Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Внимание
Поддержка служб лабораторий Azure прекратится 28 июня 2027 г. Дополнительные сведения см. в руководстве по выходу на пенсию. Чтобы упростить миграцию, Microsoft опубликовала скрипты автоматизации для очистки ресурсов Azure Lab Services. Они доступны в репозитории GitHub Azure Lab Services Retirement Scripts.
Службы лабораторий Azure предоставляют встроенный контроль доступа на основе ролей Azure (Azure RBAC) для распространенных сценариев управления в Службах лабораторий Azure. Пользователь, имеющий профиль в Microsoft Entra ID, может назначать эти роли Azure пользователям, группам, субъектам-службам или управляемым удостоверениям для предоставления или запрета доступа к ресурсам и операциям в ресурсах Azure Lab Services. В этой статье описываются различные встроенные роли, поддерживаемые службами лабораторий Azure.
Управление доступом на основе ролей в Azure (RBAC) — это система авторизации на базе Azure Resource Manager, которая обеспечивает управление доступом к ресурсам Azure на высоком уровне детализации.
Azure RBAC задает встроенные определения ролей, описывающие применяемые разрешения. Вы назначаете пользователю или группе это определение роли с помощью назначения ролей для определенной области. Областью может быть отдельный ресурс, группа ресурсов или подписка. В следующем разделе вы узнаете, какие встроенные роли поддерживают службы лабораторий Azure.
Общие сведения см. в статье Что такое управление доступом на основе ролей в Azure (Azure RBAC)?
Примечание.
При внесении изменений в назначение ролей может потребоваться несколько минут для распространения этих обновлений.
Встроенные роли
В этой статье встроенные роли Azure логически группируются в два типа ролей на основе их влияния:
- Роли администратора: влияют на разрешения для планов лабораторий и самих лабораторий
- Роли управления лабораторией: влияние разрешений для лабораторий
Ниже приведены встроенные роли, поддерживаемые службами лабораторий Azure.
| Тип роли | Встроенная роль | Описание |
|---|---|---|
| Администратор | Владелец | Предоставьте полный контроль для создания планов лабораторий и лабораторий и управления ими и предоставления разрешений другим пользователям. Дополнительные сведения о роли владельца. |
| Администратор | Участник | Предоставьте полный контроль для создания и управления планами лабораторий и лабораториями, за исключением назначения ролей другим пользователям. Дополнительные сведения о роли участника. |
| Администратор | Участник служб лабораторий | Предоставьте те же разрешения, что и роль владельца, за исключением назначения ролей. Узнайте больше о роли сотрудника служб лабораторий. |
| Управление лабораторией | Конструктор лабораторий | Предоставьте разрешение на создание лабораторий и полный контроль над создаваемыми лабораториями. Дополнительные сведения о роли создателя лаборатории. |
| Управление лабораторией | Участник лаборатории | Предоставьте разрешение на управление существующей лабораторией, но не создание новых лабораторий. Узнайте подробнее о роли участника лаборатории. |
| Управление лабораторией | Помощник по лаборатории | Предоставьте разрешение на просмотр существующей лаборатории. Также может запускать, останавливать или повторно использовать любую виртуальную машину в лаборатории. Дополнительные сведения о роли помощника по лаборатории. |
| Управление лабораторией | Средство чтения служб лабораторий | Предоставьте разрешение на просмотр существующих лабораторий. Узнайте больше о роли читателя лабораторных служб. |
Область назначения ролей
В Azure RBAC область — это набор ресурсов, к которым применяется доступ. При назначении роли важно понимать область, чтобы предоставить только необходимый доступ.
В Azure область действия можно задать на четырех уровнях: группы управления, подписки, группы ресурсов и ресурса. Структура областей строится на отношениях "родитель-потомок". Каждый уровень иерархии делает область более конкретной. Вы можете назначать роли на любом из этих уровней области действия. Выбранный уровень определяет, насколько широка область применения роли. Более низкие уровни наследуют права доступа ролей от более высоких уровней. Дополнительные сведения об области действия для Azure RBAC.
Для служб лабораторий Azure рассмотрим следующие области:
| Scope | Описание |
|---|---|
| Подписка | Используется для управления выставлением счетов и безопасностью для всех ресурсов и служб Azure. Как правило, только администраторы имеют доступ на уровне подписки, так как назначение роли предоставляет доступ ко всем ресурсам в подписке. |
| Группа ресурсов | Логический контейнер для группировки ресурсов. Процесс назначения ролей для группы ресурсов предоставляет разрешения группе ресурсов и всем её ресурсам, таким как лаборатории и лабораторные планы. |
| План лаборатории | Ресурс Azure, используемый для применения общих параметров конфигурации при создании лаборатории. Назначение ролей для плана лаборатории предоставляет разрешение только для конкретного плана лаборатории. |
| Лаборатория | Ресурс Azure, используемый для применения общих параметров конфигурации для создания и запуска виртуальных машин лаборатории. Назначение ролей для лаборатории дает доступ только к определенной лаборатории. |
Внимание
В Службах лабораторий Azure планы лабораторий и лаборатории являются равноплановыми ресурсами друг для друга. В результате лаборатории не наследуют назначения ролей из плана лаборатории. Однако назначения ролей из группы ресурсов наследуются планами лабораторий и лабораториями в этой группе ресурсов.
Роли для обычных лабораторных мероприятий
В следующей таблице показаны общие действия лаборатории и роль, необходимая для выполнения этого действия пользователем.
| Действие (Activity) | Тип роли | Роль | Scope |
|---|---|---|---|
| Предоставьте разрешение на создание группы ресурсов. Группа ресурсов — это логический контейнер в Azure для хранения планов лабораторных работ и лабораторий. Прежде чем можно создать план или лабораторию, эта группа ресурсов должна существовать. | Администратор | Владелец или Участник | Подписка |
| Предоставьте разрешение на отправку запроса в службу поддержки Microsoft, включая запрос на увеличение емкости. | Администратор | Владелец, участник, участник запроса на поддержку | Подписка |
| Предоставьте разрешение: — назначение ролей другим пользователям. — создание и управление планами лабораторий, лабораториями и другими ресурсами в группе ресурсов. — Включение и отключение образов marketplace и пользовательских образов в лабораторном плане. — Присоединение или отключение галереи вычислений на плане лаборатории. |
Администратор | Ответственное лицо | Группа ресурсов |
| Предоставьте разрешение: — создание и управление планами лабораторий, лабораториями и другими ресурсами в группе ресурсов. — включите или отключите Azure Marketplace и пользовательские образы в плане лаборатории. Однако не возможность назначать роли другим пользователям. |
Администратор | Участник | Группа ресурсов |
| Предоставьте разрешение на создание или управление собственными лабораториями для всех планов лабораторий в группе ресурсов. | Управление лабораторией | Конструктор лаборатории | Группа ресурсов |
| Предоставьте разрешение для создания или управления собственными лабораториями в рамках определённого плана лаборатории. | Управление лабораторией | Конструктор лабораторий | План лаборатории |
| Предоставьте разрешение на совместное управление лабораторией, но не возможность создавать лаборатории. | Управление лабораторией | Участник лаборатории | Лаборатория |
| Предоставьте разрешение только на запуск, остановку и повторное создание виртуальных машин для всех лабораторий в группе ресурсов. | Управление лабораторией | Помощник по лаборатории | Группа ресурсов |
| Предоставьте разрешение только на запуск, остановку и повторное создание виртуальных машин для конкретной лаборатории. | Управление лабораторией | Помощник по лаборатории | Лаборатория |
Внимание
Подписка организации используется для управления выставлением счетов и безопасностью для всех ресурсов и служб Azure. Вы можете назначить роль владельца или участника в подписке. Как правило, только администраторы имеют доступ на уровне подписки, так как это включает полный доступ ко всем ресурсам в подписке.
Роли администратора
Чтобы предоставить пользователям разрешение на управление службами лабораторий Azure в подписке вашей организации, необходимо назначить им роль "Владелец", "Участник" или "Участник служб лабораторий".
Назначьте эти роли группе группе ресурсов. Планы лабораторий и сами лаборатории в группе ресурсов наследуют эти назначения ролей.
В следующей таблице сравниваются различные роли администратора при их назначении на группу ресурсов.
| План лаборатории / Лаборатория | Действие (Activity) | Владелец | Участник | Участник служб лабораторий |
|---|---|---|---|---|
| План лаборатории | Просмотр всех планов лаборатории в группе ресурсов | Да | Да | Да |
| План лаборатории | Создание, изменение или удаление всех планов лабораторий в группе ресурсов | Да | Да | Да |
| План лаборатории | Назначьте роли планам лаборатории в ресурсной группе | Да | Нет | Нет |
| Лаборатория | Создание лабораторий в группе ресурсов** | Да | Да | Да |
| Лаборатория | Просмотр лабораторий других пользователей в группе ресурсов | Да | Да | Да |
| Лаборатория | Изменение или удаление лабораторий других пользователей в группе ресурсов | Да | Да | Нет |
| Лаборатория | Назначение ролей для лабораторий других пользователей в ресурсной группе. | Да | Нет | Нет |
** Пользователи автоматически получают разрешение на просмотр, изменение параметров, удаление и назначение ролей для создаваемых лабораторий.
Роль владельца
Назначьте роль владельца, чтобы предоставить пользователю полный доступ к созданию планов и лабораторий или управлению ими, а также предоставить разрешения другим пользователям. Если у пользователя есть роль владельца в группе ресурсов, они могут выполнять следующие действия во всех ресурсах в группе ресурсов:
- Назначьте роли администраторам, чтобы они могли управлять ресурсами, связанными с лабораторией.
- Назначьте роли руководителям лабораторий, чтобы они могли создавать лаборатории и управлять ими.
- Создайте планы для лабораторий и сами лаборатории.
- Просмотр, удаление и изменение параметров для всех планов лабораторий, включая присоединение или отключение галереи вычислительных ресурсов и включение или отключение Azure Marketplace и пользовательских образов в планах лабораторий.
- Просмотр, удаление и изменение параметров для всех лабораторий.
Внимание
При назначении роли владельца или участника в группе ресурсов эти разрешения также распространяются на не связанные с лабораторией ресурсы, которые находятся в группе ресурсов. Например, такие ресурсы, как виртуальные сети, учетные записи хранения, вычислительные галереи и многое другое.
Роль участника
Назначьте роль участника, чтобы предоставить пользователю полный доступ к созданию и управлению планами лабораторий и самими лабораториями в группе ресурсов. Роль участника имеет те же разрешения, что и роль владельца, за исключением следующих:
- Выполнение распределения ролей
Роль участника служб лабораторий
Участник служб лабораторий является самым строгим из ролей администратора. Назначьте роль участника служб лабораторий, чтобы предоставить те же возможности, что и роль владельца, за исключением следующих:
- Выполнение назначения ролей
- Изменение или удаление лабораторий других пользователей
Примечание.
Роль участника служб лабораторий не позволяет изменять ресурсы, которые не связаны со службами лабораторий Azure. С другой стороны, роль участника позволяет изменять все ресурсы Azure в группе ресурсов.
Роли управления лабораторией
Используйте следующие роли, чтобы предоставить пользователям разрешения на создание лабораторий и управление ими:
- Конструктор лабораторий
- Участник лаборатории
- Помощник по лаборатории
- Средство чтения служб лабораторий
Эти роли управления лабораторией предоставляют разрешение только на просмотр планов лаборатории. Эти роли не позволяют создавать, изменять, удалять или назначать роли планам лабораторий. Кроме того, пользователи с этими ролями не могут подключить или отключить галерею вычислений и активировать или деактивировать образы виртуальных машин.
Роль создателя лаборатории
Назначьте роль создателя лаборатории, чтобы предоставить пользователю разрешение на создание лабораторий и полный контроль над создаваемыми лабораториями. Например, они могут изменять параметры лабораторий, удалять их лаборатории и даже предоставлять другим пользователям разрешение на их лаборатории.
Назначьте роль создателя лаборатории либо в группе ресурсов, либо в плане лаборатории.
В следующей таблице сравнивается назначение роли Создателя лаборатории для группы ресурсов или плана лаборатории.
| Действие (Activity) | Группа ресурсов | План лаборатории |
|---|---|---|
| Создание лабораторий в группе ресурсов** | Да | Да |
| Просмотр созданных лабораторий | Да | Да |
| Просмотр лабораторий других пользователей в группе ресурсов | Да | Нет |
| Изменение или удаление лабораторий, созданных пользователем | Да | Да |
| Изменение или удаление лабораторий других пользователей в группе ресурсов | Нет | Нет |
| Назначение ролей для лабораторий других пользователей в ресурсной группе. | Нет | Нет |
** Пользователи автоматически получают разрешение на просмотр, изменение параметров, удаление и назначение ролей для создаваемых лабораторий.
