Controle de acesso baseado em função do Azure no Azure Lab Services
O Azure Lab Services fornece controle de acesso baseado em função do Azure (Azure RBAC) interno para cenários de gerenciamento comuns nos Serviços de Laboratório do Azure. Um indivíduo que tenha um perfil no Microsoft Entra ID pode atribuir essas funções do Azure a usuários, grupos, entidades de serviço ou identidades gerenciadas para conceder ou negar acesso a recursos e operações nos recursos do Azure Lab Services. Este artigo descreve as diferentes funções internas suportadas pelo Azure Lab Services.
O RBAC (controle de acesso baseado em função) do Azure é um sistema de autorização criado no Azure Resource Manager que fornece gerenciamento de acesso refinado dos recursos do Azure.
O RBAC do Azure especifica definições de função internas que descrevem as permissões a serem aplicadas. Você atribui a um usuário ou grupo essa definição de função por meio de uma atribuição de função para um escopo específico. O escopo pode ser um recurso individual, um grupo de recursos ou através da assinatura. Na próxima seção, você aprenderá quais funções internas o Azure Lab Services suporta.
Para obter mais informações, consulte O que é o controle de acesso baseado em função do Azure (Azure RBAC)?
Nota
Quando você faz alterações na atribuição de função, pode levar alguns minutos para que essas atualizações se propaguem.
Funções incorporadas
Neste artigo, as funções internas do Azure são agrupadas logicamente em dois tipos de função, com base em seu escopo de influência:
- Funções de administrador: influenciar permissões para planos de laboratório e laboratórios
- Funções de gerenciamento de laboratório: influenciar permissões para laboratórios
A seguir estão as funções internas suportadas pelo Azure Lab Services:
| Tipo de função | Função incorporada | Descrição |
|---|---|---|
| Administrador | Proprietário | Conceda controle total para criar/gerenciar planos de laboratório e laboratórios e conceda permissões a outros usuários. Saiba mais sobre a função Proprietário. |
| Administrador | Contribuidor | Conceda controle total para criar/gerenciar planos de laboratório e laboratórios, exceto para atribuir funções a outros usuários. Saiba mais sobre a função de Colaborador. |
| Administrador | Colaborador de Serviços de Laboratório | Conceda as mesmas permissões que a função Proprietário, exceto para atribuir funções. Saiba mais sobre a função de Colaborador do Lab Services. |
| Gestão laboratorial | Criador de laboratório | Conceda permissão para criar laboratórios e tenha controle total sobre os laboratórios que eles criam. Saiba mais sobre a função Lab Creator. |
| Gestão laboratorial | Colaborador do Laboratório | Conceda permissão para ajudar a gerenciar um laboratório existente, mas não crie novos laboratórios. Saiba mais sobre a função de Colaborador de laboratório. |
| Gestão laboratorial | Assistente de Laboratório | Conceda permissão para visualizar um laboratório existente. Também pode iniciar, parar ou recriar a imagem de qualquer VM no laboratório. Saiba mais sobre a função Assistente de laboratório. |
| Gestão laboratorial | Leitor de serviços de laboratório | Conceda permissão para visualizar laboratórios existentes. Saiba mais sobre a função Lab Services Reader. |
Escopo de atribuição de função
No RBAC do Azure, escopo é o conjunto de recursos ao qual o acesso se aplica. Quando você atribui uma função, é importante entender o escopo para conceder apenas o acesso necessário.
No Azure, você pode especificar um escopo em quatro níveis: grupo de gerenciamento, assinatura, grupo de recursos e recurso. Os âmbitos são estruturados numa relação de principal-subordinado. Cada nível de hierarquia torna o âmbito mais específico. Você pode atribuir funções em qualquer um desses níveis de escopo. O nível selecionado determina a extensão da aplicação da função. Níveis inferiores herdam permissões de função de níveis superiores. Saiba mais sobre o escopo do Azure RBAC.
Para os Serviços de Laboratório do Azure, considere os seguintes escopos:
| Scope | Descrição |
|---|---|
| Subscrição | Usado para gerenciar a cobrança e a segurança de todos os recursos e serviços do Azure. Normalmente, apenas os administradores têm acesso no nível da assinatura porque essa atribuição de função concede acesso a todos os recursos da assinatura. |
| Grupo de recursos | Um contêiner lógico para agrupar recursos. A atribuição de função para o grupo de recursos concede permissão ao grupo de recursos e a todos os recursos dentro dele, como laboratórios e planos de laboratório. |
| Plano de laboratório | Um recurso do Azure usado para aplicar definições de configuração comuns quando você cria um laboratório. A atribuição de função para o plano de laboratório concede permissão apenas a um plano de laboratório específico. |
| Laboratório | Um recurso do Azure usado para aplicar definições de configuração comuns para criar e executar máquinas virtuais de laboratório. A atribuição de função para o laboratório concede permissão apenas a um laboratório específico. |
Importante
Nos Serviços de Laboratório do Azure, os planos de laboratório e os laboratórios são recursos irmãos entre si. Como resultado, os laboratórios não herdam nenhuma atribuição de funções do plano de laboratório. No entanto, as atribuições de função do grupo de recursos são herdadas por planos de laboratório e laboratórios nesse grupo de recursos.
Funções para atividades comuns de laboratório
A tabela a seguir mostra as atividades comuns do laboratório e a função necessária para que um usuário execute essa atividade.
| Atividade | Tipo de função | Função | Âmbito |
|---|---|---|---|
| Conceda permissão para criar um grupo de recursos. Um grupo de recursos é um contêiner lógico no Azure para armazenar os planos e laboratórios de laboratório. Antes de criar um plano de laboratório ou laboratório, esse grupo de recursos precisa existir. | Administrador | Proprietário ou Colaborador | Subscrição |
| Conceda permissão para enviar um tíquete de suporte da Microsoft, inclusive para solicitar capacidade. | Administrador | Proprietário, Colaborador, Contribuidor de Solicitação de Suporte | Subscrição |
| Conceda permissão para: - Atribua funções a outros usuários. - Criar/gerenciar planos de laboratório, laboratórios e outros recursos dentro do grupo de recursos. - Ativar / desativar o mercado e imagens personalizadas em um plano de laboratório. - Anexar/desanexar galeria de computação em um plano de laboratório. |
Administrador | Proprietário | Grupo de recursos |
| Conceda permissão para: - Criar/gerenciar planos de laboratório, laboratórios e outros recursos dentro do grupo de recursos. - Habilite ou desabilite o Azure Marketplace e imagens personalizadas em um plano de laboratório. No entanto, não a capacidade de atribuir funções a outros usuários. |
Administrador | Contribuinte | Grupo de recursos |
| Conceda permissão para criar ou gerenciar seus próprios laboratórios para todos os planos de laboratório dentro de um grupo de recursos. | Gestão laboratorial | Criador de laboratório | Grupo de recursos |
| Conceda permissão para criar ou gerenciar seus próprios laboratórios para um plano de laboratório específico. | Gestão laboratorial | Criador de laboratório | Plano de laboratório |
| Conceda permissão para cogerenciar um laboratório, mas não a capacidade de criar laboratórios. | Gestão laboratorial | Colaborador do Laboratório | Laboratório |
| Conceda permissão apenas para iniciar/parar/recriar imagens de VMs para todos os laboratórios dentro de um grupo de recursos. | Gestão laboratorial | Assistente de Laboratório | Grupo de recursos |
| Conceda permissão apenas para iniciar/parar/recriar imagens de VMs para um laboratório específico. | Gestão laboratorial | Assistente de Laboratório | Laboratório |
Importante
A subscrição de uma organização é utilizada para gerir a faturação e a segurança de todos os recursos e serviços do Azure. Você pode atribuir a função de Proprietário ou Colaborador na assinatura. Normalmente, apenas os administradores têm acesso no nível da assinatura, pois isso inclui acesso total a todos os recursos da assinatura.
Funções de administrador
Para conceder permissão aos usuários para gerenciar os Serviços de Laboratório do Azure dentro da assinatura da sua organização, você deve atribuir a eles a função de Proprietário, Colaborador ou Colaborador dos Serviços de Laboratório .
Atribua essas funções ao grupo de recursos. Os planos de laboratório e os laboratórios dentro do grupo de recursos herdam essas atribuições de função.
A tabela a seguir compara as diferentes funções de administrador quando elas são atribuídas no grupo de recursos.
| Plano de laboratório/Laboratório | Atividade | Proprietário | Contribuinte | Colaborador de Serviços de Laboratório |
|---|---|---|---|---|
| Plano de laboratório | Exibir todos os planos de laboratório dentro do grupo de recursos | Sim | Sim | Sim |
| Plano de laboratório | Criar, alterar ou excluir todos os planos de laboratório dentro do grupo de recursos | Sim | Sim | Sim |
| Plano de laboratório | Atribuir funções a planos de laboratório dentro do grupo de recursos | Sim | Não | Não |
| Laboratório | Criar laboratórios dentro do grupo de recursos** | Sim | Sim | Sim |
| Laboratório | Exibir laboratórios de outros usuários dentro do grupo de recursos | Sim | Sim | Sim |
| Laboratório | Alterar ou excluir laboratórios de outros usuários dentro do grupo de recursos | Sim | Sim | No |
| Laboratório | Atribuir funções aos laboratórios de outros usuários dentro do grupo de recursos | Sim | Não | Não |
** Os usuários recebem automaticamente permissão para visualizar, alterar configurações, excluir e atribuir funções para os laboratórios que criam.
Função Proprietário
Atribua a função Proprietário para dar a um usuário controle total para criar ou gerenciar planos de laboratório e laboratórios e conceder permissões a outros usuários. Quando um usuário tem a função Proprietário no grupo de recursos, ele pode fazer as seguintes atividades em todos os recursos dentro do grupo de recursos:
- Atribua funções a administradores, para que eles possam gerenciar recursos relacionados ao laboratório.
- Atribua funções a gerentes de laboratório, para que eles possam criar e gerenciar laboratórios.
- Crie planos de laboratório e laboratórios.
- Exibir, excluir e alterar configurações de todos os planos de laboratório, incluindo anexar ou desanexar a galeria de computação e habilitar ou desabilitar o Azure Marketplace e imagens personalizadas em planos de laboratório.
- Visualize, exclua e altere as configurações de todos os laboratórios.
Atenção
Quando você atribui a função de Proprietário ou Colaborador no grupo de recursos, essas permissões também se aplicam a recursos não relacionados ao laboratório que existem no grupo de recursos. Por exemplo, recursos como redes virtuais, contas de armazenamento, galerias de computação e muito mais.
Função de contribuidor
Atribua a função de Colaborador para dar a um usuário controle total para criar ou gerenciar planos de laboratório e laboratórios dentro de um grupo de recursos. A função de Colaborador tem as mesmas permissões que a função Proprietário, exceto para:
- Executando atribuições de função
Função de Colaborador do Lab Services
O Colaborador de Serviços de Laboratório é a mais restritiva das funções de administrador. Atribua a função de Colaborador do Lab Services para habilitar as mesmas atividades que a função Proprietário, exceto para:
- Executando atribuições de função
- Alterar ou excluir laboratórios de outros usuários
Nota
A função de Colaborador dos Serviços de Laboratório não permite alterações em recursos não relacionados aos Serviços de Laboratório do Azure. Por outro lado, a função de Colaborador permite alterações em todos os recursos do Azure dentro do grupo de recursos.
Funções de gerenciamento de laboratório
Use as seguintes funções para conceder permissões aos usuários para criar e gerenciar laboratórios:
- Criador de laboratório
- Colaborador do Laboratório
- Assistente de Laboratório
- Leitor de serviços de laboratório
Essas funções de gerenciamento de laboratório só concedem permissão para exibir planos de laboratório. Essas funções não permitem criar, alterar, excluir ou atribuir funções a planos de laboratório. Além disso, os usuários com essas funções não podem anexar ou desanexar uma galeria de computação e habilitar ou desabilitar imagens de máquinas virtuais.
Função de Criador de Laboratório
Atribua a função Lab Creator para dar permissão a um usuário para criar laboratórios e ter controle total sobre os laboratórios que eles criam. Por exemplo, eles podem alterar as configurações de seus laboratórios, excluir seus laboratórios e até mesmo conceder permissão a outros usuários para seus laboratórios.
Atribua a função de Criador de Laboratório no grupo de recursos ou no plano de laboratório.
A tabela a seguir compara a atribuição de função do Lab Creator para o grupo de recursos ou plano de laboratório.
| Atividade | Grupo de recursos | Plano de laboratório |
|---|---|---|
| Criar laboratórios dentro do grupo de recursos** | Sim | Sim |
| Ver os laboratórios que criaram | Sim | Sim |
| Exibir laboratórios de outros usuários dentro do grupo de recursos | Sim | No |
| Alterar ou excluir laboratórios criados pelo usuário | Sim | Sim |
| Alterar ou excluir laboratórios de outros usuários dentro do grupo de recursos | No | Não |
| Atribuir funções aos laboratórios de outros usuários dentro do grupo de recursos | No | Não |
** Os usuários recebem automaticamente permissão para visualizar, alterar configurações, excluir e atribuir funções para os laboratórios que criam.
