Управление доступом к нагрузочному тестированию Azure

Из этой статьи вы узнаете, как управлять доступом (авторизацией) к ресурсу нагрузочного тестирования Azure. Управление доступом на основе ролей Azure (Azure RBAC) используется для управления доступом к ресурсам Azure, например управления возможностью создавать новые ресурсы или использовать существующие. Доступ на основе ролей можно предоставлять пользователям с помощью портала Azure, средств командной строки Azure и API управления Azure.

Важно!

Нагрузочное тестирование Azure сейчас находится в предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в бета-версии, в предварительной версии или иным образом еще не выпущены в общедоступной версии, см. в дополнительных условиях использования предварительных версий Microsoft Azure.

Предварительные требования

Чтобы назначать роли Azure необходимо наличие:

Роли в нагрузочном тестировании Azure

В нагрузочном тестировании Azure доступ предоставляется путем назначения соответствующей роли Azure пользователям, группам и приложениям в области ресурса нагрузочного тестирования. Ниже приведены встроенные роли, поддерживаемые ресурсом нагрузочного тестирования.

Роль Описание
Средство чтения нагрузочных тестов Действия только для чтения в ресурсе нагрузочного тестирования. Читатели могут перечислять и просматривать тесты и тестовые запуски в ресурсе. Читатели не могут создавать, обновлять или выполнять тесты.
Участник нагрузочного теста Просматривайте, создавайте, редактируйте или удаляйте тесты и тестовые запуски в ресурсе нагрузочного тестирования.
Владелец нагрузочного теста Полный доступ к ресурсу нагрузочного тестирования, включая возможность просмотра, создания, изменения или удаления (если применимо) ресурсов в ресурсе. Например, можно изменить или удалить ресурс нагрузочного тестирования.

Если у вас есть роль владелец, участник или владелец нагрузочного теста на уровне подписки, у вас автоматически будут те же разрешения, что и у владельца нагрузочного теста на уровне ресурсов.

Это сообщение появится, если у вашей учетной записи нет необходимых разрешений для управления тестами.

Снимок экрана: сообщение об ошибке в портал Azure, что вы не авторизованы для использования ресурса Azure Load Testing.

Важно!

Доступ для роли можно ограничить определенными уровнями в Azure. Например, пользователь с доступом владельца к ресурсу может не иметь доступа владельца к группе ресурсов, содержащей ресурс. Дополнительные сведения см. в статье Принцип работы Azure RBAC.

Разрешения ролей

В следующих таблицах описываются разрешения, предоставленные каждой роли. К ним могут относиться действия, которые предоставляют разрешения, и не действия, ограничивающие их.

Владелец нагрузочного теста

Владелец нагрузочного теста может управлять всем, включая доступ. В следующей таблице показаны разрешения, предоставленные для этой роли.

Действия Описание
Microsoft.Resources/deployments/* Создание развертываний группы ресурсов и управление ими.
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Insights/alertRules/* Создание правил оповещения и управление ими.
Microsoft.Authorization/*/read Авторизация на чтение.
Microsoft.LoadTestService/* Создание ресурсов нагрузочного тестирования и управление ими.
Действия с данными Описание
Microsoft.LoadTestService/loadtests/* Запуск, остановка нагрузочных тестов и управление ими.

Участник нагрузочного теста

Участник нагрузочного теста может управлять всем, кроме доступа. В следующей таблице показаны разрешения, предоставленные для этой роли.

Действия Описание
Microsoft.Resources/deployments/* Создание развертываний группы ресурсов и управление ими.
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Insights/alertRules/* Создание правил оповещения и управление ими.
Microsoft.Authorization/*/read Авторизация на чтение.
Microsoft.LoadTestService/*/read Создание ресурсов нагрузочного тестирования и управление ими.
Действия с данными Описание
Microsoft.LoadTestService/loadtests/* Запуск, остановка нагрузочных тестов и управление ими.

Средство чтения нагрузочных тестов

Читатель нагрузочных тестов может просматривать все ресурсы в ресурсе нагрузочного тестирования, но не может вносить никаких изменений. В следующей таблице показаны разрешения, предоставленные для этой роли.

Действия Описание
Microsoft.Resources/deployments/* Создание развертываний группы ресурсов и управление ими.
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Insights/alertRules/* Создание правил оповещения и управление ими.
Microsoft.Authorization/*/read Авторизация на чтение.
Microsoft.LoadTestService/*/read Создание ресурсов нагрузочного тестирования и управление ими.
Действия с данными Описание
Microsoft.LoadTestService/loadtests/readTest/action Чтение нагрузочных тестов.

Настройка Azure RBAC для ресурса нагрузочного тестирования

В следующем разделе показано, как настроить Azure RBAC для ресурса нагрузочного тестирования с помощью портал Azure и PowerShell.

Настройка Azure RBAC с помощью портала Azure

  1. Войдите в портал Azure и откройте ресурс нагрузочного тестирования на странице Нагрузочное тестирование Azure.

  2. Выберите Управление доступом (IAM) и выберите роль из списка доступных ролей. Вы можете выбрать любую из доступных встроенных ролей, поддерживаемых ресурсом нагрузочного тестирования Azure, или любую пользовательскую роль, которую вы могли определить. Назначьте роль пользователю, которому требуется предоставить разрешения.

    Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.

Удаление назначений ролей от пользователя

Вы можете удалить разрешение на доступ для пользователя, который не управляет ресурсом нагрузочного тестирования Azure или больше не работает в организации. Ниже показано, как удалить назначения ролей у пользователя. Подробные инструкции см. в статье Удаление назначений ролей Azure:

  1. Откройте Управление доступом (IAM) для области, например группы управления, подписки, группы ресурсов или отдельного ресурса, чтобы заблокировать доступ.

  2. Перейдите на вкладку Назначения ролей , чтобы просмотреть все назначения ролей в этой области.

  3. В списке назначений ролей добавьте флажок рядом с пользователем с назначением роли, которое вы хотите удалить.

  4. Выберите Удалить, а затем — Да , чтобы подтвердить.

Настройка Azure RBAC с помощью PowerShell

Вы также можете настроить доступ на основе ролей к ресурсу нагрузочного тестирования с помощью следующих командлетов Azure PowerShell:

  • Командлет Get-AzRoleDefinition выводит список всех ролей Azure RBAC, доступных в Azure Active Directory. Этот командлет можно использовать с параметром Name, чтобы получить список всех действий, которые может выполнять определенная роль.

    Get-AzRoleDefinition -Name 'Load Test Contributor'
    

    Ниже приведен пример выходных данных.

    Name             : Load Test Contributor
    Id               : 00000000-0000-0000-0000-000000000000
    IsCustom         : False
    Description      : View, create, update, delete and execute load tests. View and list load test resources but can not make any changes.
    Actions          : {Microsoft.LoadTestService/*/read, Microsoft.Authorization/*/read, Microsoft.Resources/deployments/*, Microsoft.Resources/subscriptions/resourceGroups/read…}
    NotActions       : {}
    DataActions      : {Microsoft.LoadTestService/loadtests/*}
    NotDataActions   : {}
    AssignableScopes : {/}
    
  • Командлет Get-AzRoleAssignment выводит список назначений ролей Azure в указанной области. Без параметров этот командлет возвращает все назначения ролей, выполненные в подписке. Указав параметр ExpandPrincipalGroups, вы получите список назначений доступа для указанного пользователя и всех групп, в состав которых он входит.

    Пример. Используйте следующий командлет, чтобы получить список всех пользователей и их ролей в ресурсе нагрузочного тестирования.

    Get-AzRoleAssignment -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.LoadTestService/loadtests/<Load Test Name>'
    
  • Используйте командлет New-AzRoleAssignment, чтобы присвоить права доступа к определенной области пользователям, группам и приложениям.

    Пример. Используйте следующую команду, чтобы назначить роль "Читатель тестовой нагрузки" для пользователя в области ресурса нагрузочного тестирования.

    New-AzRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName 'Load Test Reader' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.LoadTestService/loadtests/<Load Testing resource name>'
    
  • Командлет Remove-AzRoleAssignment удаляет права доступа к определенной области для указанного пользователя, группы или приложения.

    Пример. Используйте следующую команду, чтобы удалить пользователя из роли читателя нагрузочных тестов в области ресурса нагрузочного тестирования.

    Remove-AzRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName 'Load Test Reader' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.LoadTestService/loadtests/<Load Testing resource name>'
    

Дальнейшие действия