Controle de acesso baseado em função do Azure nos Serviços de Laboratório do Azure
Os Serviços de Laboratório do Azure fornecem controle de acesso baseado em função do Azure (RBAC) interno do Azure para cenários de gerenciamento comuns nos Serviços de Laboratório do Azure. Um indivíduo que tenha um perfil na ID do Microsoft Entra pode atribuir essas funções do Azure a usuários, grupos, entidades de serviço ou identidades gerenciadas para conceder ou negar acesso a recursos e operações nos recursos dos Serviços de Laboratório do Azure. Este artigo descreve as diferentes funções internas que o Azure Lab Services suporta.
O RBAC (controle de acesso baseado em função do Azure) é um sistema de autorização desenvolvido no Azure Resource Manager que fornece gerenciamento de acesso refinado dos recursos do Azure.
O RBAC do Azure especifica definições de função internas que descrevem as permissões a serem aplicadas. Você atribui a um usuário ou grupo essa definição de função por meio de uma atribuição de função para um escopo específico. O escopo pode ser um recurso individual, um grupo de recursos ou por toda a assinatura. Na próxima seção, você aprenderá quais funções internas o Azure Lab Services suporta.
Para saber mais, confira O que é o Azure o RBAC (controle de acesso baseado em função do Azure)?
Observação
Quando você faz alterações de atribuição de função, pode levar alguns minutos para que essas atualizações se propaguem.
Funções internas
Neste artigo, as funções internas do Azure são agrupadas logicamente em dois tipos de função, com base em seu escopo de influência:
- Funções de administrador: permissões de influência para planos de laboratório e laboratórios
- Funções de gerenciamento de laboratório: permissões de influência para laboratórios
A seguir estão as funções internas com suporte nos Serviços de Laboratório do Azure:
| Tipo de função | Função interna | Descrição |
|---|---|---|
| Administrador | Proprietário | Conceda controle total para criar/gerenciar planos de laboratório e laboratórios e conceda permissões a outros usuários. Saiba mais sobre a função Proprietário. |
| Administrador | Colaborador | Conceda controle total para criar/gerenciar planos de laboratório e laboratórios, exceto para atribuir funções a outros usuários. Saiba mais sobre a função de Colaborador. |
| Administrador | Colaborador do Lab Services | Conceda as mesmas permissões que a função Proprietário, exceto para atribuir funções. Saiba mais sobre a função de Colaborador de Serviços de Laboratório. |
| Gestão de laboratório | Criador de laboratório | Conceda permissão para criar laboratórios e tenha controle total sobre os laboratórios que eles criam. Saiba mais sobre a função Criador de laboratório. |
| Gestão de laboratório | Colaborador de Laboratório | Conceda permissão para ajudar a gerenciar um laboratório existente, mas não crie novos laboratórios. Saiba mais sobre a função Colaborador de laboratório. |
| Gestão de laboratório | Assistente de Laboratório | Conceda permissão para exibir um laboratório existente. Também pode iniciar, parar ou recriar imagens de qualquer VM no laboratório. Saiba mais sobre a função de Assistente de Laboratório. |
| Gestão de laboratório | Leitor do Lab Services | Conceda permissão para exibir laboratórios existentes. Saiba mais sobre a função Leitor de Serviços de Laboratório. |
Escopo de atribuição de função
No RBAC do Azure, escopo é o conjunto de recursos ao qual o acesso se aplica. Quando você atribui uma função, é importante entender o escopo para que você conceda apenas o acesso necessário.
No Azure, você pode especificar um escopo em quatro níveis: grupo de gerenciamento, assinatura, grupo de recursos e recurso. Os escopos são estruturados em uma relação pai-filho. Cada nível de hierarquia torna o escopo mais específico. Você pode atribuir funções em qualquer um desses níveis de escopo. O nível que você seleciona determina o quão amplamente a função é aplicada. Os níveis inferiores herdam as permissões de função de níveis superiores. Saiba mais sobre o escopo do RBAC do Azure.