Função de Colaborador do Laboratório
Atribua a função de Colaborador de Laboratório para dar permissão a um usuário para ajudar a gerenciar um laboratório existente.
Atribua a função de Colaborador de laboratório no laboratório.
Quando você atribui a função de Colaborador de Laboratório no laboratório, o usuário pode gerenciar o laboratório atribuído. Especificamente, o usuário:
- Pode visualizar, alterar todas as configurações ou excluir o laboratório atribuído.
- O usuário não pode visualizar os laboratórios de outros usuários.
- Não é possível criar novos laboratórios.
Função de Assistente de Laboratório
Atribua a função Assistente de Laboratório para conceder permissão a um usuário para exibir um laboratório e iniciar, parar e criar uma nova imagem de máquinas virtuais de laboratório para o laboratório.
Atribua a função Assistente de laboratório no grupo de recursos ou laboratório.
Quando você atribui a função Assistente de laboratório no grupo de recursos, o usuário:
- Pode exibir todos os laboratórios dentro do grupo de recursos e iniciar, parar ou recriar imagens de máquinas virtuais de laboratório para cada laboratório.
- Não é possível excluir ou fazer quaisquer outras alterações nos laboratórios.
Quando você atribui a função de Assistente de laboratório no laboratório, o usuário:
- Pode exibir o laboratório atribuído e iniciar, parar ou recriar imagens de máquinas virtuais de laboratório.
- Não é possível excluir ou fazer quaisquer outras alterações no laboratório.
- Não é possível criar novos laboratórios.
Quando tiver a função Assistente de Laboratório, para ver outros laboratórios aos quais lhe foi concedido acesso, certifique-se de que escolhe o filtro Todos os laboratórios no Web site dos Serviços de Laboratório do Azure.
Função de Leitor de Serviços de Laboratório
Atribua a função Lab Services Reader para conceder permissão de usuário para exibir laboratórios existentes. O usuário não pode fazer alterações em laboratórios existentes.
Atribua a função Leitor de Serviços de Laboratório no grupo de recursos ou laboratório.
Quando você atribui a função Lab Services Reader no grupo de recursos, o usuário pode:
- Visualize todos os laboratórios dentro do grupo de recursos.
Quando você atribui a função Lab Services Reader no laboratório, o usuário pode:
- Veja apenas o laboratório específico.
Gestão de identidades e acessos (IAM)
A página Controle de acesso (IAM) no portal do Azure é usada para configurar o controle de acesso baseado em função do Azure nos recursos do Azure Lab Services. Você pode usar funções internas para indivíduos e grupos no Ative Directory. A captura de tela a seguir mostra a integração do Ative Directory (Azure RBAC) usando o controle de acesso (IAM) no portal do Azure:
Para obter os passos detalhados, veja o artigo Atribuir funções do Azure com o portal do Azure.
Grupo de recursos e estrutura do plano de laboratório
Sua organização deve investir tempo antecipadamente para planejar a estrutura de grupos de recursos e planos de laboratório. Isso é especialmente importante quando você atribui funções no grupo de recursos porque também aplica permissões a todos os recursos no grupo de recursos.
Para garantir que os usuários tenham permissão apenas para os recursos apropriados:
Crie grupos de recursos que contenham apenas recursos relacionados ao laboratório.
Organize planos de laboratório e laboratórios em grupos de recursos separados de acordo com os usuários que devem ter acesso.
Por exemplo, você pode criar grupos de recursos separados para departamentos diferentes para isolar os recursos de laboratório de cada departamento. Os criadores de laboratório em um departamento podem receber permissões no grupo de recursos, o que só lhes concede acesso aos recursos de laboratório de seu departamento.
Importante
Planeje o grupo de recursos e a estrutura do plano de laboratório antecipadamente porque não é possível mover planos de laboratório ou laboratórios para um grupo de recursos diferente depois de criados.
Acesso a vários grupos de recursos
Você pode conceder aos usuários acesso a vários grupos de recursos. No site do Azure Lab Services, o usuário pode escolher na lista de grupos de recursos para exibir seus laboratórios.
Acesso a vários planos de laboratório
Você pode conceder aos usuários acesso a vários planos de laboratório. Por exemplo, quando você atribui a função Lab Creator a um usuário em um grupo de recursos que contém mais de um plano de laboratório. O usuário pode escolher na lista de planos de laboratório ao criar um novo laboratório.
Próximos passos
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários