Hantera åtkomst till resurser i Azure Stack Hub med rollbaserad åtkomstkontroll
Azure Stack Hub stöder rollbaserad åtkomstkontroll (RBAC), samma säkerhetsmodell för åtkomsthantering som Microsoft Azure använder. Du kan använda RBAC för att hantera användar-, grupp- eller appåtkomst till prenumerationer, resurser och tjänster.
Grunderna i åtkomsthantering
Rollbaserad åtkomstkontroll (RBAC) ger detaljerad åtkomstkontroll som du kan använda för att skydda din miljö. Du ger användarna de exakta behörigheter de behöver genom att tilldela en RBAC-roll i ett visst omfång. Rolltilldelningens omfång kan vara en prenumeration, en resursgrupp eller en enskild resurs. Mer detaljerad information om åtkomsthantering finns i rollbaserad Access Control i artikeln Azure Portal.
Anteckning
När Azure Stack Hub distribueras med hjälp av Active Directory Federation Services (AD FS) som identitetsprovider stöds endast Universell Grupper för RBAC-scenarier.
Inbyggda roller
Azure Stack Hub har tre grundläggande roller som du kan använda för alla resurstyper:
- Ägare: Ger fullständig åtkomst för att hantera alla resurser, inklusive möjligheten att tilldela roller i Azure Stack RBAC.
- Deltagare: Ger fullständig åtkomst för att hantera alla resurser, men tillåter inte att du tilldelar roller i Azure Stack RBAC.
- Läsare: kan visa allt, men kan inte göra några ändringar.
Resurshierarki och arv
Azure Stack Hub har följande resurshierarki:
- Varje prenumeration tillhör en katalog.
- Varje resursgrupp tillhör en prenumeration.
- Varje resurs tillhör en resursgrupp.
Åtkomst som du beviljar i ett överordnat omfång ärvs i underordnade omfång. Exempel:
- Du tilldelar rollen Läsare till en Microsoft Entra grupp i prenumerationsomfånget. Medlemmarna i den gruppen kan visa alla resursgrupper och resurser i prenumerationen.
- Du tilldelar rollen Deltagare till en app i resursgruppens omfång. Appen kan hantera resurser av alla typer i den resursgruppen, men inte andra resursgrupper i prenumerationen.
Tilldelar roller
Du kan tilldela mer än en roll till en användare och varje roll kan associeras med ett annat omfång. Exempel:
- Du tilldelar Rollen TestUser-A Läsare till Subscription-1.
- Du tilldelar Rollen TestUser-A ägare till TestVM-1.
Artikeln om Azure-rolltilldelningar innehåller detaljerad information om hur du visar, tilldelar och tar bort roller.
Ange åtkomstbehörigheter för en användare
Följande steg beskriver hur du konfigurerar behörigheter för en användare.
Logga in med ett konto som har ägarbehörighet till den resurs som du vill hantera.
Välj Resursgrupper i det vänstra navigeringsfönstret.
Välj namnet på den resursgrupp som du vill ange behörigheter för.
Välj Åtkomstkontroll (IAM) i navigeringsfönstret för resursgruppen.
I vyn Rolltilldelningar visas de objekt som har åtkomst till resursgruppen. Du kan filtrera och gruppera resultaten.På menyraden Åtkomstkontroll väljer du Lägg till.
I fönstret Lägg till behörigheter :
- Välj den roll som du vill tilldela från listrutan Roll .
- Välj den resurs som du vill tilldela från listrutan Tilldela åtkomst till .
- Välj den användare, grupp eller app i din katalog som du vill bevilja åtkomst till. Du kan söka i katalogen med visningsnamn, e-postadresser och objektidentifierare.
Välj Spara.