Recursos, funções e controle de acesso no Application Insights
É possível controlar quem tem acesso de leitura e atualização aos dados no Application Insights usando o Controle de acesso baseado em função do Azure (RBAC do Azure).
Importante
Atribua acesso aos usuários no grupo de recursos ou assinatura ao qual o recurso do aplicativo pertence, não no próprio recurso. Atribua a função Colaborador de Componente do Application Insights. Essa função garante o controle uniforme de acesso a testes na Web e alertas, juntamente com o recurso do aplicativo. Saiba mais.
Observação
Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Confira Instalar o Azure PowerShell para começar. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.
Recursos, grupos e assinaturas
Primeiro, vamos definir alguns termos:
Recurso: uma instância de um serviço do Azure. O recurso do Application Insights coleta, analisa e exibe os dados de telemetria enviados de seu aplicativo. Outros tipos de recursos do Azure incluem aplicativos Web, bancos de dados e VMs.
Para ver os recursos, abra o portal do Azure, conecte-se e selecione Todos os recursos. Para encontrar um recurso, digite uma parte de seu nome no campo de filtro.
- Grupo de recursos: cada recurso pertence a um grupo. Um grupo é uma maneira conveniente de gerenciar recursos relacionados, particularmente para controle de acesso. Por exemplo, em um grupo de recursos, você pode colocar um aplicativo Web, um recurso do Application Insights para monitorar o aplicativo e um recurso do Armazenamento do Azure para manter os dados exportados.
- Assinatura: para usar o Application Insights ou outros recursos do Azure, entre em uma assinatura do Azure. Cada grupo de recursos pertence a uma assinatura do Azure, onde você escolhe seu pacote de preços. Se for uma assinatura da organização, o proprietário poderá escolher os membros e as permissões de acesso deles.
- Conta Microsoft: o nome de usuário e a senha que você usa para entrar nas assinaturas do Azure, no Xbox Live, no Outlook.com e em outros serviços da Microsoft.
Controlar o acesso no grupo de recursos
Além do recurso criado para o aplicativo, também há recursos ocultos separados para alertas e testes na Web. Eles estão conectados ao mesmo grupo de recursos do recurso do Application Insights. Você também pode colocar outros serviços do Azure nele, como sites ou armazenamento.
Fornecer acesso a outro usuário
Você deve ter direitos de Proprietário para a assinatura ou o grupo de recursos.
O usuário precisa ter uma conta Microsoft ou acesso à respectiva conta Microsoft organizacional. Você pode fornecer acesso a pessoas e também a grupos de usuários definidos no Microsoft Entra ID.
Vá até o grupo de recursos ou diretamente ao próprio recurso
Atribua a função de Colaborador ao RBAC do Azure.
Para ver as etapas detalhadas, confira Atribuir funções do Azure usando o portal do Azure.
Selecione uma função
Quando aplicável, o link se conecta à documentação de referência oficial associada.
| Função | No grupo de recursos |
|---|---|
| Proprietário | Pode alterar qualquer item, incluindo o acesso do usuário. |
| Colaborador | Pode editar qualquer coisa, incluindo todos os recursos. |
| Colaborador de componente do Application Insights | Pode editar recursos do Application Insights. |
| Leitor | Pode exibir, mas não alterar nada. |
| Depurador de Instantâneos do Application Insights | Concede ao usuário permissão para usar os recursos do Depurador de Captura Instantânea do Application Insights. Essa função não é incluída nas funções de Proprietário ou Colaborador. |
| Colaborador do Gerenciamento de Liberação do Azure Service Deploy | Função de contribuição para a implantação de serviços por meio do Azure Service Deploy. |
| Limpador de Dados | Função especial para limpar os dados pessoais. Para saber mais, confira Gerenciar dados pessoais no Log Analytics e no Application Insights. |
| Administrador de Azure ExpressRoute | Pode criar, excluir e gerenciar rotas expressas. |
| Colaborador do Log Analytics | O Colaborador do Log Analytics pode ler todos os dados de monitoramento e editar as configurações de monitoramento. A edição de configurações de monitoramento inclui a adição da extensão de VM às VMs, leitura de chaves da conta de armazenamento para poder configurar a coleção de logs do Armazenamento do Azure, criação e configuração de contas de Automação, adição de soluções e configuração do diagnóstico do Azure em todos os recursos do Azure. Se você está enfrentando problemas para configurar o diagnóstico do Azure, confira Diagnóstico do Azure. |
| Leitor do Log Analytics | Um Leitor do Log Analytics pode exibir e pesquisar todos os dados de monitoramento além de exibir as configurações de monitoramento, incluindo a exibição da configuração do diagnóstico do Azure em todos os recursos do Azure. Se você está enfrentando problemas para configurar o diagnóstico do Azure, confira Diagnóstico do Azure. |
| masterreader | Permite que um usuário visualize tudo, mas não faça alterações. |
| Colaborador de monitoramento | Pode ler todos os dados de monitoramento e atualizar as configurações de monitoramento. |
| Publicador de Métricas de Monitoramento | Permite publicar métricas em relação aos recursos do Azure. |
| Leitor de monitoramento | Pode ler todos os dados de monitoramento. |
| Colaborador da Política de Recursos (versão prévia) | Os usuários provisionados de Enterprise Agreements, com direitos para criar/modificar a política de recursos, criam tíquetes de suporte e leem recursos/hierarquias. |
| Administrador de acesso do usuário | Permite que um usuário gerencie o acesso de outros usuários aos recursos do Azure. |
| Colaborador do Site | Permite gerenciar sites (não planos da Web), mas não acessá-los. |
A edição inclui a criação, a exclusão e a atualização:
- Recursos
- Testes da Web
- Alertas
- Exportação contínua
Selecione o usuário
Se o usuário desejado não estiver no diretório, você poderá convidar qualquer pessoa com uma conta da Microsoft. Se ela usa serviços como Outlook.com, OneDrive, Windows Phone ou Xbox Live, já tem uma conta Microsoft.
Conteúdo relacionado
Confira o artigo Controle de acesso baseado em função do Azure (RBAC do Azure).
Consulta do PowerShell para determinar a associação de função
Como determinadas funções podem ser vinculadas a notificações e alertas de email, talvez seja útil gerar uma lista dos usuários que pertencem a uma certa função. Para ajudar a gerar esses tipos de listas, as consultas de exemplo a seguir podem ser ajustadas para atender às suas necessidades específicas.
Consulte a assinatura inteira para encontrar funções de administrador + funções de colaborador
(Get-AzRoleAssignment -IncludeClassicAdministrators | Where-Object {$_.RoleDefinitionName -in @('ServiceAdministrator', 'CoAdministrator', 'Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Consulte dentro do contexto de um recurso específico do Application Insights para encontrar os proprietários e colaboradores
$resourceGroup = "RGNAME"
$resourceName = "AppInsightsName"
$resourceType = "microsoft.insights/components"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup -ResourceType $resourceType -ResourceName $resourceName | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Consulte dentro do contexto de um grupo de recursos específico para encontrar os proprietários e colaboradores
$resourceGroup = "RGNAME"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "