Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служба Azure Batch поддерживает набор встроенных ролей Azure, которые предоставляют различные уровни разрешений для учетной записи Azure Batch. Используя управление доступом на основе ролей Azure (Azure RBAC), систему авторизации для управления индивидуальным доступом к ресурсам Azure, можно назначить определенные разрешения пользователям, субъектам-службам или другим удостоверениям, которым необходимо взаимодействовать с учетной записью Batch. Вы также можете назначить пользовательские роли с настраиваемыми точными разрешениями, которые адаптируют конкретный сценарий использования.
Примечание.
Все роли RBAC (как встроенные, так и пользовательские) предназначены для пользователей, аутентифицированных с помощью Microsoft Entra ID, а не для учетных данных общего ключа для пакетных задач. Учетные данные общего ключа Batch предоставляют полные права на учетную запись Batch.
Назначение Azure RBAC
Выполните следующие действия, чтобы назначить роль Azure RBAC пользователю, группе, главному объекту службы или управляемому удостоверению. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.
На портале Azure перейдите на страницу вашей конкретной учетной записи службы пакетной обработки.
Совет
Можно также настроить Azure RBAC для всей группы ресурсов, подписок или групп управления. Для этого выберите нужный уровень области и перейдите к требуемому элементу. Например, выберите группы ресурсов и перейдите к определенной группе ресурсов.
Выберите Управление доступом (IAM) в области навигации слева.
На странице управления доступом (IAM) выберите " Добавить назначение роли".
На странице "Добавление назначения ролей" выберите вкладку "Роль", а затем выберите одну из встроенных ролей RBAC службы Azure Batch.
Перейдите на вкладку "Члены" и выберите " Выбрать участников " в разделе "Участники".
На экране "Выбор участников" найдите и выберите пользователя, группу, служебного принципала или управляемое удостоверение, а затем нажмите "Выбрать".
Примечание.
При настройке приложения для проверки подлинности служб Azure Batch с помощью основного компонента службы выполните поиск и выберите ваше приложение здесь, чтобы настроить доступ и разрешения для учетной записи Azure Batch.
Выберите Просмотреть + назначить на странице "Добавление назначения ролей.
Целевая учетная запись теперь должна отображаться на вкладке Назначения ролей страницы Управление доступом (IAM) учетной записи Batch.
Azure Batch встроенные роли RBAC
служба Azure Batch имеет некоторые предопределенные роли для решения распространенных сценариев пользователей, что обеспечивает возможность эффективно назначать соответствующие уровни доступа к учетным записям службы Azure Batch для выполнения конкретных обязанностей.
Встроенная роль Описание Идентификатор соавтор учетной записи Azure Batch Предоставляет полный доступ к управлению всеми ресурсами службы Batch, включая учетные записи Batch, пулы и задания. 29fe4964-1e60-436b-bd3a-77fd4c178b3c Читатель учетных записей Azure Batch Позволяет просматривать все ресурсы, включая пулы и задания в учетной записи Batch. 11076f67-66f6-4be0-8f6b-f0609fd05cc9 Вкладчик данных Azure Batch Предоставляет разрешения на управление пулами и заданиями Batch, но не на изменение учетных записей. 6aaa78f1-f7de-44ca-8722-c64a23943cae Отправитель заданий Azure Batch Позволяет отправлять задания и управлять ими в аккаунте Batch. 48e5e92e-a480-4e71-aa9c-2778f4c13781
Разрешения Участник учетной записи Azure Batch средство чтения учетных записей Azure Batch участник данных пакетная служба Azure Средство отправки заданий Azure Batch Вывод списка учетных записей пакетной службы или просмотр свойств учетной записи пакетной службы ✓ ✓ ✓ Создавайте, обновляйте или удаляйте учетную запись Batch. ✓ Список ключей доступа для учетной записи пакетной службы ✓ Повторное создание ключей доступа для учетной записи Batch ✓ Отобразить список или свойства приложений и пакетов приложений в учетной записи Batch. ✓ ✓ ✓ ✓ Создание, обновление или удаление приложений и пакетов приложений в учетной записи службы пакетной обработки ✓ ✓ Перечисление или просмотр свойств сертификатов в учетной записи Batch ✓ ✓ ✓ Создавайте, обновляйте или удаляйте сертификаты в учетной записи Batch ✓ ✓ Перечисление или просмотр свойств пулов в учетной записи Batch ✓ ✓ ✓ ✓ Создание, обновление или удаление пулов в Batch-аккаунте ✓ ✓ Перечислить или просмотреть свойства задач в учетной записи Batch. ✓ ✓ ✓ ✓ Создание, обновление или удаление заданий в учетной записи Batch ✓ ✓ ✓ Список или просмотр свойств расписаний задач в учетной записи службы пакетной обработки ✓ ✓ ✓ ✓ Создавайте, обновляйте или удаляйте расписания заданий в учетной записи Batch. ✓ ✓ ✓
Предупреждение
Функция сертификата учётной записи Batch была прекращена.
