Ресурсы, роли и контроль доступа в Application Insights
Вы можете управлять доступом на чтение и обновление данных в Application Аналитика с помощью управления доступом на основе ролей Azure (Azure RBAC).
Важно!
Назначьте доступ пользователям в группе ресурсов или подписке, к которой принадлежит ресурс приложения, а не в самом ресурсе. Назначьте роль Участник компонентов Application Insights. Эта роль обеспечивает единый контроль доступа к веб-тестам и оповещениям вместе с ресурсом приложения. Подробнее.
Примечание.
Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.
Ресурсы, группы и подписки
Сначала определим некоторые термины:
Ресурс: экземпляр службы Azure. Ресурс приложения Аналитика собирает, анализирует и отображает данные телеметрии, отправленные из приложения. Другие типы ресурсов Azure включают в себя веб-приложения, базы данных и виртуальные машины.
Чтобы просмотреть ресурсы, откройте портал Azure, войдите и выберите все ресурсы. Чтобы найти ресурс, введите часть его имени в поле фильтра.
- Группа ресурсов: каждый ресурс принадлежит одной группе. Создание группы — это удобный способ управления связанными ресурсами, особенно для контроля доступа. Например, в одной группе ресурсов можно поместить веб-приложение, ресурс application Аналитика для мониторинга приложения, а также ресурс служба хранилища Azure для сохранения экспортированных данных.
- Подписка. Чтобы использовать Аналитика приложения или другие ресурсы Azure, выполните вход в подписку Azure. Каждая группа ресурсов принадлежит одной подписке Azure, где вы выбираете свой ценовой пакет. Если это подписка организации, владелец может выбрать участников и их разрешения на доступ.
- Учетная запись Майкрософт: имя пользователя и пароль, используемые для входа в подписки Azure, Xbox Live, Outlook.com и другие службы Майкрософт.
Управление доступом в группе ресурсов
Наряду с ресурсом, созданным для приложения, также существуют отдельные скрытые ресурсы для оповещений и веб-тестов. Они присоединены к той же группе ресурсов, что и ресурс приложения Аналитика. В нее также можно поместить другие службы Azure, такие как веб-сайты или службы хранилища.
Предоставление доступа другому пользователю
Для этого у вас должны быть права владельца подписки или группы ресурсов.
Пользователь должен иметь учетную запись Майкрософт или доступ к своей учетной записи Майкрософт организации. Вы можете предоставить доступ к отдельным лицам, а также группам пользователей, определенным в идентификаторе Microsoft Entra.
Перейдите к группе ресурсов или непосредственно к самому ресурсу
Назначьте роль участника Azure RBAC.
Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.
Выбор роли
Если применимо, ссылка подключается к связанной официальной справочной документации.
Роль | В группе ресурсов |
---|---|
Ответственное лицо | Может менять любые параметры, в том числе права доступа пользователей. |
Участник | Может изменять любое содержимое, в том числе любые ресурсы. |
Участник компонента Application Insights | Может изменять ресурсы Application Insights. |
Читатель | Может просматривать содержимое, но нельзя ничего изменять. |
Отладчик моментальных снимков Application Insights | Предоставляет пользователю разрешение на использование функций Snapshot Debugger Application Insights. Эта роль не включена в роли владельца или участника. |
Участник управления выпусками развертывания служб Azure | Роль участника для развертывания служб с помощью функции развертывания служб Azure. |
Средство очистки данных | Специальная роль для очистки персональных данных. Дополнительные сведения см. в разделе "Управление личными данными" в Log Analytics и приложении Аналитика. |
Администратор Azure ExpressRoute | Может создавать, удалять и управлять экспресс-маршрутами. |
Участник Log Analytics | Участник Log Analytics может считывать все данные мониторинга и изменять параметры мониторинга. Изменение параметров мониторинга включает добавление расширения виртуальной машины к виртуальным машинам, чтение ключей учетной записи хранения для настройки коллекции журналов из служба хранилища Azure, создания и настройки учетных записей службы автоматизации, добавления решений и настройки Azure диагностика во всех ресурсах Azure. Если у вас возникли проблемы с настройкой диагностика Azure, ознакомьтесь с диагностика Azure. |
Читатель Log Analytics | Средство чтения Log Analytics может просматривать и искать все данные мониторинга и просматривать параметры мониторинга, включая просмотр конфигурации Azure диагностика во всех ресурсах Azure. Если у вас возникли проблемы с настройкой диагностика Azure, ознакомьтесь с диагностика Azure. |
masterreader | Позволяет пользователю просматривать все элементы, но не вносить изменения. |
Monitoring Contributor (Участник мониторинга) | Позволяет читать все данные мониторинга и обновлять параметры мониторинга. |
Издатель метрик мониторинга | Включает публикацию метрик ресурсов Azure. |
Monitoring Reader (Читатель данных мониторинга) | Позволяет читать все данные мониторинга. |
Участник политики ресурсов (предварительная версия) | Резервные пользователи из Соглашение Enterprise с правами на создание и изменение политики ресурсов, создание запросов в службу поддержки и чтение ресурсов или иерархии. |
Администратор доступа пользователей | Позволяет пользователю управлять доступом других пользователей к ресурсам Azure. |
Участник веб-сайта | Позволяет управлять веб-сайтами (а не веб-планами), но не получать к ним доступ. |
Редактирование включает создание, удаление и обновление:
- Ресурсы
- Веб-тесты
- видны узлы
- Непрерывный экспорт
Выбор пользователя
Если в каталоге нет необходимого пользователя, вы можете пригласить любого пользователя с учетной записью Майкрософт Если они используют такие службы, как Outlook.com, OneDrive, Windows Телефон или Xbox Live, у них есть учетная запись Майкрософт.
Связанный контент
См. статью Управление доступом на основе ролей Azure (Azure RBAC).
Запрос PowerShell для определения членства в роли
Так как некоторые роли могут быть связаны с уведомлениями и оповещениями электронной почты, это может быть полезно для создания списка пользователей, принадлежащих данной роли. Чтобы помочь в создании этих типов списков, можно настроить следующие примеры запросов в соответствии с конкретными потребностями.
Запрос всей подписки для назначения ролей администратора и ролей участника
(Get-AzRoleAssignment -IncludeClassicAdministrators | Where-Object {$_.RoleDefinitionName -in @('ServiceAdministrator', 'CoAdministrator', 'Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Запрос в контексте конкретного ресурса Application Insights для владельцев и участников
$resourceGroup = "RGNAME"
$resourceName = "AppInsightsName"
$resourceType = "microsoft.insights/components"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup -ResourceType $resourceType -ResourceName $resourceName | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Запрос в контексте конкретной группы ресурсов для владельцев и участников
$resourceGroup = "RGNAME"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "