Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
Чтобы определить пользовательские роли, предоставляющие определенные разрешения пользователям, можно использовать Azure RBAC. В этой статье представлен список примеров, которые вы можете скачать и использовать в качестве справочника для создания своих индивидуальных ролей.
Дополнительные сведения о пользовательских ролях в Azure RBAC см. в статье о пользовательских ролях Azure.
Azure IoT-операции также предлагают встроенные роли, предназначенные для упрощения и обеспечения безопасности управления доступом к ресурсам Azure IoT-операций. Для получения дополнительной информации см. раздел Встроенные роли RBAC для операций с IoT.
Примеры кастомных ролей
В следующих разделах приведены примеры пользовательских ролей Azure IoT-операций, которые можно скачать и использовать в качестве справочника. Эти пользовательские роли — это JSON-файлы, в которых указаны конкретные права и область применения роли, которые стоит использовать как отправную точку для создания собственных кастомных ролей.
Замечание
Следующие пользовательские роли приведены только примерами. Вам нужно проверить и изменить права в JSON-файлах в соответствии с вашими конкретными требованиями.
Подключение ролей
Вы можете определить роль онбординга , которая предоставляет пользователю достаточные права на завершение процесса подключения Azure Arc и безопасное развертывание Azure IoT-операций.
| Настраиваемая роль | Описание |
|---|---|
| подключение | Это привилегированная роль. Пользователь может выполнить процесс подключения Azure Arc и безопасно развернуть операции Интернета вещей Azure. |
Роли просмотра
Вы можете определить различные роли Viewer , которые предоставляют доступ только для чтения к экземпляру Azure IoT Operations и его ресурсам. Эти роли полезны для пользователей, которым нужно отслеживать экземпляр без изменений.
| Настраиваемая роль | Описание |
|---|---|
| Средство просмотра экземпляров | Эта роль позволяет пользователю просматривать экземпляр Операций Интернета вещей Azure. |
| Средство просмотра активов | Эта роль позволяет пользователю просматривать ресурсы в экземпляре Операций Интернета вещей Azure. |
| Просмотрщик устройств | Эта роль позволяет пользователю просматривать устройства в экземпляре Azure IoT Operations. |
| Средство просмотра потока данных | Эта роль позволяет пользователю просматривать потоки данных в экземпляре операций Интернета вещей Azure. |
| Средство просмотра назначения потока данных | Эта роль позволяет пользователю просматривать назначения потока данных в экземпляре операций Интернета вещей Azure. |
| Средство просмотра MQ | Эта роль позволяет пользователю просматривать брокер MQTT в экземпляре Операций Интернета вещей Azure. |
| Зритель | Эта роль позволяет пользователю просматривать экземпляр Операций Интернета вещей Azure. Эта роль сочетает в себе роли Instance viewer, assetviewer, device viewer, Data flow viewer, Data Flow Destination и MQ viewer. |
Роли администратора
Вы можете определить различные роли администратора , предоставляющие полный доступ к экземпляру Azure IoT Operations и его ресурсам. Эти роли полезны для пользователей, которым нужно управлять экземпляром и его ресурсами.
| Настраиваемая роль | Описание |
|---|---|
| Администратор экземпляра | Это привилегированная роль. Пользователь может развернуть экземпляр. Эта роль включает разрешения на создание и обновление экземпляров, брокеров, проверки подлинности, прослушивателей, профилей потока данных, конечных точек потока данных, реестров схем и назначенных пользователем удостоверений. Роль также включает разрешение на удаление экземпляров. |
| Администратор ресурсов | Пользователь может создавать ресурсы и управлять ими в экземпляре Операций Интернета вещей Azure. |
| Администратор устройства | Пользователь может создавать и управлять устройствами в экземпляре Azure IoT Operations. |
| Администратор потока данных | Пользователь может создавать потоки данных и управлять ими в экземпляре операций Интернета вещей Azure. |
| Администратор назначения потока данных | Пользователь может создавать назначения потока данных и управлять ими в экземпляре операций Интернета вещей Azure. |
| Администратор MQ | Пользователь может создавать брокер MQTT и управлять ими в экземпляре Операций Интернета вещей Azure. |
| Администратор | Это привилегированная роль. Пользователь может создавать экземпляр Операций Интернета вещей Azure и управлять ими. Эта роль сочетает в себе роли администратора экземпляра, администратора активов, администратора устройства, администратора потоков данных, администратора получателей потоков данных и администратора MQ . |
Замечание
В примере роли администратора конечной точки ресурсов и назначения потока данных имеют доступ к Azure Key Vault и странице "Управление секретами " в пользовательском веб-интерфейсе операций. Однако даже если эти пользовательские роли назначены на уровне подписки, пользователи могут видеть только список хранилищ ключей из определенной группы ресурсов. Доступ к реестрам схем также ограничен уровнем группы ресурсов.
Это важно
В настоящее время в пользовательском веб-интерфейсе операций отображается вводящая в заблуждение сообщение об ошибке, когда пользователь пытается получить доступ к ресурсу, для который у них нет разрешений. Доступ к ресурсу блокируется должным образом.
Создание определения пользовательской роли
Чтобы подготовить одну из примеров пользовательских ролей, выполните следующие действия.
Скачайте JSON-файл для настраиваемой роли, которую вы хотите создать. JSON-файл содержит определение роли, включая разрешения и область для роли.
Измените JSON-файл, чтобы заменить значение заполнителя в
assignableScopesполе идентификатором подписки. Сохраните ваши изменения.
Чтобы добавить настраиваемую роль в подписку Azure с помощью портала Azure:
Перейдите к подписке на портале Azure.
Выберите Управление доступом (IAM).
Выберите "Добавить > настраиваемую роль".
Введите имя, например подключение, и описание роли.
Выберите "Пуск из JSON ", а затем выберите скачанный JSON-файл. Имя и описание настраиваемой роли заполняются из файла.
При необходимости просмотрите разрешения и назначаемые области.
Чтобы добавить настраиваемую роль в подписку, выберите "Просмотр и создание " и " Создать".
Настройка и использование настраиваемой роли
После создания пользовательских ролей в подписке их можно назначить пользователям, группам или приложениям. Роли можно назначать на уровне подписки или группы ресурсов. Назначение ролей на уровне группы ресурсов позволяет наиболее детализированному элементу управления.
Чтобы назначить пользователь настраиваемую роль на уровне группы ресурсов на портале Azure:
Перейдите в группу ресурсов на портале Azure.
Выберите Управление доступом (IAM).
Выберите Добавить > Добавить назначение ролей.
Найдите и выберите пользовательскую роль, которую вы хотите назначить. Нажмите кнопку Далее.
Выберите пользователя или пользователей, которым нужно назначить роль. Вы можете искать пользователей по имени или адресу электронной почты.
Выберите "Рецензирование" и "Назначить" , чтобы проверить назначение роли. Если все выглядит хорошо, нажмите кнопку "Назначить".