Участник учетной записи Azure Batch
Предоставляет полный доступ к управлению всеми ресурсами службы Batch, включая учетные записи Batch, пулы и задания.
Действия Описание Microsoft.Authorization/*/read Чтение ролей и их назначений. Microsoft.Insights/alertRules/* Создание и управление классическим оповещением метрик. Microsoft.Resources/deployments/* Создание и управление развертыванием. Microsoft.Resources/subscriptions/resourceGroups/read Возвращает или отображает список групп ресурсов. Microsoft.Batch/* NotActions никакой Действия с данными Microsoft.Batch/* NotDataActions никакой
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all Batch resources, including Batch accounts, pools and jobs.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/29fe4964-1e60-436b-bd3a-77fd4c178b3c",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Batch/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/*"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Account Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
средство чтения учетных записей Azure Batch
Позволяет просматривать все ресурсы, включая пулы и задания в учетной записи Batch.
Действия Описание Microsoft.Batch/*/read Просмотр всех ресурсов в учетной записи Batch. Microsoft.Resources/subscriptions/resourceGroups/read Возвращает или отображает список групп ресурсов. NotActions никакой Действия с данными Microsoft.Batch/*/read Просмотр всех ресурсов в учетной записи Batch. NotDataActions никакой
{
"assignableScopes": [
"/"
],
"description": "Lets you view all resources including pools and jobs in the Batch account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/11076f67-66f6-4be0-8f6b-f0609fd05cc9",
"permissions": [
{
"actions": [
"Microsoft.Batch/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/*/read"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Account Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
участник данных пакетная служба Azure
Предоставляет разрешения на управление пулами и заданиями Batch, но не на изменение учетных записей.
Действия Описание Microsoft.Authorization/*/read Чтение ролей и их назначений. Microsoft.Batch/batchAccounts/read Выводит список учетных записей Batch или получает свойства учетной записи Batch. Microsoft.Batch/batchAccounts/applications/* Создавайте и управляйте приложениями и пакетами приложений в учетной записи Batch. Microsoft.Batch/batchAccounts/certificates/* Создание и управление сертификатами в учетной записи Batch. (Предупреждение: функция сертификата была прекращена) Microsoft.Batch/batchAccounts/certificateOperationResults/* Получает результаты длительно выполняющейся операции с сертификатом в учетной записи Batch. (Предупреждение: функция сертификата была прекращена) Microsoft.Batch/pools/* Создавайте и управляйте пулами в Batch учетной записи. Microsoft.Batch/poolOperationResults/* Возвращает результаты длительной операции с пулом в учетной записи Batch. Microsoft.Batch/locations/*/read Получите результат операции с учетной записью пакетной службы, информацию о квоте или поддерживаемом размере виртуальной машины в указанном регионе. Microsoft.Insights/alertRules/* Создание и управление классическим оповещением метрик. Microsoft.Resources/deployments/* Создание и управление развертыванием. Microsoft.Resources/subscriptions/resourceGroups/read Возвращает или отображает список групп ресурсов. NotActions никакой Действия с данными Microsoft.Batch/batchAccounts/jobSchedules/* Создавайте и управляйте расписаниями заданий в учетной записи Batch. Microsoft.Batch/batchAccounts/jobs/* Создание заданий и управление ими в пакетной учетной записи. NotDataActions никакой
{
"assignableScopes": [
"/"
],
"description": "Grants permissions to manage Batch pools and jobs but not to modify accounts.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6aaa78f1-f7de-44ca-8722-c64a23943cae",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Batch/batchAccounts/read",
"Microsoft.Batch/batchAccounts/applications/*",
"Microsoft.Batch/batchAccounts/certificates/*",
"Microsoft.Batch/batchAccounts/certificateOperationResults/*",
"Microsoft.Batch/batchAccounts/pools/*",
"Microsoft.Batch/batchAccounts/poolOperationResults/*",
"Microsoft.Batch/locations/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/batchAccounts/jobSchedules/*",
"Microsoft.Batch/batchAccounts/jobs/*"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Data Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство отправки заданий Azure Batch
Позволяет отправлять задания и управлять ими в аккаунте Batch.
