Управление доступом к нагрузочному тестированию Azure
В этой статье вы узнаете, как управлять доступом (авторизацией) к ресурсу нагрузочного тестирования Azure. Управление доступом на основе ролей Azure (Azure RBAC) используется для управления доступом к ресурсам Azure, например управления возможностью создавать новые ресурсы или использовать существующие. Доступ на основе ролей можно предоставлять пользователям с помощью портала Azure, средств командной строки Azure и API управления Azure.
Необходимые компоненты
Чтобы назначить роли Azure, ваша учетная запись Azure должна иметь следующие возможности:
Microsoft.Authorization/roleAssignments/write
разрешения, такие как доступ пользователей Администратор istrator или owner.
Чтобы создать ресурс нагрузочного тестирования, ваша учетная запись Azure должна иметь следующее:
- Разрешение на создание ресурсов в группе ресурсов для ресурса нагрузочного тестирования, например роль участника или владельца .
Роли в нагрузочном тестировании Azure
В Azure Load Testing доступ предоставляется путем назначения соответствующей роли Azure пользователям, группам и приложениям в ресурсе нагрузочного тестирования область. Ниже приведены встроенные роли, поддерживаемые ресурсом нагрузочного тестирования:
Роль | Description |
---|---|
Средство чтения нагрузочных тестов | Действия только для чтения в ресурсе нагрузочного тестирования. Читатели могут просматривать тесты и тесты в ресурсе. Читатели не могут создавать, обновлять или запускать тесты. |
Участник нагрузочного теста | Просмотр, создание, изменение или удаление (где применимо) тесты и тесты выполняются в ресурсе нагрузочного тестирования. |
Владелец нагрузочного теста | Полный доступ к ресурсу нагрузочного тестирования, включая возможность просмотра, создания, редактирования или удаления ресурсов (где это применимо) в ресурсе. Например, можно изменить или удалить ресурс нагрузочного тестирования. |
Если у вас есть роль владельца, участника или владельца нагрузочного теста на уровне подписки, у вас автоматически есть те же разрешения, что и владелец нагрузочного теста на уровне ресурса.
Важно!
Доступ для роли можно ограничить определенными уровнями в Azure. Например, у кого-то с доступом владельца к ресурсу может не быть доступа владельца к группе ресурсов, содержащей ресурс. Дополнительные сведения см. в статье Принцип работы Azure RBAC.
Разрешения роли
В следующих таблицах описываются разрешения, предоставленные каждой роли. Эти разрешения могут включать действия, которые предоставляют разрешения и не действия, которые ограничивают их.
Владелец нагрузочного теста
Владелец нагрузочного теста может управлять всем, включая доступ. В следующей таблице показаны разрешения, предоставленные для этой роли.
Действия | Description |
---|---|
Microsoft.Resources/deployments/* | Создание развертываний группы ресурсов и управление ими. |
Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
Microsoft.Insights/alertRules/* | Создание правил оповещения и управление ими. |
Microsoft.Authorization/*/read | Авторизация на чтение. |
Microsoft.LoadTestService/* | Создание ресурсов нагрузочного тестирования и управление ими. |
Действия с данными | Description |
---|---|
Microsoft.LoadTestService/loadtests/* | Запуск, остановка и управление нагрузочных тестов. |
Участник нагрузочного теста
Участник нагрузочного теста может управлять всем, кроме доступа. В следующей таблице показаны разрешения, предоставленные для этой роли.
Действия | Description |
---|---|
Microsoft.Resources/deployments/* | Создание развертываний группы ресурсов и управление ими. |
Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
Microsoft.Insights/alertRules/* | Создание правил оповещения и управление ими. |
Microsoft.Authorization/*/read | Авторизация на чтение. |
Microsoft.LoadTestService/*/read | Создание ресурсов нагрузочного тестирования и управление ими. |
Действия с данными | Description |
---|---|
Microsoft.LoadTestService/loadtests/* | Запуск, остановка и управление нагрузочных тестов. |
Средство чтения нагрузочных тестов
Средство чтения нагрузочных тестов может просматривать все ресурсы в ресурсе нагрузочного тестирования, но не может вносить никаких изменений. В следующей таблице показаны разрешения, предоставленные для этой роли.
Действия | Description |
---|---|
Microsoft.Resources/deployments/* | Создание развертываний группы ресурсов и управление ими. |
Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
Microsoft.Insights/alertRules/* | Создание правил оповещения и управление ими. |
Microsoft.Authorization/*/read | Авторизация на чтение. |
Microsoft.LoadTestService/*/read | Создание ресурсов нагрузочного тестирования и управление ими. |
Действия с данными | Description |
---|---|
Microsoft.LoadTestService/loadtests/readTest/action | Чтение нагрузочных тестов. |
Настройка Azure RBAC для ресурса нагрузочного тестирования
В следующем разделе показано, как настроить Azure RBAC в ресурсе нагрузочного тестирования с помощью портал Azure и PowerShell.
Настройка Azure RBAC с помощью портала Azure
Войдите в портал Azure и откройте ресурс нагрузочного тестирования на странице "Нагрузочное тестирование Azure".
Выберите элемент управления доступом (IAM) и выберите роль из списка доступных ролей. Вы можете выбрать любую из доступных встроенных ролей, поддерживаемых ресурсом нагрузочного тестирования Azure, или любую пользовательскую роль, которую вы могли определить. Назначьте роль пользователю, которому требуется предоставить разрешения.
Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.
Удаление назначений ролей от пользователя
Вы можете удалить разрешение на доступ для пользователя, который не управляет ресурсом нагрузочного тестирования Azure или который больше не работает в организации. Ниже показано, как удалить назначения ролей от пользователя. Подробные инструкции см. в разделе "Удаление назначений ролей Azure":
Откройте Управление доступом (IAM) для области, например группы управления, подписки, группы ресурсов или отдельного ресурса, чтобы заблокировать доступ.
Перейдите на вкладку "Назначения ролей", чтобы просмотреть все назначения ролей на этом область.
В списке назначений ролей добавьте проверка марк рядом с пользователем с назначением роли, которую вы хотите удалить.
Нажмите кнопку " Удалить", а затем нажмите кнопку "Да ", чтобы подтвердить.
Настройка Azure RBAC с помощью PowerShell
Вы также можете настроить доступ на основе ролей к ресурсу нагрузочного тестирования с помощью следующих командлетов Azure PowerShell:
Get-AzRoleDefinition содержит все роли Azure, доступные в идентификаторе Microsoft Entra. Этот командлет можно использовать с параметром Name для перечисления всех действий, которые может выполнять определенная роль.
Get-AzRoleDefinition -Name 'Load Test Contributor'
Следующий фрагмент кода является примером выходных данных:
Name : Load Test Contributor Id : 00000000-0000-0000-0000-000000000000 IsCustom : False Description : View, create, update, delete and execute load tests. View and list load test resources but can not make any changes. Actions : {Microsoft.LoadTestService/*/read, Microsoft.Authorization/*/read, Microsoft.Resources/deployments/*, Microsoft.Resources/subscriptions/resourceGroups/read…} NotActions : {} DataActions : {Microsoft.LoadTestService/loadtests/*} NotDataActions : {} AssignableScopes : {/}
Командлет Get-AzRoleAssignment выводит список назначений ролей Azure в указанной области. Без параметров этот командлет возвращает все назначения ролей, выполненные в подписке.
ExpandPrincipalGroups
Используйте параметр для перечисления назначений доступа для указанного пользователя и групп, к которым принадлежит пользователь.Пример. Используйте следующий командлет для перечисления всех пользователей и их ролей в ресурсе нагрузочного тестирования.
Get-AzRoleAssignment -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.LoadTestService/loadtests/<Load Test Name>'
Используйте командлет New-AzRoleAssignment, чтобы присвоить права доступа к определенной области пользователям, группам и приложениям.
Пример. Используйте следующую команду, чтобы назначить роль читателя нагрузочного теста для пользователя в область ресурса нагрузочного тестирования.
New-AzRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName 'Load Test Reader' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.LoadTestService/loadtests/<Load Testing resource name>'
Командлет Remove-AzRoleAssignment удаляет права доступа к определенной области для указанного пользователя, группы или приложения.
Пример. Используйте следующую команду, чтобы удалить пользователя из роли читателя нагрузочного теста в ресурсе нагрузочного тестирования область.
Remove-AzRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName 'Load Test Reader' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.LoadTestService/loadtests/<Load Testing resource name>'
Устранение неполадок
В этом разделе перечислены действия по устранению распространенных проблем с доступом пользователей в Azure Load Testing.
Не удается создать или запустить тест с помощью You are not authorized to use this resource
Это сообщение возникает, если у учетной записи Azure нет необходимых разрешений для управления тестами. Обязательно предоставьте пользователю роль владельца нагрузочного теста или участника нагрузочного теста в ресурсе нагрузочного тестирования.
Связанный контент
- Дополнительные сведения об использовании управляемых удостоверений.
- Дополнительные сведения о выявлении узких мест производительности (учебник).