Använda rollbaserade Access Control för att hantera Azure Stack HCI-Virtual Machines

  • Artikel

Gäller för: Azure Stack HCI, version 23H2

Den här artikeln beskriver hur du använder rollbaserade Access Control (RBAC) för att styra åtkomsten till virtuella Arc-datorer som körs i ditt Azure Stack HCI-kluster.

Du kan använda de inbyggda RBAC-rollerna för att styra åtkomsten till virtuella datorer och VM-resurser, till exempel virtuella diskar, nätverksgränssnitt, VM-avbildningar, logiska nätverk och lagringssökvägar. Du kan tilldela dessa roller till användare, grupper, tjänstens huvudnamn och hanterade identiteter.

Viktigt

Den här funktionen är för närvarande i förhandsversion. Juridiska villkor för Azure-funktioner i betaversion, förhandsversion eller som av någon annan anledning inte har gjorts allmänt tillgängliga ännu finns i kompletterande användningsvillkor för Microsoft Azure-förhandsversioner.

Om inbyggda RBAC-roller

Om du vill styra åtkomsten till virtuella datorer och VM-resurser på din Azure Stack HCI kan du använda följande RBAC-roller:

  • Azure Stack HCI-administratör – Den här rollen ger fullständig åtkomst till ditt Azure Stack HCI-kluster och dess resurser. En Azure Stack HCI-administratör kan registrera klustret och tilldela azure Stack HCI VM-deltagare och Azure Stack HCI VM-läsarroller till andra användare. De kan också skapa klusterdelade resurser som logiska nätverk, VM-avbildningar och lagringssökvägar.
  • Azure Stack HCI VM-deltagare – Den här rollen ger behörighet att utföra alla VM-åtgärder, till exempel starta, stoppa och starta om de virtuella datorerna. En Azure Stack HCI VM-deltagare kan skapa och ta bort virtuella datorer, samt de resurser och tillägg som är kopplade till virtuella datorer. En Azure Stack HCI VM-deltagare kan inte registrera klustret eller tilldela roller till andra användare eller skapa klusterdelade resurser som logiska nätverk, VM-avbildningar och lagringssökvägar.
  • Azure Stack HCI VM Reader – Den här rollen ger behörighet att endast visa de virtuella datorerna. En VM-läsare kan inte utföra några åtgärder på de virtuella datorerna eller vm-resurserna och tilläggen.

Här är en tabell som beskriver de VM-åtgärder som beviljas av varje roll för de virtuella datorerna och de olika VM-resurserna. Vm-resurserna refereras till resurser som krävs för att skapa en virtuell dator och omfattar virtuella diskar, nätverksgränssnitt, VM-avbildningar, logiska nätverk och lagringssökvägar:

Inbyggd roll Virtuella datorer VM-resurser
Azure Stack HCI-administratör Skapa, lista, ta bort virtuella datorer

Starta, stoppa, starta om virtuella datorer		 Skapa, lista, ta bort alla VM-resurser, inklusive logiska nätverk, VM-avbildningar och lagringssökvägar
Azure Stack HCI VM-deltagare Skapa, lista, ta bort virtuella datorer

Starta, stoppa, starta om virtuella datorer		 Skapa, lista, ta bort alla VM-resurser utom logiska nätverk, VM-avbildningar och lagringssökvägar
Azure Stack HCI VM-läsare Visa en lista över alla virtuella datorer Visa en lista över alla VM-resurser

Förutsättningar

Innan du börjar måste du uppfylla följande krav:

  1. Kontrollera att du har åtkomst till ett Azure Stack HCI-kluster som distribueras och registreras. Under distributionen skapas också en Arc-resursbrygga och en anpassad plats.

    Gå till resursgruppen i Azure. Du kan se den anpassade platsen och Azure Arc Resource Bridge som skapats för Azure Stack HCI-klustret. Anteckna prenumerationen, resursgruppen och den anpassade platsen när du använder dem senare i det här scenariot.

  2. Kontrollera att du har åtkomst till Azure-prenumerationen som ägare eller administratör för användaråtkomst för att tilldela roller till andra.

Tilldela RBAC-roller till användare

Du kan tilldela RBAC-roller till användare via Azure Portal. Följ dessa steg för att tilldela RBAC-roller till användare:

  1. I Azure-portalen söker du efter det omfång som du vill bevilja åtkomst till, till exempel söka efter prenumerationer, resursgrupper eller en specifik resurs. I det här exemplet använder vi prenumerationen där Azure Stack HCI-klustret distribueras.

  2. Gå till din prenumeration och gå sedan till Rolltilldelningar för åtkomstkontroll (IAM). > I det översta kommandofältet väljer du + Lägg till och sedan Lägg till rolltilldelning.

    Om du inte har behörighet att tilldela roller inaktiveras alternativet Lägg till rolltilldelning .

    Skärmbild som visar RBAC-rolltilldelning i Azure Portal för ditt Azure Stack HCI-kluster.

  3. På fliken Roll väljer du en RBAC-roll att tilldela och väljer någon av följande inbyggda roller:

    • Azure Stack HCI-administratör
    • Azure Stack HCI VM-deltagare
    • Azure Stack HCI VM-läsare

    Skärmbild som visar fliken Roll under RBAC-rolltilldelning i Azure Portal för ditt Azure Stack HCI-kluster.

  4. På fliken Medlemmar väljer du användaren, gruppen eller tjänstens huvudnamn. Välj också en medlem för att tilldela rollen.

    Skärmbild som visar fliken Medlemmar under rolltilldelningen i Azure Portal för ditt Azure Stack HCI-kluster.

  5. Granska rollen och tilldela den.

    Skärmbild som visar fliken Granska + tilldela under rolltilldelning i Azure Portal för ditt Azure Stack HCI-kluster.

  6. Verifiera rolltilldelningen. Gå till Åtkomstkontroll (IAM) > Kontrollera åtkomst > Visa min åtkomst. Du bör se rolltilldelningen.

    Skärmbild som visar den nyligen tilldelade rollen i Azure Portal för ditt Azure Stack HCI-kluster.

Mer information om rolltilldelning finns i Tilldela Azure-roller med hjälp av Azure Portal.

Nästa steg