Поделиться через


Управление доступом к ресурсам в Azure Stack Hub с помощью управления доступом на основе ролей

Azure Stack Hub поддерживает управление доступом на основе ролей (RBAC), ту же модель безопасности для управления доступом, которую использует Microsoft Azure. RBAC можно использовать для управления доступом пользователя, группы или приложения к подпискам, ресурсам и службам.

Основы управления доступом

Управление доступом на основе ролей предоставляет средства детального управления доступом, которые можно использовать для защиты среды. Вы предоставляете пользователям именно те разрешения, которые им необходимы, назначая им роль RBAC в определенной области. Областью назначения роли может быть подписка, группа ресурсов или отдельный ресурс. Дополнительные сведения об управлении доступом см. в разделе Управление доступом на основе ролей на портале Azure.

Примечание

Если Azure Stack Hub развертывается с помощью служб федерации Active Directory в качестве поставщика удостоверений, для управления доступом на основе ролей поддерживаются только универсальные группы.

Встроенные роли

В Azure Stack Hub есть три основные роли, которые применяются ко всем типам ресурсов:

  • Владелец. Предоставляет полный доступ для управления всеми ресурсами, включая возможность назначения ролей в Azure Stack RBAC.
  • Участник: предоставляет полный доступ для управления всеми ресурсами, но не позволяет назначать роли в Azure Stack RBAC.
  • Читатель может просматривать все, но не может вносить изменения.

Иерархия ресурсов и наследование прав доступа

Иерархия ресурсов в Azure Stack Hub такова:

  • Каждая подписка относится к одному каталогу.
  • Каждая группа ресурсов относится к одной подписке.
  • Каждый ресурс относится к одной группе ресурсов.

Доступ, предоставленный вами в родительской области, наследуется в дочерних областях. Пример:

  • Роль читателя назначается группе Microsoft Entra в область подписки. Участники этой группы могут просматривать все группы ресурсов и ресурсы в подписке.
  • Вы назначили приложению роль Участник в области группы ресурсов. Это позволяет ему управлять ресурсами всех типов в этой группе ресурсов, но не в других группах ресурсов в подписке.

Назначение ролей

Пользователю можно назначить несколько ролей, и каждая роль может быть связана с разной областью. Пример:

  • Вы назначили пользователю TestUser-A роль Читатель для подписки Subscription-1.
  • Вы назначили пользователю TestUser-A роль Владелец для виртуальной машины TestVM-1.

В статье Назначение ролей Azure приведены подробные сведения о просмотре, назначении и удалении ролей.

Настройка прав доступа для пользователя

Чтобы настроить разрешения для пользователя, воспользуйтесь инструкциями, приведенными ниже.

  1. Выполните вход с помощью с учетной записью с разрешениями владельца ресурса, которым вы хотите управлять.

  2. В левой области навигации выберите Группа ресурсов.

  3. Выберите имя группы ресурсов, для которой хотите установить разрешения.

  4. В области навигации группы ресурсов выберите Управление доступом (IAM).
    В представлении Назначения ролей перечислены элементы, у которых есть доступ к группе ресурсов. Результаты можно фильтровать и группировать.

  5. В строке меню Управление доступом выберите Добавить.

  6. В области Добавление разрешений:

    • Выберите роль, которую необходимо назначить, из раскрывающегося списка Роль.
    • Выберите ресурс, для которого необходимо назначить разрешения, из раскрывающегося списка Назначение доступа к.
    • В каталоге выберите пользователя, группу или приложение, которым нужно предоставить доступ. Поиск в каталоге можно выполнить по отображаемым именам, адресам электронной почты и идентификаторам объектов.
  7. Щелкните Сохранить.

Дальнейшие действия

Создание субъектов-служб