Поделиться через


Создание и назначение управляемого удостоверения, назначаемого пользователем

Из этого руководства вы узнаете, как выполняются следующие задачи:

  • Создайте управляемое удостоверение, назначаемое пользователем (UAMI) для службы сети сайта (SNS).
  • Назначьте разрешения управляемого удостоверения, назначенные пользователем.

Требование управляемого удостоверения, назначаемого пользователем, и необходимые разрешения зависят от структуры сетевой службы (NSD) и должны быть переданы вам конструктором сетевых служб.

Необходимые компоненты

  • Необходимо создать пользовательскую роль с помощью создания настраиваемой роли. В этой статье предполагается, что вы назвали пользовательскую роль "Пользовательская роль — оператор службы AOSM доступ к издателю".

  • Конструктор сетевых служб должен сказать вам, какие другие разрешения требует управляемое удостоверение и какие версии определения сетевой функции (NFDV) использует SNS.

  • Чтобы выполнить эту задачу, вам потребуется роль "Владелец" или "Доступ пользователей Администратор istrator" для ресурса версии определения сетевой функции из выбранного издателя. Кроме того, у вас должна быть группа ресурсов, для которой у вас есть назначение роли "Владелец" или "Доступ пользователей Администратор istrator", чтобы создать управляемое удостоверение и назначить ему разрешения.

Создание управляемого удостоверения, назначаемого пользователем

Создайте управляемое удостоверение, назначаемое пользователем. Дополнительные сведения см. в статье "Создание управляемого удостоверения, назначаемого пользователем" для SNS.

Назначение настраиваемой роли

Назначьте настраиваемую роль управляемому удостоверению, назначенному пользователем.

Выбор область для назначения пользовательской роли

Ресурсы издателя, которым необходимо назначить настраиваемую роль, являются:

  • Версии определения сетевой функции

Необходимо решить, следует ли назначить пользовательскую роль отдельно этому NFDV или родительскому ресурсу, например группе ресурсов издателя или группе определений сетевых функций.

Применение к родительскому ресурсу предоставляет доступ ко всем дочерним ресурсам. Например, применение ко всей группе ресурсов издателя предоставляет доступ к управляемому удостоверению:

  • Все группы и версии определений сетевых функций.

  • Все группы и версии конструктора сетевых служб.

  • Все схемы группы конфигураций.

Разрешения настраиваемой роли ограничивают доступ к списку разрешений, показанных здесь:

  • Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/use/action

  • Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/read

  • Действие Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/use/

  • Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/read

  • Microsoft.HybridNetwork/Publishers/ConfigurationGroupSchemas/read

Примечание.

Не предоставляйте доступ к записи или удалению любого из этих ресурсов издателя.

Назначение настраиваемой роли

  1. Перейдите к портал Azure и откройте выбранный область; Группа ресурсов издателя или версия определения сетевой функции.

  2. В боковом меню этого элемента выберите контроль доступа (IAM).

  3. Выберите " Добавить назначение ролей".

    Снимок экрана: страница управления доступом группы ресурсов издателя.

  4. В разделе "Роли функции задания" найдите пользовательскую роль в списке и перейдите к следующему разделу.

    Снимок экрана: экран добавления назначения ролей.

  5. Выберите управляемое удостоверение, а затем нажмите кнопку "Выбрать участников ", а затем найдите и выберите новое управляемое удостоверение. Выберите Выбрать.

    Снимок экрана: добавление назначения ролей и выбор управляемых удостоверений.

  6. Выберите "Рецензирование" и "Назначить".

Повторите назначение роли

Повторите задачи назначения ролей для всех выбранных область.

Назначение роли оператора управляемого удостоверения самому управляемому удостоверению

  1. Перейдите к портал Azure и найдите управляемые удостоверения.

  2. Выберите identity-for-nginx-sns из списка управляемых удостоверений.

  3. В боковом меню выберите контроль доступа (IAM).

  4. Выберите " Добавить назначение ролей" и выберите роль "Оператор управляемых удостоверений". Снимок экрана: роль

  5. Выберите роль оператора управляемого удостоверения.

    Снимок экрана: роль оператора управляемого удостоверения.

  6. Выберите Управляемое удостоверение.

  7. Выберите и выберите участников и перейдите к управляемому удостоверению, назначаемого пользователем, и перейдите к назначению.

    Снимок экрана: экран добавления назначения ролей с выбранным управляемым удостоверением.

Выполнение всех задач, описанных в этой статье, гарантирует, что служба сети сайта (SNS) имеет необходимые разрешения для эффективной работы в указанной среде Azure.

Назначение других необходимых разрешений управляемому удостоверению

Повторите этот процесс, чтобы назначить любые другие разрешения управляемому удостоверению, определяемому конструктором сетевых служб.