Para os Serviços de Laboratório do Azure, considere os seguintes escopos:
| Escopo | Descrição |
|---|---|
| Subscription | Usado para gerenciar a cobrança e a segurança de todos os recursos e serviços do Azure. Normalmente, apenas os administradores têm acesso no nível da assinatura porque essa atribuição de função concede acesso a todos os recursos na assinatura. |
| Grupo de recursos | Um contêiner lógico para agrupar recursos. A atribuição de função para o grupo de recursos concede permissão ao grupo de recursos e a todos os recursos dentro dele, como laboratórios e planos de laboratório. |
| Plano de laboratório | Um recurso do Azure usado para aplicar definições de configuração comuns ao criar um laboratório. A atribuição de função para o plano de laboratório concede permissão apenas a um plano de laboratório específico. |
| Laboratório | Um recurso do Azure usado para aplicar definições de configuração comuns para criar e executar máquinas virtuais de laboratório. A atribuição de função para o laboratório concede permissão somente a um laboratório específico. |
Importante
Nos Serviços de Laboratório do Azure, os planos de laboratório e os laboratórios são recursos irmãos entre si. Como resultado, os laboratórios não herdam nenhuma atribuição de funções do plano de laboratório. No entanto, as atribuições de função do grupo de recursos são herdadas por planos de laboratório e laboratórios nesse grupo de recursos.
Funções para atividades comuns de laboratório
A tabela a seguir mostra as atividades comuns de laboratório e a função necessária para que um usuário execute essa atividade.
| Atividade | Tipo de função | Função | Escopo |
|---|---|---|---|
| Conceda permissão para criar um grupo de recursos. Um grupo de recursos é um contêiner lógico no Azure para armazenar os planos e laboratórios de laboratório. Antes de criar um plano de laboratório ou laboratório, esse grupo de recursos precisa existir. | Administrador | Proprietário ou Colaborador | Subscription |
| Conceda permissão para enviar um tíquete de suporte da Microsoft, inclusive para solicitar capacidade. | Administrador | Proprietário, Colaborador, Colaborador de Solicitação de Suporte | Subscription |
| Conceda permissão para: - Atribuir funções a outros usuários. - Criar/gerenciar planos de laboratório, laboratórios e outros recursos dentro do grupo de recursos. - Ativar/desativar o marketplace e imagens personalizadas em um plano de laboratório. - Anexar/desanexar galeria de computação em um plano de laboratório. |
Administrador | Proprietário | Grupo de recursos |
| Conceda permissão para: - Criar/gerenciar planos de laboratório, laboratórios e outros recursos dentro do grupo de recursos. - Habilitar ou desabilitar o Azure Marketplace e imagens personalizadas em um plano de laboratório. No entanto, não a capacidade de atribuir funções a outros usuários. |
Administrador | Colaborador | Grupo de recursos |
| Conceda permissão para criar ou gerenciar seus próprios laboratórios para todos os planos de laboratório em um grupo de recursos. | Gestão de laboratório | Criador de laboratório | Grupo de recursos |
| Conceda permissão para criar ou gerenciar seus próprios laboratórios para um plano de laboratório específico. | Gestão de laboratório | Criador de laboratório | Plano de laboratório |
| Conceda permissão para cogerenciar um laboratório, mas não a capacidade de criar laboratórios. | Gestão de laboratório | Colaborador de Laboratório | Laboratório |
| Conceda permissão apenas para iniciar/parar/recriar imagens de VMs para todos os laboratórios dentro de um grupo de recursos. | Gestão de laboratório | Assistente de Laboratório | Grupo de recursos |
| Conceda permissão apenas para iniciar/parar/recriar imagens de VMs para um laboratório específico. | Gestão de laboratório | Assistente de Laboratório | Laboratório |
Importante
A assinatura de uma organização é usada para gerenciar a cobrança e a segurança de todos os recursos e serviços do Azure. Você pode atribuir a função Proprietário ou Colaborador na assinatura. Normalmente, apenas os administradores têm acesso no nível da assinatura, pois isso inclui acesso total a todos os recursos da assinatura.
Funções de administrador
Para conceder aos usuários permissão para gerenciar os Serviços de Laboratório do Azure na assinatura da sua organização, você deve atribuir a eles a função Proprietário, Colaborador ou Colaborador de Serviços de Laboratório.
Atribua essas funções no grupo de recursos. Os planos de laboratório e os laboratórios dentro do grupo de recursos herdam essas atribuições de função.
