Управление доступом на основе ролей Azure в Службах лабораторий Azure
Внимание
Службы лабораторий Azure будут прекращены 28 июня 2027 г. Дополнительные сведения см. в руководстве по выходу на пенсию.
Службы лабораторий Azure предоставляют встроенный контроль доступа на основе ролей Azure (Azure RBAC) для распространенных сценариев управления в Службах лабораторий Azure. Пользователь, имеющий профиль в идентификаторе Microsoft Entra, может назначать эти роли Azure пользователям, группам, субъектам-службам или управляемым удостоверениям для предоставления или запрета доступа к ресурсам и операциям в ресурсах служб лабораторий Azure. В этой статье описываются различные встроенные роли, поддерживаемые службами лабораторий Azure.
Управление доступом на основе ролей в Azure (RBAC) — это система авторизации на базе Azure Resource Manager, которая обеспечивает управление доступом к ресурсам Azure на высоком уровне детализации.
Azure RBAC задает встроенные определения ролей, описывающие применяемые разрешения. Вы назначаете пользователю или группе это определение роли с помощью назначения ролей для определенной области. Областью может быть отдельный ресурс, группа ресурсов или подписка. В следующем разделе вы узнаете, какие встроенные роли поддерживают службы лабораторий Azure.
Общие сведения см. в статье Что такое управление доступом на основе ролей в Azure (Azure RBAC)?
Примечание.
При внесении изменений в назначение ролей может потребоваться несколько минут для распространения этих обновлений.
Встроенные роли
В этой статье встроенные роли Azure логически группируются в два типа ролей на основе их влияния:
- Роли администратора: влияние разрешений на планы лабораторий и лаборатории
- Роли управления лабораторией: влияние разрешений для лабораторий
Ниже приведены встроенные роли, поддерживаемые службами лабораторий Azure.
Тип роли | Встроенная роль | Description |
---|---|---|
Администратор | Ответственный | Предоставьте полный контроль для создания планов лабораторий и лабораторий и управления ими и предоставления разрешений другим пользователям. Дополнительные сведения о роли владельца. |
Администратор | Участник | Предоставьте полный контроль для создания и управления планами лабораторий и лабораториями, за исключением назначения ролей другим пользователям. Дополнительные сведения о роли участника. |
Администратор | Участник служб лабораторий | Предоставьте те же разрешения, что и роль владельца, за исключением назначения ролей. Дополнительные сведения о роли участника служб лабораторий. |
Управление лабораторией | Создатель лаборатории | Предоставьте разрешение на создание лабораторий и полный контроль над создаваемыми лабораториями. Дополнительные сведения о роли создателя лаборатории. |
Управление лабораторией | Участник лаборатории | Предоставьте разрешение на управление существующей лабораторией, но не создание новых лабораторий. Дополнительные сведения о роли участника лаборатории. |
Управление лабораторией | Помощник по лаборатории | Предоставьте разрешение на просмотр существующей лаборатории. Также может запускать, останавливать или повторно использовать любую виртуальную машину в лаборатории. Дополнительные сведения о роли помощника по лаборатории. |
Управление лабораторией | Средство чтения служб лабораторий | Предоставьте разрешение на просмотр существующих лабораторий. Дополнительные сведения о роли читателя служб лабораторий. |
Область назначения ролей
В Azure RBAC область — это набор ресурсов, к которым применяется доступ. При назначении роли важно понимать область, чтобы предоставить только необходимый доступ.
В Azure область действия можно задать на четырех уровнях: группы управления, подписки, группы ресурсов и ресурса. Структура областей строится на отношениях "родитель-потомок". Каждый уровень иерархии делает область более конкретной. Вы можете назначать роли на любом из этих уровней области действия. Выбранный уровень определяет, насколько широка область применения роли. На более низких уровнях наследуются разрешения ролей более высоких уровней. Дополнительные сведения о области для Azure RBAC.