Действия Описание Microsoft.Batch/batchAccounts/applications/read Выводит список приложений или получает свойства приложения. Microsoft.Batch/batchAccounts/applications/versions/read Возвращает свойства пакета приложения. Microsoft.Batch/pools/read Перечисляет пулы в учетной записи Batch или получает свойства пула. Microsoft.Insights/alertRules/* Создание и управление классическим оповещением метрик. Microsoft.Resources/subscriptions/resourceGroups/read Возвращает или отображает список групп ресурсов. NotActions никакой Действия с данными Microsoft.Batch/batchAccounts/jobSchedules/* Создавайте и управляйте расписаниями заданий в учетной записи Batch. Microsoft.Batch/batchAccounts/jobs/* Создание заданий и управление ими в пакетной учетной записи. NotDataActions никакой
{
"assignableScopes": [
"/"
],
"description": "Lets you submit and manage jobs in the Batch account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/48e5e92e-a480-4e71-aa9c-2778f4c13781",
"permissions": [
{
"actions": [
"Microsoft.Batch/batchAccounts/applications/read",
"Microsoft.Batch/batchAccounts/applications/versions/read",
"Microsoft.Batch/batchAccounts/pools/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/batchAccounts/jobSchedules/*",
"Microsoft.Batch/batchAccounts/jobs/*"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Job Submitter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Назначьте настраиваемую роль
Если встроенные роли пакетной службы Azure не соответствуют вашим потребностям, можно использовать пользовательские роли Azure для предоставления пользователю более детального разрешения на отправку заданий, задач и т. д. Пользовательскую роль можно использовать для предоставления или ограничения доступа с помощью разрешений Microsoft Entra ID для следующих операций Azure Batch RBAC.
- Microsoft.Batch/batchAccounts/pools/Доступ записи
- Microsoft.Batch/batchAccounts/pools/delete
- Microsoft.Batch/batchAccounts/pools/read
- Microsoft.Batch/batchAccounts/jobSchedules/write (разрешение на запись в расписании задач)
- Microsoft.Batch/batchAccounts/jobSchedules/удалить
- Microsoft.Batch/batchAccounts/jobSchedules/читать
- Microsoft.Batch/batchAccounts/jobs/write
- Microsoft.Batch/batchAccounts/jobs/delete
- Microsoft.Batch/batchAccounts/jobs/read
- Microsoft.Batch/учетныеЗаписиПакетов/сертификаты/запись
- Microsoft.Batch/batchAccounts/certificates/delete (предупреждение: функция сертификата была прекращена)
- Microsoft.Batch/batchAccounts/certificates/read (предупреждение: функция сертификата была прекращена)
- Microsoft.Batch/учетныеЗаписиПакетов/приложения/запись
- Microsoft.Batch/batchAccounts/applications/delete
- Microsoft.Batch/batchAccounts/applications/чтение
- Microsoft.Batch/batchAccounts/applications/versions/write
- Microsoft.Batch/batchAccounts/applications/versions/delete
- Microsoft.Batch/batchAccounts/applications/versions/read
- Microsoft.Batch/batchAccounts/read для выполнения любой операции чтения
- Microsoft.Batch/batchAccounts/listKeys/action для выполнения любой операции
Совет
Для заданий, использующих автопул , требуются разрешения на запись на уровне пула.
Примечание.
Некоторые назначения ролей должны быть указаны в actions поле, а другие должны быть указаны в dataActions поле. Необходимо изучить и actions, и dataActions, чтобы понять полный спектр возможностей, назначенных роли. Дополнительные сведения см. в разделе Операции с поставщиками ресурсов Azure.
В следующем примере показано определение пользовательской роли для пакетной службы Azure.
{
"properties":{
"roleName":"Azure Batch Custom Job Submitter",
"type":"CustomRole",
"description":"Allows a user to submit autopool jobs to Azure Batch",
"assignableScopes":[
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
],
"permissions":[
{
"actions":[
"Microsoft.Batch/*/read",
"Microsoft.Batch/batchAccounts/pools/write",
"Microsoft.Batch/batchAccounts/pools/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Insights/alertRules/*"
],
"notActions":[
],
"dataActions":[
"Microsoft.Batch/batchAccounts/jobs/*",
"Microsoft.Batch/batchAccounts/jobSchedules/*"
],
"notDataActions":[
]
}
]
}
}