Rollbaserad åtkomstkontroll i Azure Lab Services
Azure Lab Services tillhandahåller inbyggd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för vanliga hanteringsscenarier i Azure Lab Services. En person som har en profil i Microsoft Entra-ID kan tilldela dessa Azure-roller till användare, grupper, tjänstens huvudnamn eller hanterade identiteter för att bevilja eller neka åtkomst till resurser och åtgärder på Azure Lab Services-resurser. Den här artikeln beskriver de olika inbyggda roller som Azure Lab Services stöder.
Rollbaserad åtkomstkontroll i Azure (RBAC) är ett auktoriseringssystem som bygger på Azure Resource Manager och som ger detaljerad åtkomsthantering av Azure-resurser.
Azure RBAC anger inbyggda rolldefinitioner som beskriver de behörigheter som ska tillämpas. Du tilldelar en användare eller grupp den här rolldefinitionen via en rolltilldelning för ett visst omfång. Omfånget kan vara en enskild resurs, en resursgrupp eller i hela prenumerationen. I nästa avsnitt får du lära dig vilka inbyggda roller Azure Lab Services stöder.
Mer information finns i Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)?
Kommentar
När du gör ändringar i rolltilldelningen kan det ta några minuter innan uppdateringarna sprids.
Inbyggda roller
I den här artikeln är de inbyggda Azure-rollerna logiskt grupperade i två rolltyper, baserat på deras påverkansområde:
- Administratörsroller: påverka behörigheter för labbplaner och labb
- Labbhanteringsroller: påverka behörigheter för labb
Följande är de inbyggda roller som stöds av Azure Lab Services:
Rolltyp | Inbyggd roll | beskrivning |
---|---|---|
Administratör | Ägare | Ge fullständig kontroll för att skapa/hantera labbplaner och labb och bevilja behörigheter till andra användare. Läs mer om rollen Ägare. |
Administratör | Deltagare | Ge fullständig kontroll för att skapa/hantera labbplaner och labb, förutom att tilldela roller till andra användare. Läs mer om deltagarrollen. |
Administratör | Lab Services-deltagare | Bevilja samma behörigheter som rollen Ägare, förutom att tilldela roller. Läs mer om rollen Lab Services-deltagare. |
Labbhantering | Labbskapare | Ge behörighet att skapa labb och ha fullständig kontroll över de labb som de skapar. Läs mer om rollen Labbskapare. |
Labbhantering | Labbdeltagare | Bevilja behörighet för att hantera ett befintligt labb, men inte skapa nya labb. Läs mer om rollen Labbdeltagare. |
Labbhantering | Labbassistent | Bevilja behörighet att visa ett befintligt labb. Kan också starta, stoppa eller återskapa valfri virtuell dator i labbet. Läs mer om labbassistentrollen. |
Labbhantering | Lab Services-läsare | Bevilja behörighet att visa befintliga labb. Läs mer om rollen Lab Services-läsare. |
Rolltilldelningsomfång
I Azure RBAC är omfånget den uppsättning resurser som åtkomsten gäller för. När du tilldelar en roll är det viktigt att förstå omfånget så att du bara beviljar den åtkomst som behövs.
I Azure kan du ange ett omfång på fyra nivåer: hanteringsgrupp, prenumeration, resursgrupp och resurs. Omfång är strukturerade i en överordnad/underordnad relation. Varje hierarkinivå gör omfånget mer specifikt. Du kan tilldela roller på någon av dessa omfångsnivåer. Den nivå du väljer avgör hur mycket rollen tillämpas. Lägre nivåer ärver rollbehörigheter från högre nivåer. Läs mer om omfång för Azure RBAC.
Överväg följande omfång för Azure Lab Services:
Scope | beskrivning |
---|---|
Prenumeration | Används för att hantera fakturering och säkerhet för alla Azure-resurser och -tjänster. Vanligtvis har endast administratörer åtkomst på prenumerationsnivå eftersom den här rolltilldelningen ger åtkomst till alla resurser i prenumerationen. |
Resursgrupp | En logisk container för att gruppera resurser. Rolltilldelning för resursgruppen ger behörighet till resursgruppen och alla resurser i den, till exempel labb och labbplaner. |
Labbplan | En Azure-resurs som används för att tillämpa vanliga konfigurationsinställningar när du skapar ett labb. Rolltilldelning för labbplanen ger endast behörighet till en specifik labbplan. |
Labb | En Azure-resurs som används för att tillämpa vanliga konfigurationsinställningar för att skapa och köra virtuella labbdatorer. Rolltilldelning för labbet ger endast behörighet till ett specifikt labb. |
Viktigt!
I Azure Lab Services är labbplaner och labb på samma nivå som varandra. Därför ärver labb inte några rolltilldelningar från labbplanen. Rolltilldelningar från resursgruppen ärvs dock av labbplaner och labb i den resursgruppen.
Roller för vanliga labbaktiviteter
I följande tabell visas vanliga labbaktiviteter och den roll som krävs för att en användare ska kunna utföra den aktiviteten.
Aktivitet | Rolltyp | Roll | Omfattning |
---|---|---|---|
Bevilja behörighet att skapa en resursgrupp. En resursgrupp är en logisk container i Azure för att lagra labbplaner och labb. Innan du kan skapa en labbplan eller ett labb måste den här resursgruppen finnas. | Administratör | Ägare eller deltagare | Prenumeration |
Bevilja behörighet att skicka ett Microsoft-supportärende, inklusive för att begära kapacitet. | Administratör | Ägare, deltagare, supportbegärandedeltagare | Prenumeration |
Bevilja behörighet till: – Tilldela roller till andra användare. – Skapa/hantera labbplaner, labb och andra resurser i resursgruppen. – Aktivera/inaktivera Marketplace och anpassade avbildningar i en labbplan. – Bifoga/koppla från beräkningsgalleriet i en labbplan. |
Administratör | Ägare | Resursgrupp |
Bevilja behörighet till: – Skapa/hantera labbplaner, labb och andra resurser i resursgruppen. – Aktivera eller inaktivera Azure Marketplace och anpassade avbildningar i en labbplan. Men inte möjligheten att tilldela roller till andra användare. |
Administratör | Deltagare | Resursgrupp |
Bevilja behörighet att skapa eller hantera egna labb för alla labbplaner i en resursgrupp. | Labbhantering | Labbskapare | Resursgrupp |
Bevilja behörighet att skapa eller hantera egna labb för en specifik labbplan. | Labbhantering | Labbskapare | Labbplan |
Bevilja behörighet att samhantera ett labb, men inte möjligheten att skapa labb. | Labbhantering | Labbdeltagare | Labb |
Bevilja behörighet till endast starta/stoppa/återskapa virtuella datorer för alla labb i en resursgrupp. | Labbhantering | Labbassistent | Resursgrupp |
Bevilja behörighet till endast starta/stoppa/återskapa virtuella datorer för ett specifikt labb. | Labbhantering | Labbassistent | Labb |
Viktigt!
En organisations prenumeration används för att hantera fakturering och säkerhet för alla Azure-resurser och -tjänster. Du kan tilldela rollen Ägare eller Deltagare för prenumerationen. Vanligtvis har endast administratörer åtkomst på prenumerationsnivå eftersom detta inkluderar fullständig åtkomst till alla resurser i prenumerationen.
Administratörsroller
Om du vill ge användarna behörighet att hantera Azure Lab Services i din organisations prenumeration bör du tilldela dem rollen Ägare, Deltagare eller Lab Services-deltagare .
Tilldela dessa roller i resursgruppen. Labbplaner och labb i resursgruppen ärver dessa rolltilldelningar.
I följande tabell jämförs de olika administratörsrollerna när de tilldelas i resursgruppen.