Для служб лабораторий Azure рассмотрим следующие области:
Scope | Description |
---|---|
Подписка | Используется для управления выставлением счетов и безопасностью для всех ресурсов и служб Azure. Как правило, только администраторы имеют доступ на уровне подписки, так как назначение роли предоставляет доступ ко всем ресурсам в подписке. |
Группа ресурсов | Логический контейнер для группировки ресурсов. Назначение ролей для группы ресурсов предоставляет разрешение группе ресурсов и всем ресурсам в ней, таким как лаборатории и планы лабораторий. |
План лаборатории | Ресурс Azure, используемый для применения общих параметров конфигурации при создании лаборатории. Назначение ролей для плана лаборатории предоставляет разрешение только конкретному плану лаборатории. |
Лаборатория | Ресурс Azure, используемый для применения общих параметров конфигурации для создания и запуска виртуальных машин лаборатории. Назначение ролей для лаборатории предоставляет разрешение только определенной лаборатории. |
Внимание
В Службах лабораторий Azure планы лабораторий и лаборатории являются общими ресурсами друг друга. В результате лаборатории не наследуют назначения ролей из плана лаборатории. Однако назначения ролей из группы ресурсов наследуются планами лабораторий и лабораториями в этой группе ресурсов.
Роли для распространенных действий лаборатории
В следующей таблице показаны общие действия лаборатории и роль, необходимая для выполнения этого действия пользователем.
Действие (Activity) | Тип роли | Роль | Область |
---|---|---|---|
Предоставьте разрешение на создание группы ресурсов. Группа ресурсов — это логический контейнер в Azure для хранения планов лабораторий и лабораторий. Прежде чем создать план лаборатории или лабораторию, эта группа ресурсов должна существовать. | Администратор | Владелец или Участник | Отток подписок |
Предоставьте разрешение на отправку запроса в службу поддержки Майкрософт, включая запрос емкости. | Администратор | Владелец, участник, участник запроса на поддержку | Отток подписок |
Предоставьте разрешение: — назначение ролей другим пользователям. — создание и управление планами лабораторий, лабораториями и другими ресурсами в группе ресурсов. — включение и отключение marketplace и пользовательских образов в плане лаборатории. — Присоединение или отключение коллекции вычислений в плане лаборатории. |
Администратор | Ответственное лицо | Группа ресурсов |
Предоставьте разрешение: — создание и управление планами лабораторий, лабораториями и другими ресурсами в группе ресурсов. — включите или отключите Azure Marketplace и пользовательские образы в плане лаборатории. Однако не возможность назначать роли другим пользователям. |
Администратор | Участник | Группа ресурсов |
Предоставьте разрешение на создание или управление собственными лабораториями для всех планов лабораторий в группе ресурсов. | Управление лабораторией | Создатель лаборатории | Группа ресурсов |
Предоставьте разрешение на создание или управление собственными лабораториями для определенного плана лаборатории. | Управление лабораторией | Создатель лаборатории | План лаборатории |
Предоставьте разрешение на совместное управление лабораторией, но не возможность создавать лаборатории. | Управление лабораторией | Участник лаборатории | Лаборатория |
Предоставьте разрешение только на запуск, остановку и повторное создание виртуальных машин для всех лабораторий в группе ресурсов. | Управление лабораторией | Помощник по лаборатории | Группа ресурсов |
Предоставьте разрешение только на запуск, остановку и повторное создание виртуальных машин для конкретной лаборатории. | Управление лабораторией | Помощник по лаборатории | Лаборатория |
Внимание
Подписка организации используется для управления выставлением счетов и безопасностью для всех ресурсов и служб Azure. Вы можете назначить роль владельца или участника в подписке. Как правило, только администраторы имеют доступ на уровне подписки, так как это включает полный доступ ко всем ресурсам в подписке.
Роли администратора
Чтобы предоставить пользователям разрешение на управление службами лабораторий Azure в подписке вашей организации, необходимо назначить им роль "Владелец", "Участник" или "Участник служб лабораторий".
Назначьте эти роли группе ресурсов. Планы и лаборатории в группе ресурсов наследуют эти назначения ролей.
В следующей таблице сравниваются различные роли администратора при назначении в группе ресурсов.
План лаборатории или лаборатория | Действие (Activity) | Владелец | Участник | Участник служб лабораторий |
---|---|---|---|---|
План лаборатории | Просмотр всех планов лаборатории в группе ресурсов | Да | Да | Да |
План лаборатории | Создание, изменение или удаление всех планов лабораторий в группе ресурсов | Да | Да | Да |
План лаборатории | Назначение ролей планам лаборатории в группе ресурсов | Да | No | No |
Лаборатория | Создание лабораторий в группе ресурсов** | Да | Да | Да |
Лаборатория | Просмотр лабораторий других пользователей в группе ресурсов | Да | Да | Да |
Лаборатория | Изменение или удаление лабораторий других пользователей в группе ресурсов | Да | Да | Нет |
Лаборатория | Назначение ролей лабораторий других пользователей в группе ресурсов | Да | No | No |
** Пользователи автоматически получают разрешение на просмотр, изменение параметров, удаление и назначение ролей для создаваемых лабораторий.
Роль владельца
Назначьте роль владельца, чтобы предоставить пользователю полный доступ к созданию планов и лабораторий или управлению ими, а также предоставить разрешения другим пользователям. Если у пользователя есть роль владельца в группе ресурсов, они могут выполнять следующие действия во всех ресурсах в группе ресурсов:
- Назначьте роли администраторам, чтобы они могли управлять ресурсами, связанными с лабораторией.
- Назначьте роли руководителям лабораторий, чтобы они могли создавать лаборатории и управлять ими.
- Создайте планы лабораторий и лаборатории.
- Просмотр, удаление и изменение параметров для всех планов лабораторий, включая присоединение или отключение коллекции вычислений и включение или отключение Azure Marketplace и пользовательских образов в планах лабораторий.
- Просмотр, удаление и изменение параметров для всех лабораторий.
Внимание
При назначении роли владельца или участника в группе ресурсов эти разрешения также применяются к ресурсам, связанным с лабораторией, которые существуют в группе ресурсов. Например, ресурсы, такие как виртуальные сети, учетные записи хранения, коллекции вычислений и многое другое.
Роль участника
Назначьте роль участника, чтобы предоставить пользователю полный доступ к созданию планов лабораторий и лабораторий в группе ресурсов или управлению ими. Роль участника имеет те же разрешения, что и роль владельца, за исключением следующих:
- Выполнение назначений ролей
Роль участника служб лабораторий
Участник служб лабораторий является самым строгим из ролей администратора. Назначьте роль участника служб лабораторий, чтобы включить те же действия, что и роль владельца, за исключением следующих:
- Выполнение назначений ролей
- Изменение или удаление лабораторий других пользователей
Примечание.
Роль участника служб лабораторий не позволяет изменять ресурсы, которые не связаны со службами лабораторий Azure. С другой стороны, роль участника позволяет изменять все ресурсы Azure в группе ресурсов.
Роли управления лабораторией
Используйте следующие роли, чтобы предоставить пользователям разрешения на создание лабораторий и управление ими:
- Создатель лаборатории
- Участник лаборатории
- Помощник по лаборатории
- Средство чтения служб лабораторий
Эти роли управления лабораторией предоставляют разрешение только на просмотр планов лаборатории. Эти роли не позволяют создавать, изменять, удалять или назначать роли планам лабораторий. Кроме того, пользователи с этими ролями не могут подключить или отключить коллекцию вычислений и включить или отключить образы виртуальных машин.
Роль создателя лаборатории
Назначьте роль создателя лаборатории, чтобы предоставить пользователю разрешение на создание лабораторий и полный контроль над создаваемыми лабораториями. Например, они могут изменять параметры лабораторий, удалять их лаборатории и даже предоставлять другим пользователям разрешение на их лаборатории.
Назначьте роль создателя лаборатории в группе ресурсов или плане лаборатории.
В следующей таблице сравнивается назначение роли Создателя лаборатории для группы ресурсов или плана лаборатории.
Действие (Activity) | Группа ресурсов | План лаборатории |
---|---|---|
Создание лабораторий в группе ресурсов** | Да | Да |
Просмотр созданных лабораторий | Да | Да |
Просмотр лабораторий других пользователей в группе ресурсов | Да | Нет |
Изменение или удаление лабораторий, созданных пользователем | Да | Да |
Изменение или удаление лабораторий других пользователей в группе ресурсов | No | No |
Назначение ролей лабораторий других пользователей в группе ресурсов | No | No |
** Пользователи автоматически получают разрешение на просмотр, изменение параметров, удаление и назначение ролей для создаваемых лабораторий.
Роль участника лаборатории
Назначьте роль участника лаборатории, чтобы предоставить пользователю разрешение на управление существующей лабораторией.
Назначьте роль участника лаборатории в лаборатории.
При назначении роли участника лаборатории в лаборатории пользователь может управлять назначенной лабораторией. В частности, пользователь:
- Может просматривать, изменять все параметры или удалять назначенную лабораторию.
- Пользователь не может просматривать лаборатории других пользователей.
- Не удается создать лаборатории.
Роль помощника по лаборатории
Назначьте роль помощника по лаборатории, чтобы предоставить пользователю разрешение на просмотр лаборатории и запустить, остановить и повторно создать виртуальные машины лаборатории для лаборатории.
Назначьте роль помощника по лаборатории в группе ресурсов или лаборатории.
При назначении роли помощника по лаборатории в группе ресурсов пользователь:
- Может просматривать все лаборатории в группе ресурсов и запускать, останавливать или повторно использовать виртуальные машины лаборатории для каждой лаборатории.
- Не удается удалить или внести другие изменения в лаборатории.
При назначении роли помощника лаборатории в лаборатории пользователь:
- Может просматривать назначенную лабораторию и запускать, останавливать или повторно использовать виртуальные машины лаборатории.
- Не удается удалить или внести другие изменения в лабораторию.
- Не удается создать лаборатории.
Если у вас есть роль помощника по лаборатории, чтобы просмотреть другие лаборатории, к которым вы предоставили доступ, обязательно выберите фильтр "Все лаборатории" на веб-сайте служб лабораторий Azure.
Роль читателя служб лабораторий
Назначьте роль читателя служб лабораторий, чтобы предоставить пользователю представление существующих лабораторий. Пользователь не может вносить изменения в существующие лаборатории.
Назначьте роль читателя служб лабораторий в группе ресурсов или лаборатории.
При назначении роли читателя служб лабораторий в группе ресурсов пользователь может:
- Просмотрите все лаборатории в группе ресурсов.
При назначении роли читателя служб лабораторий в лаборатории пользователь может:
- Просмотрите только определенную лабораторию.
Система управления идентификацией и доступом (IAM)
Страница управления доступом (IAM) в портал Azure используется для настройки управления доступом на основе ролей Azure в ресурсах Служб лабораторий Azure. Встроенные роли можно использовать для отдельных лиц и групп в Active Directory. На следующем снимке экрана показана интеграция с Active Directory (Azure RBAC) с использованием функции управления доступом (IAM) на портале Azure:
Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.
Структура плана группы ресурсов и лаборатории
Ваша организация должна инвестировать время перед планированием структуры групп ресурсов и планов лаборатории. Это особенно важно при назначении ролей в группе ресурсов, так как она также применяет разрешения ко всем ресурсам в группе ресурсов.
Чтобы убедиться, что пользователям предоставлено разрешение только для соответствующих ресурсов:
Создайте группы ресурсов, содержащие только ресурсы, связанные с лабораторией.
Упорядочение планов лабораторий и лабораторий в отдельные группы ресурсов в соответствии с пользователями, которым должен быть доступ.
Например, можно создать отдельные группы ресурсов для разных отделов, чтобы изолировать ресурсы лабораторий каждого отдела. Затем создатели лабораторий в одном отделе могут быть предоставлены разрешения на группу ресурсов, которая предоставляет им доступ только к ресурсам лаборатории своего отдела.
Внимание
Запланируйте структуру группы ресурсов и плана лабораторий заранее, так как невозможно переместить планы лабораторий или лаборатории в другую группу ресурсов после их создания.
Доступ к нескольким группам ресурсов
Вы можете предоставить пользователям доступ к нескольким группам ресурсов. На веб-сайте служб лабораторий Azure пользователь может выбрать из списка групп ресурсов, чтобы просмотреть свои лаборатории.
Доступ к нескольким планам лаборатории
Вы можете предоставить пользователям доступ к нескольким планам лаборатории. Например, при назначении роли создателя лаборатории пользователю в группе ресурсов, содержащей более одного плана лаборатории. Затем пользователь может выбрать из списка планов лаборатории при создании новой лаборатории.