Ресурсы, роли и контроль доступа в Application Insights

  • Статья

Вы можете управлять доступом на чтение и обновление данных в Application Аналитика с помощью управления доступом на основе ролей Azure (Azure RBAC).

Важно!

Назначьте доступ пользователям в группе ресурсов или подписке, к которой принадлежит ресурс приложения, а не в самом ресурсе. Назначьте роль Участник компонентов Application Insights. Эта роль обеспечивает единый контроль доступа к веб-тестам и оповещениям вместе с ресурсом приложения. Подробнее.

Примечание.

Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.

Ресурсы, группы и подписки

Сначала определим некоторые термины:

  • Ресурс: экземпляр службы Azure. Ресурс приложения Аналитика собирает, анализирует и отображает данные телеметрии, отправленные из приложения. Другие типы ресурсов Azure включают в себя веб-приложения, базы данных и виртуальные машины.

    Чтобы просмотреть ресурсы, откройте портал Azure, войдите и выберите все ресурсы. Чтобы найти ресурс, введите часть его имени в поле фильтра.

    Screenshot that shows a list of Azure resources.

  • Группа ресурсов: каждый ресурс принадлежит одной группе. Создание группы — это удобный способ управления связанными ресурсами, особенно для контроля доступа. Например, в одной группе ресурсов можно поместить веб-приложение, ресурс application Аналитика для мониторинга приложения, а также ресурс служба хранилища Azure для сохранения экспортированных данных.
  • Подписка. Чтобы использовать Аналитика приложения или другие ресурсы Azure, выполните вход в подписку Azure. Каждая группа ресурсов принадлежит одной подписке Azure, где вы выбираете свой ценовой пакет. Если это подписка организации, владелец может выбрать участников и их разрешения на доступ.
  • Учетная запись Майкрософт: имя пользователя и пароль, используемые для входа в подписки Azure, Xbox Live, Outlook.com и другие службы Майкрософт.

Управление доступом в группе ресурсов

Наряду с ресурсом, созданным для приложения, также существуют отдельные скрытые ресурсы для оповещений и веб-тестов. Они присоединены к той же группе ресурсов, что и ресурс приложения Аналитика. В нее также можно поместить другие службы Azure, такие как веб-сайты или службы хранилища.

Предоставление доступа другому пользователю

Для этого у вас должны быть права владельца подписки или группы ресурсов.

Пользователь должен иметь учетную запись Майкрософт или доступ к своей учетной записи Майкрософт организации. Вы можете предоставить доступ к отдельным лицам, а также группам пользователей, определенным в идентификаторе Microsoft Entra.

Перейдите к группе ресурсов или непосредственно к самому ресурсу

Назначьте роль участника Azure RBAC.

Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.

Выбор роли

Если применимо, ссылка подключается к связанной официальной справочной документации.

Роль В группе ресурсов
Ответственное лицо Может менять любые параметры, в том числе права доступа пользователей.
Участник Может изменять любое содержимое, в том числе любые ресурсы.
Участник компонента Application Insights Может изменять ресурсы Application Insights.
Читатель Может просматривать содержимое, но нельзя ничего изменять.
Отладчик моментальных снимков Application Insights Предоставляет пользователю разрешение на использование функций Snapshot Debugger Application Insights. Эта роль не включена в роли владельца или участника.
Участник управления выпусками развертывания служб Azure Роль участника для развертывания служб с помощью функции развертывания служб Azure.
Средство очистки данных Специальная роль для очистки персональных данных. Дополнительные сведения см. в разделе "Управление личными данными" в Log Analytics и приложении Аналитика.
Администратор Azure ExpressRoute Может создавать, удалять и управлять экспресс-маршрутами.
Участник Log Analytics Участник Log Analytics может считывать все данные мониторинга и изменять параметры мониторинга. Изменение параметров мониторинга включает добавление расширения виртуальной машины к виртуальным машинам, чтение ключей учетной записи хранения для настройки коллекции журналов из служба хранилища Azure, создания и настройки учетных записей службы автоматизации, добавления решений и настройки Azure диагностика во всех ресурсах Azure. Если у вас возникли проблемы с настройкой диагностика Azure, ознакомьтесь с диагностика Azure.
Читатель Log Analytics Средство чтения Log Analytics может просматривать и искать все данные мониторинга и просматривать параметры мониторинга, включая просмотр конфигурации Azure диагностика во всех ресурсах Azure. Если у вас возникли проблемы с настройкой диагностика Azure, ознакомьтесь с диагностика Azure.
masterreader Позволяет пользователю просматривать все элементы, но не вносить изменения.
Monitoring Contributor (Участник мониторинга) Позволяет читать все данные мониторинга и обновлять параметры мониторинга.
Издатель метрик мониторинга Включает публикацию метрик ресурсов Azure.
Monitoring Reader (Читатель данных мониторинга) Позволяет читать все данные мониторинга.
Участник политики ресурсов (предварительная версия) Резервные пользователи из Соглашение Enterprise с правами на создание и изменение политики ресурсов, создание запросов в службу поддержки и чтение ресурсов или иерархии.
Администратор доступа пользователей Позволяет пользователю управлять доступом других пользователей к ресурсам Azure.
Участник веб-сайта Позволяет управлять веб-сайтами (а не веб-планами), но не получать к ним доступ.

Редактирование включает создание, удаление и обновление:

  • Ресурсы
  • Веб-тесты
  • видны узлы
  • Непрерывный экспорт

Выбор пользователя

Если в каталоге нет необходимого пользователя, вы можете пригласить любого пользователя с учетной записью Майкрософт Если они используют такие службы, как Outlook.com, OneDrive, Windows Телефон или Xbox Live, у них есть учетная запись Майкрософт.

Связанный контент

См. статью Управление доступом на основе ролей Azure (Azure RBAC).

Запрос PowerShell для определения членства в роли

Так как некоторые роли могут быть связаны с уведомлениями и оповещениями электронной почты, это может быть полезно для создания списка пользователей, принадлежащих данной роли. Чтобы помочь в создании этих типов списков, можно настроить следующие примеры запросов в соответствии с конкретными потребностями.

Запрос всей подписки для назначения ролей администратора и ролей участника

(Get-AzRoleAssignment -IncludeClassicAdministrators | Where-Object {$_.RoleDefinitionName -in @('ServiceAdministrator', 'CoAdministrator', 'Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "

Запрос в контексте конкретного ресурса Application Insights для владельцев и участников

$resourceGroup = "RGNAME"
$resourceName = "AppInsightsName"
$resourceType = "microsoft.insights/components"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup -ResourceType $resourceType -ResourceName $resourceName | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "

Запрос в контексте конкретной группы ресурсов для владельцев и участников

$resourceGroup = "RGNAME"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "