Förstå rollbaserad åtkomst till din Azure Quantum-arbetsyta
Lär dig mer om de olika säkerhetsobjekt och roller som du kan använda för att hantera åtkomsten till din Azure Quantum-arbetsyta.
Azure rollbaserad åtkomstkontroll
Rollbaserad åtkomstkontroll i Azure (Azure RBAC) är det auktoriseringssystem som du använder för att hantera åtkomst till Azure-resurser, till exempel en arbetsyta. Om du vill bevilja åtkomst tilldelar du roller till ett säkerhetsobjekt.
Säkerhetsobjekt
Ett säkerhetsobjekt är ett objekt som representerar en användare, grupp, tjänstens huvudnamn eller hanterad identitet.
| Säkerhetsobjekt | Definition |
|---|---|
| User | Ett användarkonto som loggar in på Azure för att skapa, hantera och använda resurser. |
| Grupp | En grupp användare. Används för att hantera användare som behöver samma åtkomst och behörigheter till resurser. |
| Tjänstens huvud | En användaridentitet för ett program, en tjänst eller en plattform som behöver åtkomst till resurser. |
| Hanterade identiteter | En automatiskt hanterad identitet i Azure Active Directory (Azure AD) för program som ska användas vid anslutning till resurser som stöder Azure AD-autentisering. |
Roll
När du beviljar åtkomst till ett säkerhetsobjekt tilldelar du en inbyggd roll eller skapar en anpassad roll. De vanligaste inbyggda rollerna är Ägare, Deltagare och Läsare.
| Roll | Åtkomstnivå |
|---|---|
| Ägare | Ger fullständig åtkomst för att hantera alla resurser, inklusive möjligheten att tilldela roller i Azure RBAC. |
| Deltagare | Ger fullständig åtkomst för att hantera alla resurser, men tillåter inte att du tilldelar roller i Azure RBAC. |
| Läsare | Visa alla resurser, men tillåter inte att du gör några ändringar. |
Omfattning
Roller tilldelas i ett visst omfång. Omfång är den uppsättning resurser som åtkomsten som gäller för. Omfång är strukturerade i en överordnad/underordnad relation. Varje hierarkinivå gör omfånget mer specifikt. Den nivå du väljer avgör hur mycket rollen tillämpas. Lägre nivåer ärver rollbehörigheter från högre nivåer. Du kan tilldela roller på fyra omfångsnivåer: hanteringsgrupp, prenumeration, resursgrupp eller resurs.
| Scope | beskrivning |
|---|---|
| Hanteringsgrupp | Hjälper dig att hantera åtkomst, principer och efterlevnad för flera prenumerationer. Alla prenumerationer i en hanteringsgrupp ärver automatiskt de villkor som tillämpas på hanteringsgruppen. Du kan behöva en hanteringsgrupp om din organisation har flera prenumerationer. |
| Prenumeration | Kopplar logiskt användarkonton till de resurser som de skapar. Ett användarkonto är en användaridentitet och en eller flera prenumerationer. En prenumeration representerar en gruppering av Azure-resurser. En faktura genereras i prenumerationsomfånget. Du måste ha ett konto med en aktiv prenumeration för att skapa Azure-resurser. Prenumerationsalternativ finns i Skapa en Azure Quantum-arbetsyta. |
| Resursgrupp | En behållare för relaterade resurser i en Azure-lösning. En resursgrupp innehåller de resurser du vill hantera som en grupp. Följande resurser krävs till exempel för att köra program i Azure Quantum:
|
| Resurs | En instans av en tjänst som du kan skapa, till exempel en arbetsyta eller ett lagringskonto. |
Kommentar
Eftersom åtkomst kan begränsas till flera nivåer i Azure kan en användare ha olika roller på varje nivå. Till exempel kanske någon med ägaråtkomst till en arbetsyta inte har ägaråtkomst till den resursgrupp som innehåller arbetsytan.
Rollkrav för att skapa en arbetsyta
När du skapar en ny arbetsyta väljer du först en prenumeration, resursgrupp och ett lagringskonto som ska associeras med arbetsytan. Din möjlighet att skapa en arbetsyta beror på vilka åtkomstnivåer du har, med början i prenumerationsomfånget. Information om hur du visar din auktorisering för olika resurser finns i Kontrollera dina rolltilldelningar.
Prenumerationsägare
Prenumerationsägare kan skapa arbetsytor med hjälp av alternativen Snabbskapning eller Avancerad skapande . Du kan antingen välja en resursgrupp och ett lagringskonto som redan finns under prenumerationen eller skapa nya. Du har också möjlighet att tilldela roller till andra användare.
Prenumerationsdeltagare
Prenumerationsdeltagare kan skapa arbetsytor med alternativet Avancerad skapande .
Om du vill skapa ett nytt lagringskonto måste du välja en befintlig resursgrupp som du äger.
Om du vill välja ett befintligt lagringskonto måste du vara ägare till lagringskontot. Du måste också välja den befintliga resursgrupp som lagringskontot tillhör.
Prenumerationsdeltagare kan inte tilldela roller till andra.
Prenumerationsläsare
Prenumerationsläsare kan inte skapa arbetsytor. Du kan visa alla resurser som skapats under prenumerationen, men du kan inte göra några ändringar eller tilldela roller.
Kontrollera dina rolltilldelningar
Kontrollera dina prenumerationer
Så här visar du en lista över dina prenumerationer och associerade roller:
- Logga in på Azure-portalen.
- Under rubriken Azure-tjänster väljer du Prenumerationer. Om du inte ser Prenumerationer här använder du sökrutan för att hitta den.
- Filtret Prenumerationer bredvid sökrutan kan som standard vara Prenumerationer == globalt filter. Om du vill se en lista över alla dina prenumerationer väljer du filtret Prenumerationer och avmarkerar "Välj endast prenumerationer som valts i..." låda. Välj därefter Tillämpa. Filtret bör sedan visa Prenumerationer == alla.
Kontrollera dina resurser
Information om vilken rolltilldelning du eller en annan användare har för en viss resurs finns i Kontrollera åtkomsten för en användare till Azure-resurser.
Tilldela roller
Om du vill lägga till nya användare i en arbetsyta måste du vara ägare till arbetsytan. Information om hur du beviljar åtkomst till 10 eller färre användare till din arbetsyta finns i Dela åtkomst till din Azure Quantum-arbetsyta. Information om hur du beviljar åtkomst till fler än 10 användare finns i Lägga till en grupp på din Azure Quantum-arbetsyta.
Information om hur du tilldelar roller för alla resurser i alla omfång, inklusive prenumerationsnivå, finns i Tilldela Azure-roller med hjälp av Azure-portalen.
Felsökning
När du skapar en resurs i Azure, till exempel en arbetsyta, är du inte direkt ägare till resursen. Din roll ärvs från den högsta omfångsrollen som du har behörighet mot i den prenumerationen.
Det kan ibland ta upp till en timme innan nya rolltilldelningar börjar gälla över cachelagrade behörigheter i stacken.
Lösningar på vanliga problem finns i Felsöka Azure Quantum: Skapa en Azure Quantum-arbetsyta.