Usar Controle de Acesso baseadas em função para gerenciar o Azure Stack HCI Máquinas Virtuais
Aplica-se a: Azure Stack HCI, versão 23H2
Este artigo descreve como usar o RBAC (Controle de Acesso baseado em função) para controlar o acesso a VMs (máquinas virtuais) arc em execução no cluster do Azure Stack HCI.
Você pode usar as funções RBAC internas para controlar o acesso a VMs e recursos de VM, como discos virtuais, adaptadores de rede, imagens de VM, redes lógicas e caminhos de armazenamento. Você pode atribuir essas funções a usuários, grupos, entidades de serviço e identidades gerenciadas.
Importante
Esse recurso está em VERSÃO PRÉVIA no momento. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Sobre as funções RBAC internas
Para controlar o acesso a VMs e recursos de VM no Azure Stack HCI, você pode usar as seguintes funções RBAC:
- Administrador do Azure Stack HCI – essa função concede acesso completo ao cluster do Azure Stack HCI e seus recursos. Um administrador do Azure Stack HCI pode registrar o cluster, bem como atribuir funções de leitor de VM do Azure Stack HCI contribuidor e da VM do Azure Stack HCI a outros usuários. Eles também podem criar recursos compartilhados por cluster, como redes lógicas, imagens de VM e caminhos de armazenamento.
- Colaborador de VM do Azure Stack HCI – essa função concede permissões para executar todas as ações de VM, como iniciar, parar, reiniciar as VMs. Um Colaborador de VM do Azure Stack HCI pode criar e excluir VMs, bem como os recursos e extensões anexados às VMs. Um Colaborador de VM do Azure Stack HCI não pode registrar o cluster nem atribuir funções a outros usuários, nem criar recursos compartilhados por cluster, como redes lógicas, imagens de VM e caminhos de armazenamento.
- Leitor de VM do Azure Stack HCI – essa função concede permissões para exibir apenas as VMs. Um leitor de VM não pode executar nenhuma ação nas VMs ou recursos e extensões da VM.
Aqui está uma tabela que descreve as ações de VM concedidas por cada função para as VMs e os vários recursos de VM. Os recursos da VM são referenciados aos recursos necessários para criar uma VM e incluem discos virtuais, adaptadores de rede, imagens de VM, redes lógicas e caminhos de armazenamento:
Função interna | VMs | Recursos da VM |
---|---|---|
Administrador do Azure Stack HCI | Criar, listar, excluir VMs Iniciar, parar, reiniciar VMs |
Criar, listar, excluir todos os recursos de VM, incluindo redes lógicas, imagens de VM e caminhos de armazenamento |
Colaborador de VM do Azure Stack HCI | Criar, listar, excluir VMs Iniciar, parar, reiniciar VMs |
Criar, listar, excluir todos os recursos de VM, exceto redes lógicas, imagens de VM e caminhos de armazenamento |
Leitor de VM do Azure Stack HCI | Listar todas as VMs | Listar todos os recursos da VM |
Pré-requisitos
Antes de iniciar, cumpra os seguintes pré-requisitos:
Verifique se você tem acesso a um cluster do Azure Stack HCI implantado e registrado. Durante a implantação, uma Ponte de Recursos do Arc e um local personalizado também são criados.
Acesse o grupo de recursos no Azure. Você pode ver o local personalizado e a Ponte de Recursos do Azure Arc criada para o cluster do Azure Stack HCI. Anote a assinatura, o grupo de recursos e o local personalizado conforme você os usa posteriormente neste cenário.
Verifique se você tem acesso à assinatura do Azure como Proprietário ou Administrador de Acesso do Usuário para atribuir funções a outras pessoas.
Designe funções RBAC aos usuários
Você pode atribuir funções RBAC ao usuário por meio do portal do Azure. Siga estas etapas para atribuir funções RBAC aos usuários:
No Portal do Azure, pesquise o escopo ao qual conceder acesso, por exemplo, pesquise assinaturas, grupos de recursos ou um recurso específico. Neste exemplo, usamos a assinatura na qual o cluster do Azure Stack HCI é implantado.
Acesse sua assinatura e vá para Controle de acesso (IAM) > Atribuições de função. Na barra de comandos superior, selecione + Adicionar e, em seguida, selecione Adicionar atribuição de função.
Se você não tiver permissões para atribuir funções, a opção Adicionar atribuição de função será desabilitada.
Na guia Função , selecione uma função RBAC para atribuir e escolha uma das seguintes funções internas:
- Administrador do Azure Stack HCI
- Colaborador de VM do Azure Stack HCI
- Leitor de VM do Azure Stack HCI
Na guia Membros , selecione Usuário , grupo ou entidade de serviço. Selecione também um membro para atribuir a função.
Examine a função e atribua-a.
Verifique a atribuição de função. Acesse Controle de acesso (IAM) > Verifique o acesso > Exibir meu acesso. Você deve ver a atribuição de função.
Para obter mais informações sobre a atribuição de função, consulte Atribuir funções do Azure usando o portal do Azure.
Próximas etapas
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de