Роль участника лаборатории
Назначьте роль участника лаборатории, чтобы предоставить пользователю разрешение на управление существующей лабораторией.
Назначьте роль Lab Contributor на лаб.
При назначении роли участника лаборатории в лаборатории пользователь может управлять назначенной лабораторией. В частности, пользователь:
- Может просматривать, изменять все параметры или удалять назначенную лабораторию.
- Пользователь не может просматривать лаборатории других пользователей.
- Не удается создать новые лаборатории.
Роль помощника по лаборатории
Назначьте роль лаборанта, чтобы предоставить пользователю разрешение на просмотр лаборатории и возможность запускать, останавливать и перезапускать виртуальные машины.
Назначьте роль лаборанта в группе ресурсов или лаборатории.
При назначении роли помощника по лаборатории в группе ресурсов пользователь:
- Может просматривать все лаборатории в группе ресурсов и запускать, останавливать или повторно использовать виртуальные машины лаборатории для каждой лаборатории.
- Не удается удалить или внести другие изменения в лаборатории.
При назначении роли помощника лаборатории в лаборатории пользователь:
- Может просматривать назначенную лабораторию и запускать, останавливать или повторно использовать виртуальные машины лаборатории.
- Не удается удалить или внести другие изменения в лабораторию.
- Невозможно создать новые лаборатории.
Если у вас есть роль помощника по лаборатории, чтобы просмотреть другие лаборатории, к которым вы предоставили доступ, обязательно выберите фильтр "Все лаборатории" на веб-сайте служб лабораторий Azure.
Роль читателя служб лабораторий
Назначьте роль читателя служб лабораторий, чтобы предоставить пользователю возможность просматривать существующие лаборатории. Пользователь не может вносить изменения в существующие лаборатории.
Назначьте роль читателя служб лабораторий на группу ресурсов или лабораторию.
При назначении роли читателя лабораторных служб в группе ресурсов пользователь может:
- Просмотреть все лаборатории в группе ресурсов.
При назначении роли "Читатель лабораторных служб" в лаборатории пользователь может:
- Просмотрите только конкретную лабораторию.
Система управления идентификацией и доступом (IAM)
Страница управления доступом (IAM) в портал Azure используется для настройки управления доступом на основе ролей Azure в ресурсах Служб лабораторий Azure. Встроенные роли можно использовать для отдельных лиц и групп в Active Directory. На следующем снимке экрана показана интеграция с Active Directory (Azure RBAC) с использованием функции управления доступом (IAM) на портале Azure:
Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.
Структура группы ресурсов и план лаборатории
Ваша организация должна заранее вкладывать время в планирование структуры групп ресурсов и лабораторных планов. Это особенно важно при назначении ролей в группе ресурсов, так как она также применяет разрешения ко всем ресурсам в группе ресурсов.
Чтобы убедиться, что пользователям предоставлено разрешение только для соответствующих ресурсов:
Создайте группы ресурсов, содержащие только ресурсы, связанные с лабораторией.
Организуйте планы лабораторий и сами лаборатории в отдельные группы ресурсов согласно пользователям, которым следует предоставить доступ.
Например, можно создать отдельные группы ресурсов для разных отделов, чтобы изолировать ресурсы лабораторий каждого отдела. Затем создатели лабораторий в одном отделе могут быть предоставлены разрешения на группу ресурсов, которая предоставляет им доступ только к ресурсам лаборатории своего отдела.
Внимание
Запланируйте структуру группы ресурсов и плана лабораторий заранее, так как невозможно переместить планы лабораторий или лаборатории в другую группу ресурсов после их создания.
Доступ к нескольким группам ресурсов
Вы можете предоставить пользователям доступ к нескольким группам ресурсов. На веб-сайте служб лабораторий Azure пользователь может выбрать из списка групп ресурсов, чтобы просмотреть свои лаборатории.
Доступ к нескольким планам лаборатории
Вы можете предоставить пользователям доступ к нескольким лабораторным планам. Например, при назначении роли создателя лаборатории пользователю в группе ресурсов, содержащей более одного плана лаборатории. Затем пользователь может выбрать из списка планов лаборатории при создании новой лаборатории.