Labbplan/labb | Aktivitet | Ägare | Deltagare | Lab Services-deltagare |
---|---|---|---|---|
Labbplan | Visa alla labbplaner i resursgruppen | Ja | Ja | Ja |
Labbplan | Skapa, ändra eller ta bort alla labbplaner i resursgruppen | Ja | Ja | Ja |
Labbplan | Tilldela roller till labbplaner i resursgruppen | Ja | Nej | Nej |
Labb | Skapa labb i resursgruppen** | Ja | Ja | Ja |
Labb | Visa andra användares labb i resursgruppen | Ja | Ja | Ja |
Labb | Ändra eller ta bort andra användares labb i resursgruppen | Ja | Ja | Nej |
Labb | Tilldela roller till andra användares labb i resursgruppen | Ja | Nej | Nej |
** Användare beviljas automatiskt behörighet att visa, ändra inställningar, ta bort och tilldela roller för de labb som de skapar.
Rollen Ägare
Tilldela rollen Ägare för att ge en användare fullständig kontroll för att skapa eller hantera labbplaner och labb och bevilja behörigheter till andra användare. När en användare har rollen Ägare i resursgruppen kan de utföra följande aktiviteter för alla resurser i resursgruppen:
- Tilldela roller till administratörer så att de kan hantera labbrelaterade resurser.
- Tilldela roller till labbchefer så att de kan skapa och hantera labb.
- Skapa labbplaner och labb.
- Visa, ta bort och ändra inställningar för alla labbplaner, inklusive att koppla eller koppla från beräkningsgalleriet och aktivera eller inaktivera Azure Marketplace och anpassade avbildningar i labbplaner.
- Visa, ta bort och ändra inställningar för alla labb.
Varning
När du tilldelar rollen Ägare eller Deltagare i resursgruppen gäller dessa behörigheter även för icke-labbrelaterade resurser som finns i resursgruppen. Till exempel resurser som virtuella nätverk, lagringskonton, beräkningsgallerier med mera.
Deltagarroll
Tilldela rollen Deltagare för att ge en användare fullständig kontroll för att skapa eller hantera labbplaner och labb i en resursgrupp. Rollen Deltagare har samma behörigheter som rollen Ägare, förutom :
- Utföra rolltilldelningar
Rollen Lab Services-deltagare
Lab Services-deltagaren är den mest restriktiva av administratörsrollerna. Tilldela rollen Lab Services-deltagare för att aktivera samma aktiviteter som rollen Ägare, förutom :
- Utföra rolltilldelningar
- Ändra eller ta bort andra användares labb
Kommentar
Rollen Lab Services-deltagare tillåter inte ändringar i resurser som inte är relaterade till Azure Lab Services. Å andra sidan tillåter deltagarrollen ändringar i alla Azure-resurser i resursgruppen.
Labbhanteringsroller
Använd följande roller för att ge användarna behörighet att skapa och hantera labb:
- Labbskapare
- Labbdeltagare
- Labbassistent
- Lab Services-läsare
De här labbhanteringsrollerna ger endast behörighet att visa labbplaner. De här rollerna tillåter inte att du skapar, ändrar, tar bort eller tilldelar roller till labbplaner. Dessutom kan användare med dessa roller inte koppla eller koppla från ett beräkningsgalleri och aktivera eller inaktivera avbildningar av virtuella datorer.
Rollen Labbskapare
Tilldela rollen Labbskapare för att ge en användare behörighet att skapa labb och ha fullständig kontroll över de labb som de skapar. De kan till exempel ändra sina labbinställningar, ta bort sina labb och till och med ge andra användare behörighet till sina labb.
Tilldela rollen Labbskapare för resursgruppen eller labbplanen.
I följande tabell jämförs rolltilldelningen Labbskapare för resursgruppen eller labbplanen.
Aktivitet | Resursgrupp | Labbplan |
---|---|---|
Skapa labb i resursgruppen** | Ja | Ja |
Visa labb som de har skapat | Ja | Ja |
Visa andra användares labb i resursgruppen | Ja | Nej |
Ändra eller ta bort labb som användaren skapade | Ja | Ja |
Ändra eller ta bort andra användares labb i resursgruppen | Nej | Nej |
Tilldela roller till andra användares labb i resursgruppen | Nej | Nej |
** Användare beviljas automatiskt behörighet att visa, ändra inställningar, ta bort och tilldela roller för de labb som de skapar.