A tabela a seguir compara as diferentes funções de administrador quando elas são atribuídas no grupo de recursos.
| Plano de laboratório/Laboratório | Atividade | Proprietário | Colaborador | Colaborador do Lab Services |
|---|---|---|---|---|
| Plano de laboratório | Exibir todos os planos de laboratório no grupo de recursos | Sim | Sim | Yes |
| Plano de laboratório | Criar, alterar ou excluir todos os planos de laboratório dentro do grupo de recursos | Sim | Sim | Yes |
| Plano de laboratório | Atribuir funções a planos de laboratório dentro do grupo de recursos | Sim | No | Não |
| Laboratório | Criar laboratórios dentro do grupo de recursos** | Sim | Sim | Yes |
| Laboratório | Exibir laboratórios de outros usuários dentro do grupo de recursos | Sim | Sim | Yes |
| Laboratório | Alterar ou excluir laboratórios de outros usuários dentro do grupo de recursos | Sim | Sim | Não |
| Laboratório | Atribuir funções aos laboratórios de outros usuários dentro do grupo de recursos | Sim | No | Não |
** Os usuários recebem automaticamente permissão para exibir, alterar configurações, excluir e atribuir funções para os laboratórios que criam.
Função Proprietário
Atribua a função Proprietário para dar a um usuário controle total para criar ou gerenciar planos e laboratórios de laboratório e conceder permissões a outros usuários. Quando um usuário tem a função Proprietário no grupo de recursos, ele pode fazer as seguintes atividades em todos os recursos dentro do grupo de recursos:
- Atribua funções aos administradores, para que eles possam gerenciar recursos relacionados ao laboratório.
- Atribua funções aos gerentes de laboratório, para que eles possam criar e gerenciar laboratórios.
- Crie planos de laboratório e laboratórios.
- Exibir, excluir e alterar configurações para todos os planos de laboratório, incluindo anexar ou desanexar a galeria de computação e habilitar ou desabilitar o Azure Marketplace e imagens personalizadas em planos de laboratório.
- Exibir, excluir e alterar configurações para todos os laboratórios.
Cuidado
Quando você atribui a função Proprietário ou Colaborador no grupo de recursos, essas permissões também se aplicam a recursos não relacionados ao laboratório existentes no grupo de recursos. Por exemplo, recursos como redes virtuais, contas de armazenamento, galerias de computação e muito mais.
Função Parceiro
Atribua a função Colaborador para dar a um usuário controle total para criar ou gerenciar planos de laboratório e laboratórios em um grupo de recursos. A função Colaborador tem as mesmas permissões que a função Proprietário, exceto para:
- Executando atribuições de função
Função de Colaborador de Serviços de Laboratório
O Colaborador de Serviços de Laboratório é a mais restritiva das funções de administrador. Atribua a função Colaborador de Serviços de Laboratório para habilitar as mesmas atividades que a função Proprietário, exceto para:
- Executando atribuições de função
- Alterando ou excluindo laboratórios de outros usuários
Observação
A função Colaborador de Serviços de Laboratório não permite alterações em recursos não relacionados aos Serviços de Laboratório do Azure. Por outro lado, a função Colaborador permite alterações em todos os recursos do Azure dentro do grupo de recursos.
Funções de gerenciamento de laboratório
Use as seguintes funções para conceder aos usuários permissões para criar e gerenciar laboratórios:
- Criador de laboratório
- Colaborador de Laboratório
- Assistente de Laboratório
- Leitor do Lab Services
Essas funções de gerenciamento de laboratório concedem apenas permissão para exibir planos de laboratório. Essas funções não permitem criar, alterar, excluir ou atribuir funções a planos de laboratório. Além disso, os usuários com essas funções não podem anexar ou desanexar uma galeria de computação e habilitar ou desabilitar imagens de máquina virtual.
Função Criador de Laboratório
Atribua a função Criador de Laboratório para dar a um usuário permissão para criar laboratórios e ter controle total sobre os laboratórios que eles criam. Por exemplo, eles podem alterar as configurações de seus laboratórios, excluir seus laboratórios e até mesmo conceder permissão a outros usuários para seus laboratórios.
Atribua a função Criador de Laboratório no grupo de recursos ou no plano de laboratório.
A tabela a seguir compara a atribuição de função Criador de Laboratório para o grupo de recursos ou plano de laboratório.
| Atividade | Grupo de recursos | Plano de laboratório |
|---|---|---|
| Criar laboratórios dentro do grupo de recursos** | Sim | Yes |
| Veja os laboratórios que eles criaram | Sim | Yes |
| Exibir laboratórios de outros usuários dentro do grupo de recursos | Sim | Não |
| Alterar ou excluir laboratórios criados pelo usuário | Sim | Yes |
| Alterar ou excluir laboratórios de outros usuários dentro do grupo de recursos | Não | Não |
| Atribuir funções aos laboratórios de outros usuários dentro do grupo de recursos | Não | Não |
** Os usuários recebem automaticamente permissão para exibir, alterar configurações, excluir e atribuir funções para os laboratórios que criam.
