos de VM no Azure Stack HCI, você pode usar as seguintes funções RBAC:

  • Administrador do Azure Stack HCI – essa função concede acesso completo ao cluster do Azure Stack HCI e seus recursos. Um administrador do Azure Stack HCI pode registrar o cluster, bem como atribuir funções de leitor de VM do Azure Stack HCI contribuidor e da VM do Azure Stack HCI a outros usuários. Eles também podem criar recursos compartilhados por cluster, como redes lógicas, imagens de VM e caminhos de armazenamento.
  • Colaborador de VM do Azure Stack HCI – essa função concede permissões para executar todas as ações de VM, como iniciar, parar, reiniciar as VMs. Um Colaborador de VM do Azure Stack HCI pode criar e excluir VMs, bem como os recursos e extensões anexados às VMs. Um Colaborador de VM do Azure Stack HCI não pode registrar o cluster nem atribuir funções a outros usuários, nem criar recursos compartilhados por cluster, como redes lógicas, imagens de VM e caminhos de armazenamento.
  • Leitor de VM do Azure Stack HCI – essa função concede permissões para exibir apenas as VMs. Um leitor de VM não pode executar nenhuma ação nas VMs ou recursos e extensões da VM.

Aqui está uma tabela que descreve as ações de VM concedidas por cada função para as VMs e os vários recursos de VM. Os recursos da VM são referenciados aos recursos necessários para criar uma VM e incluem discos virtuais, adaptadores de rede, imagens de VM, redes lógicas e caminhos de armazenamento:

Função interna VMs Recursos da VM
Administrador do Azure Stack HCI Criar, listar, excluir VMs

Iniciar, parar, reiniciar VMs		 Criar, listar, excluir todos os recursos de VM, incluindo redes lógicas, imagens de VM e caminhos de armazenamento
Colaborador de VM do Azure Stack HCI Criar, listar, excluir VMs

Iniciar, parar, reiniciar VMs		 Criar, listar, excluir todos os recursos de VM, exceto redes lógicas, imagens de VM e caminhos de armazenamento
Leitor de VM do Azure Stack HCI Listar todas as VMs Listar todos os recursos da VM

Pré-requisitos

Antes de iniciar, cumpra os seguintes pré-requisitos:

  1. Verifique se você tem acesso a um cluster do Azure Stack HCI implantado e registrado. Durante a implantação, uma Ponte de Recursos do Arc e um local personalizado também são criados.

    Acesse o grupo de recursos no Azure. Você pode ver o local personalizado e a Ponte de Recursos do Azure Arc criada para o cluster do Azure Stack HCI. Anote a assinatura, o grupo de recursos e o local personalizado conforme você os usa posteriormente neste cenário.

  2. Verifique se você tem acesso à assinatura do Azure como Proprietário ou Administrador de Acesso do Usuário para atribuir funções a outras pessoas.

Designe funções RBAC aos usuários

Você pode atribuir funções RBAC ao usuário por meio do portal do Azure. Siga estas etapas para atribuir funções RBAC aos usuários:

  1. No Portal do Azure, pesquise o escopo ao qual conceder acesso, por exemplo, pesquise assinaturas, grupos de recursos ou um recurso específico. Neste exemplo, usamos a assinatura na qual o cluster do Azure Stack HCI é implantado.

  2. Acesse sua assinatura e vá para Controle de acesso (IAM) > Atribuições de função. Na barra de comandos superior, selecione + Adicionar e, em seguida, selecione Adicionar atribuição de função.

    Se você não tiver permissões para atribuir funções, a opção Adicionar atribuição de função será desabilitada.

    Captura de tela mostrando a atribuição de função RBAC em portal do Azure para o cluster do Azure Stack HCI.

  3. Na guia Função , selecione uma função RBAC para atribuir e escolha uma das seguintes funções internas:

    • Administrador do Azure Stack HCI
    • Colaborador de VM do Azure Stack HCI
    • Leitor de VM do Azure Stack HCI

    Captura de tela mostrando a guia Função durante a atribuição de função RBAC em portal do Azure para o cluster do Azure Stack HCI.

  4. Na guia Membros , selecione Usuário , grupo ou entidade de serviço. Selecione também um membro para atribuir a função.

    Captura de tela mostrando a guia Membros durante a atribuição de função no portal do Azure para o cluster do Azure Stack HCI.

  5. Examine a função e atribua-a.

    Captura de tela mostrando a guia Examinar + atribuir durante a atribuição de função no portal do Azure para o cluster do Azure Stack HCI.

  6. Verifique a atribuição de função. Acesse Controle de acesso (IAM) > Verifique o acesso > Exibir meu acesso. Você deve ver a atribuição de função.

    Captura de tela mostrando a função recém-atribuída em portal do Azure para o cluster do Azure Stack HCI.

Para obter mais informações sobre a atribuição de função, consulte Atribuir funções do Azure usando o portal do Azure.

Próximas etapas