Labbdeltagareroll
Tilldela rollen Labbdeltagare för att ge en användare behörighet att hantera ett befintligt labb.
Tilldela labbdeltagarerollen i labbet.
När du tilldelar labbdeltagarerollen i labbet kan användaren hantera det tilldelade labbet. Mer specifikt användaren:
- Kan visa, ändra alla inställningar eller ta bort det tilldelade labbet.
- Användaren kan inte visa andra användares labb.
- Det går inte att skapa nya labb.
Labbassistentroll
Tilldela labbassistentrollen för att ge en användare behörighet att visa ett labb och starta, stoppa och återskapa virtuella labbdatorer för labbet.
Tilldela rollen Labbassistent i resursgruppen eller labbet.
När du tilldelar rollen Labbassistent i resursgruppen ska användaren:
- Kan visa alla labb i resursgruppen och starta, stoppa eller återskapa virtuella labbdatorer för varje labb.
- Det går inte att ta bort eller göra andra ändringar i labbuppgifterna.
När du tilldelar labbassistentrollen i labbet ska användaren:
- Kan visa det tilldelade labbet och starta, stoppa eller återskapa virtuella labbdatorer.
- Det går inte att ta bort eller göra andra ändringar i labbet.
- Det går inte att skapa nya labb.
När du har rollen Labbassistent måste du välja filtret Alla labb på Azure Lab Services-webbplatsen om du vill visa andra labb som du har beviljats åtkomst till.
Rollen Lab Services-läsare
Tilldela rollen Lab Services-läsare för att ge en användare behörighet att visa befintliga labb. Användaren kan inte göra några ändringar i befintliga labb.
Tilldela rollen Lab Services-läsare i resursgruppen eller labbet.
När du tilldelar rollen Lab Services-läsare i resursgruppen kan användaren:
- Visa alla labb i resursgruppen.
När du tilldelar rollen Lab Services-läsare i labbet kan användaren:
- Visa endast det specifika labbet.
Identitets- och åtkomsthantering (IAM)
Sidan Åtkomstkontroll (IAM) i Azure-portalen används för att konfigurera rollbaserad åtkomstkontroll för Azure Lab Services-resurser. Du kan använda inbyggda roller för individer och grupper i Active Directory. Följande skärmbild visar Active Directory-integrering (Azure RBAC) med åtkomstkontroll (IAM) i Azure-portalen:
Läs mer om att tilldela roller i Tilldela Azure-roller via Azure Portal.
Resursgrupps- och labbplansstruktur
Din organisation bör investera tid i förväg för att planera strukturen för resursgrupper och labbplaner. Detta är särskilt viktigt när du tilldelar roller i resursgruppen eftersom den även tillämpar behörigheter för alla resurser i resursgruppen.
Så här ser du till att användarna endast beviljas behörighet till lämpliga resurser:
Skapa resursgrupper som bara innehåller labbrelaterade resurser.
Organisera labbplaner och labb i separata resursgrupper enligt de användare som ska ha åtkomst.
Du kan till exempel skapa separata resursgrupper för olika avdelningar för att isolera varje avdelnings labbresurser. Labbskapare på en avdelning kan sedan beviljas behörigheter för resursgruppen, vilket endast ger dem åtkomst till labbresurserna på deras avdelning.
Viktigt!
Planera resursgruppens och labbplanens struktur i förväg eftersom det inte går att flytta labbplaner eller labb till en annan resursgrupp när de har skapats.
Åtkomst till flera resursgrupper
Du kan ge användare åtkomst till flera resursgrupper. På Webbplatsen för Azure Lab Services kan användaren sedan välja från listan över resursgrupper för att visa sina labb.
Åtkomst till flera labbplaner
Du kan ge användare åtkomst till flera labbplaner. När du till exempel tilldelar rollen Labbskapare till en användare i en resursgrupp som innehåller mer än en labbplan. Användaren kan sedan välja från listan över labbplaner när du skapar ett nytt labb.