Função de Colaborador de Laboratório
Atribua a função de Colaborador de Laboratório para dar permissão a um usuário para ajudar a gerenciar um laboratório existente.
Atribua a função de Colaborador de Laboratório no laboratório.
Quando você atribui a função de Colaborador de Laboratório no laboratório, o usuário pode gerenciar o laboratório atribuído. Especificamente, o usuário:
- Pode exibir, alterar todas as configurações ou excluir o laboratório atribuído.
- O usuário não pode visualizar os laboratórios de outros usuários.
- Não é possível criar novos laboratórios.
Função de Assistente de Laboratório
Atribua a função Assistente de Laboratório para conceder a um usuário permissão para exibir um laboratório e iniciar, parar e recriar imagens de máquinas virtuais de laboratório para o laboratório.
Atribua a função Assistente de Laboratório no grupo de recursos ou laboratório.
Quando você atribui a função Assistente de Laboratório no grupo de recursos, o usuário:
- Pode exibir todos os laboratórios dentro do grupo de recursos e iniciar, parar ou recriar imagens de máquinas virtuais de laboratório para cada laboratório.
- Não é possível excluir ou fazer outras alterações nos laboratórios.
Quando você atribui a função Assistente de Laboratório no laboratório, o usuário:
- Pode exibir o laboratório atribuído e iniciar, parar ou recriar imagens de máquinas virtuais de laboratório.
- Não é possível excluir ou fazer outras alterações no laboratório.
- Não é possível criar novos laboratórios.
Quando você tiver a função Assistente de Laboratório, para exibir outros laboratórios aos quais você tem acesso, escolha o filtro Todos os laboratórios no site dos Serviços de Laboratório do Azure.
Função Leitor de Serviços de Laboratório
Atribua a função Leitor de Serviços de Laboratório para conceder permissão de usuário exibir laboratórios existentes. O usuário não pode fazer alterações nos laboratórios existentes.
Atribua a função Leitor de Serviços de Laboratório no grupo de recursos ou laboratório.
Quando você atribui a função Leitor de Serviços de Laboratório no grupo de recursos, o usuário pode:
- Exiba todos os laboratórios dentro do grupo de recursos.
Quando você atribui a função Leitor de Serviços de Laboratório no laboratório, o usuário pode:
- Visualize apenas o laboratório específico.
IAM (gerenciamento de identidade e acesso)
A página Controle de acesso (IAM) no portal do Azure é usada para configurar o controle de acesso baseado em função do Azure nos recursos do Azure Lab Services. Você pode usar funções internas para indivíduos e grupos no Active Directory. A seguinte captura de tela mostra a integração com o Active Directory (RBAC do Azure) usando o controle de acesso (IAM) no portal do Azure:
Para ver as etapas detalhadas, confira Atribuir funções do Azure usando o portal do Azure.
Grupo de recursos e estrutura do plano de laboratório
Sua organização deve investir tempo antecipadamente para planejar a estrutura de grupos de recursos e planos de laboratório. Isso é especialmente importante quando você atribui funções no grupo de recursos, pois também aplica permissões a todos os recursos no grupo de recursos.
Para garantir que os usuários recebam permissão apenas para os recursos apropriados:
Crie grupos de recursos que contenham apenas recursos relacionados ao laboratório.
Organize planos de laboratório e laboratórios em grupos de recursos separados de acordo com os usuários que devem ter acesso.
Por exemplo, você pode criar grupos de recursos separados para departamentos diferentes para isolar os recursos de laboratório de cada departamento. Os criadores de laboratório em um departamento podem receber permissões no grupo de recursos, o que concede a eles apenas acesso aos recursos de laboratório de seu departamento.
Importante
Planeje o grupo de recursos e a estrutura do plano de laboratório antecipadamente porque não é possível mover planos de laboratório ou laboratórios para um grupo de recursos diferente depois que eles são criados.
Acesso a vários grupos de recursos
Você pode conceder aos usuários acesso a vários grupos de recursos. No site do Azure Lab Services, o usuário pode escolher na lista de grupos de recursos para exibir seus laboratórios.
Acesso a vários planos de laboratório
Você pode conceder aos usuários acesso a vários planos de laboratório. Por exemplo, quando você atribui a função Criador de Laboratório a um usuário em um grupo de recursos que contém mais de um plano de laboratório. O usuário pode escolher na lista de planos de laboratório ao criar um novo laboratório.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de