Просмотр поставщиков служб и управление ими
Страница Поставщики услуг на портале Azure предоставляет клиентам контроль и отображение поставщиков услуг, использующих Azure Lighthouse. Клиенты могут делегировать определенные ресурсы, просмотреть новые или обновленные предложения, отменить доступ для поставщиков услуг и т. д.
Чтобы открыть страницу Поставщики услуг на портале Azure, в поле поиска в верхней части портала Azure введите запрос "Поставщики услуг". Вы также можете выбрать Все службы, а затем найти Azure Lighthouse или выполнить поиск по запросу "Azure Lighthouse". На странице Azure Lighthouse выберите View service provider offers (Просмотреть предложения поставщика услуг).
Примечание.
Чтобы просмотреть страницу Поставщики услуг, пользователь в клиенте должен иметь встроенную роль читателя (или другую встроенную роль с доступом на чтение).
Для добавления или обновления предложений, делегирования ресурсов и удаления предложений пользователь должен иметь роль с Microsoft.Authorization/roleAssignments/write
разрешением, например Владельца.
Имейте в виду, что на странице Поставщики услуг отображается информация только о поставщиках услуг, которые имеют доступ к подпискам или группам ресурсов клиента через делегированное управление ресурсами Azure Lighthouse. На ней не отображаются сведения о дополнительных поставщиках услуг, не использующих Azure Lighthouse.
Просмотр сведений о поставщике услуг
Чтобы просмотреть сведения о текущих поставщиках служб, использующих Azure Lighthouse для работы в клиенте, выберите Предложения поставщика услуг в левой части страницы Поставщики услуг.
Для каждого предложения отображается название поставщика услуг и связанное с ним предложение. Вы можете выбрать предложение, чтобы просмотреть описание и другие сведения, включая назначения ролей, предоставленные поставщику услуг.
В столбце Делегирования показано количество подписок и/или групп ресурсов, которое было делегировано поставщику услуг для этого предложения. Поставщик услуг сможет получить доступ к этим подпискам и/или группам ресурсов и управлять ими в соответствии с уровнями доступа, указанными в предложении.
Добавление предложений поставщиков услуг
Вы можете добавить новое предложение поставщика услуг на странице Предложения поставщика услуг.
Чтобы добавить предложение из Marketplace, нажмите кнопку Добавить предложение посредине страницы или выберите Добавить предложение в верхней части страницы, а затем щелкните Добавить с помощью Marketplace. Если предложения управляемых служб были опубликованы специально для этого клиента, выберите Частные предложения, чтобы просмотреть их. Для просмотра сведений выберите предложение. Чтобы добавить предложение, выберите Создать.
Чтобы добавить предложение из шаблона, выберите Добавить предложение в верхней части страницы и нажмите кнопку Добавить с помощью Marketplace. Это позволит отправить шаблон от поставщика услуг и подключить подписку (или группу ресурсов). Дополнительные сведения см. в статье Развертывание на портале Azure.
Обновление предложений поставщиков услуг
После добавления предложения клиентом поставщик услуг может опубликовать обновленную версию того же предложения в Azure Marketplace, например, добавить определение новой роли. Если была опубликована новая версия предложения, на странице предложения поставщика услуг отображается значок обновления в строке для этого предложения. Клиент может выбрать этот значок, чтобы просмотреть различия между текущей версией предложения и новой.
После просмотра изменений можно выполнить обновление до новой версии. Авторизация и другие параметры, указанные в новой версии, будут применяться ко всем подпискам и/или группам ресурсов, которые были делегированы для этого предложения.
Удаление предложений поставщиков услуг
Предложение поставщика услуг можно удалить в любое время, щелкнув значок корзины в строке этого предложения.
После подтверждения удаления поставщик услуг больше не будет иметь доступа к ресурсам клиента, которые ранее были делегированы для этого предложения.
Внимание
Если у подписки есть два или более предложений от одного поставщика услуг, удаление одного из них может привести к тому, что некоторые пользователи поставщика услуг потеряют доступ, предоставленный другими делегированиями. Это происходит только в том случае, если один и тот же пользователь и роль включены в несколько делегирований, а затем один из делегирований удаляется. Чтобы устранить эту проблему, процесс подключения должен повторяться для предложений, которые вы не удаляете.
Делегирование ресурсов
Прежде чем поставщик услуг сможет получить доступ к ресурсам клиента и управлять ими, необходимо делегировать одну или несколько конкретных подписок или групп ресурсов. Когда клиент добавляет предложение без делегирования ресурсов, в верхней части раздела предложений поставщика услуг появится примечание. Поставщик услуг не может работать над ресурсами в клиенте клиента, пока делегирование не будет завершено.
Чтобы делегировать подписки или группы ресурсов:
- Установите флажок для строки, содержащей поставщика услуг, предложение и имя. Затем вверху экрана выберите Делегировать ресурсы.
- В разделе Сведения о предложении на странице Делегировать ресурсы просмотрите сведения о поставщике услуг и предложении. Чтобы просмотреть назначения ролей для предложения, выберите Щелкните, чтобы просмотреть сведения о выбранном предложении.
- В разделе Делегирование выберите Делегировать подписки или Делегировать группы ресурсов.
- Выберите подписки и/или группы ресурсов, которые вы хотите делегировать для этого предложения, а затем выберите команду Добавить.
- Установите флажок в нижней части страницы, чтобы убедиться, что вы хотите предоставить этому поставщику услуг доступ к этим ресурсам, а затем выберите "Делегат".
Просмотреть делегирования
Делегирование представляет собой связь конкретных ресурсов клиента (подписок или групп ресурсов) с назначениями ролей, которые предоставляют разрешения поставщику услуг для этих ресурсов. Чтобы просмотреть эту информацию, выберите Делегирования в левой части страницы Поставщики услуг.
Фильтры, расположенные в верхней части страницы, позволяют сортировать и группировать информацию о делегировании. Вы также можете фильтровать по определенным поставщикам услуг, предложениям или ключевым словам.
Примечание.
При просмотре назначений ролей для делегированной области в портал Azure или через API клиенты не увидят назначения ролей для пользователей из клиента поставщика услуг, имеющих доступ через Azure Lighthouse. Аналогичным образом пользователи в клиенте поставщика услуг не будут видеть назначения ролей для пользователей в клиенте клиента независимо от назначенной им роли.
Обратите внимание, что классические назначения администраторов в клиенте клиента могут отображаться пользователями в управляемом клиенте или другим способом, так как классические роли администратора не используют модель развертывания Resource Manager.
Аудит и ограничение делегирований в вашей среде
Клиентам может потребоваться просмотреть подписки и (или) группы ресурсов, которые были делегированы в Azure Lighthouse. Это особенно удобно для клиентов с большим количеством подписок или с множеством пользователей, выполняющих задачи управления.
Мы предоставляем Определение встроенной Политики Azure для аудита делегирования областей клиенту, выполняющему функции управления. Эту политику можно назначить группе управления, которая включает все подписки, подлежащие аудиту. При проверке соответствия этой политике все делегированные подписки и (или) группы ресурсов (в группе управления, которой назначена политика), отображаются в несоответствующее состояние. Затем можно проверить результаты и убедиться в отсутствии непредвиденных делегирований.
Другое Определение встроенной политики позволяет ограничить делегирование только конкретным клиентами управления. Эту политику можно назначить группе управления, которая включает все подписки, для которых необходимо ограничить делегирование. После развертывания политики все попытки делегировать клиенту подписку, не указанную вами, будут запрещены.
Дополнительные сведения о назначении политики и просмотре результатов состояния соответствия требованиям см. в разделе Краткое руководство. Создание назначения политики.
Следующие шаги
- Дополнительные сведения о Azure Lighthouse.
- Дополнительные сведения о выполнении аудита действий поставщика служб.
- Дополнительные сведения о том, как поставщики услуг могут просматривать клиентов и управлять ими на странице Мои клиенты на портале Azure.
- Дополнительные сведения об использовании Azure Lighthouse предприятиями, управляющими несколькими клиентами, для объединения своих возможностей управления.