Resurser, roller och åtkomstkontroll i Application Insights
Du kan styra vem som har läst och uppdaterat åtkomsten till dina data i Application Insights med hjälp av rollbaserad åtkomstkontroll i Azure (Azure RBAC).
Viktigt!
Tilldela åtkomst till användare i resursgruppen eller prenumerationen som programresursen tillhör, inte i själva resursen. Tilldela rollen Application Insights-komponentdeltagare. Den här rollen säkerställer en enhetlig kontroll av åtkomst till webbtester och aviseringar tillsammans med programresursen. Läs mer.
Kommentar
Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.
Resurser, grupper och prenumerationer
Först ska vi definiera några termer:
Resurs: En instans av en Azure-tjänst. Application Insights-resursen samlar in, analyserar och visar telemetridata som skickas från ditt program. Andra typer av Azure-resurser är webbappar, databaser och virtuella datorer.
Om du vill se dina resurser öppnar du Azure-portalen, loggar in och väljer Alla resurser. Om du vill hitta en resurs anger du en del av namnet i filterfältet.
- Resursgrupp: Varje resurs tillhör en grupp. En grupp är ett praktiskt sätt att hantera relaterade resurser, särskilt för åtkomstkontroll. I en resursgrupp kan du till exempel placera en webbapp, en Application Insights-resurs för att övervaka appen och en Azure Storage-resurs för att behålla exporterade data.
- Prenumeration: Om du vill använda Application Insights eller andra Azure-resurser loggar du in på en Azure-prenumeration. Varje resursgrupp tillhör en Azure-prenumeration, där du väljer ditt prispaket. Om det är en organisationsprenumeration kan ägaren välja medlemmar och deras åtkomstbehörigheter.
- Microsoft-konto: Användarnamnet och lösenordet som du använder för att logga in på Azure-prenumerationer, Xbox Live, Outlook.com och andra Microsoft-tjänster.
Kontrollera åtkomsten i resursgruppen
Tillsammans med den resurs som du skapade för ditt program finns det även separata dolda resurser för aviseringar och webbtester. De är kopplade till samma resursgrupp som din Application Insights-resurs. Du kan också ha placerat in andra Azure-tjänster där, till exempel webbplatser eller lagring.
Ge åtkomst till en annan användare
Du måste ha ägarrättigheter till prenumerationen eller resursgruppen.
Användaren måste ha ett Microsoft-konto eller åtkomst till sitt organisations Microsoft-konto. Du kan ge åtkomst till enskilda användare och även till användargrupper som definierats i Microsoft Entra-ID.
Gå till en resursgrupp eller direkt till själva resursen
Tilldela rollen Deltagare till Azure RBAC.
Detaljerade steg finns i Tilldela Azure-roller med hjälp av Azure-portalen.
Välj en roll
I förekommande fall ansluter länken till den tillhörande officiella referensdokumentationen.
| Roll | I resursgruppen |
|---|---|
| Ägare | Kan ändra vad som helst, inklusive användaråtkomst. |
| Deltagare | Kan redigera vad som helst, inklusive alla resurser. |
| Application Insights-komponentdeltagare | Kan redigera Application Insights-resurser. |
| Läsare | Kan visa men inte ändra något. |
| Application Insights Snapshot Debugger | Ger användaren behörighet att använda Application Insights Snapshot Debugger-funktioner. Den här rollen ingår inte i rollerna Ägare eller Deltagare. |
| Azure Service Deploy Release Management-deltagare | Deltagarroll för tjänster som distribueras via Azure Service Deploy. |
| Datarensning | Särskild roll för att rensa personliga data. Mer information finns i Hantera personliga data i Log Analytics och Application Insights. |
| Azure ExpressRoute-administratör | Kan skapa, ta bort och hantera expressvägar. |
| Log Analytics-deltagare | Log Analytics-deltagare kan läsa alla övervakningsdata och redigera övervakningsinställningar. Redigering av övervakningsinställningar omfattar att lägga till VM-tillägget till virtuella datorer, läsa lagringskontonycklar för att kunna konfigurera insamling av loggar från Azure Storage, skapa och konfigurera Automation-konton, lägga till lösningar och konfigurera Azure-diagnostik på alla Azure-resurser. Om du har problem med att konfigurera Din Azure-diagnostik kan du läsa Azure-diagnostik. |
| Log Analytics-läsare | Log Analytics Reader kan visa och söka efter alla övervakningsdata och visa övervakningsinställningar, inklusive att visa konfigurationen av Azure-diagnostik på alla Azure-resurser. Om du har problem med att konfigurera Din Azure-diagnostik kan du läsa Azure-diagnostik. |
| masterreader | Tillåter att en användare visar allt men inte gör ändringar. |
| Övervakningsdeltagare | Kan läsa alla övervakningsdata och uppdatera övervakningsinställningar. |
| Utgivare av övervakningsmått | Aktiverar publiceringsmått mot Azure-resurser. |
| Övervakningsläsare | Kan läsa alla övervakningsdata. |
| Resursprincipdeltagare (förhandsversion) | Ifyllda användare från företagsavtal, med behörighet att skapa/ändra resursprincip, skapa supportärenden och läsa resurs/hierarki. |
| Administratör för användaråtkomst | Tillåter att en användare hanterar åtkomst för andra användare till Azure-resurser. |
| Webbplatsdeltagare | Låter dig hantera webbplatser (inte webbplaner) men inte åtkomst till dem. |
Redigering omfattar att skapa, ta bort och uppdatera:
- Resurser
- Webbtester
- Aviseringar
- Löpande export
Välj användaren
Om användaren du vill använda inte finns i katalogen kan du bjuda in vem som helst med ett Microsoft-konto. Om de använder tjänster som Outlook.com, OneDrive, Windows Telefon eller Xbox Live har de ett Microsoft-konto.
Relaterat innehåll
Se artikeln Rollbaserad åtkomstkontroll i Azure (Azure RBAC).
PowerShell-fråga för att fastställa rollmedlemskap
Eftersom vissa roller kan länkas till meddelanden och e-postaviseringar kan det vara bra att kunna generera en lista över användare som tillhör en viss roll. För att hjälpa till med att generera dessa typer av listor kan följande exempelfrågor justeras så att de passar dina specifika behov.
Fråga hela prenumerationen om administratörsroller + deltagarroller
(Get-AzRoleAssignment -IncludeClassicAdministrators | Where-Object {$_.RoleDefinitionName -in @('ServiceAdministrator', 'CoAdministrator', 'Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Fråga i kontexten för en specifik Application Insights-resurs för ägare och deltagare
$resourceGroup = "RGNAME"
$resourceName = "AppInsightsName"
$resourceType = "microsoft.insights/components"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup -ResourceType $resourceType -ResourceName $resourceName | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Fråga i kontexten för en specifik resursgrupp för ägare och deltagare
$resourceGroup = "RGNAME"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "