Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Her aracı, yanında otomatik olarak oluşturulan , kullanıcı tarafından atanan bir yönetilen kimliğe (UAMI) sahiptir. Aracınız, Azure kaynaklarınızın kimliğini doğrulamak ve bunlarla etkileşime geçmek için bu UAMI'yi kullanır. Gizli bilgileri veya kimlik bilgilerini yönetmenize gerek kalmadan sizin yerinize hareket eder.
İzin düzeyleri
Aracı oluşturma sırasında, seçtiğiniz kaynak gruplarında UAMI'ye hangi RBAC rollerinin atandığını belirleyen bir izin düzeyi seçersiniz.
| Seviye | Ne verir? | En iyi kullanım alanı: |
|---|---|---|
| Reader | Çekirdek izleme rolleri + kaynak türüne özgü okuyucu rolleri | Salt okunur tanılar. Aracı, işlem yapması gerektiğinde sistemden geçici yükseltme izni (OBO aracılığıyla) talep eder. |
| Ayrıcalıklı | Çekirdek izleme rolleri + kaynak türüne özgü katkıda bulunan rolleri | Tam operasyonel erişim. Onaylanan eylemleri doğrudan ajan gerçekleştirebilir. |
Önceden yapılandırılmış roller (her zaman atanır)
Seçtiğiniz düzeyden bağımsız olarak aşağıdaki roller her zaman atanır.
| Rol | Scope | Ne yapmasına izin veriyor |
|---|---|---|
| Reader | Kaynak Grubu | Kaynakları ve özellikleri görüntüleme |
| Log Analytics Okuyucusu | Kaynak Grubu | Sorgu günlükleri ve çalışma alanları |
| İzleme Okuyucusu | Kaynak Grubu | Ölçümlere ve izleme verilerine erişme |
| Katkı Sağlayıcıyı İzleme | Subscription | Azure İzleyici uyarılarını ve güncelleştirme izleme ayarlarını onaylama ve kapatma |
Uyarı
Aracı oluşturma sırasında temsilcinizin Azure İzleyici uyarı yaşam döngüsünü yönetebilmesi (onay verin, kapatın) için İzleme Katkıda Bulunanı rolünü abonelik düzeyinde atayın.
Ayrıcalıklı’yı seçerseniz, aracı yönetilen kaynak gruplarınızda algıladığı kaynak türlerine göre ek katkıda bulunan rolleri alır (örneğin, kaynak grubu Azure Container Apps kaynakları içeriyorsa Kapsayıcı Uygulama Katkıda Bulunanı).
Varsayılan durum
Aracı oluştururken kaynak gruplarını atamazsanız, yönetilen kimliğin herhangi bir izni olmaz. Ajanın herhangi bir şey yapabilmesi için açıkça erişim vermelisiniz.
Kaynaklara erişim izni verme
Ajanınıza kaynak gruplarını atayın ve ardından yönetilen kimliğe RBAC rolleri tanımlayın.
# Grant Reader access to a resource group (view resources, query logs)
az role assignment create \
--assignee <AGENT_MANAGED_IDENTITY_ID> \
--role Reader \
--scope /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP_NAME>
# Grant Reader access to entire subscription (for broader visibility)
az role assignment create \
--assignee <AGENT_MANAGED_IDENTITY_ID> \
--role Reader \
--scope /subscriptions/<SUBSCRIPTION_ID>
# Grant Contributor access to a resource group (modify resources)
az role assignment create \
--assignee <AGENT_MANAGED_IDENTITY_ID> \
--role Contributor \
--scope /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP_NAME>
Tip
Birden çok kaynak grubu arasında salt okunur erişim için, kaynak grubu yerine abonelik düzeyinde Okuyucu atayın. Yazma erişimi için kaynak grubu düzeyinde belirli roller atayın. Aracınızın yönetilen kimlik kimliğini bulmak için aracı portalına gidin (Ayarlar>Azure ayarları>Kimlik'e git). Kapsayıcı Uygulaması kaynağına gidip Kimlik'i seçerek ve Nesne (sorumlu) kimliğini kopyalayarak da doğrudan Azure portalında bulabilirsiniz.
İzinleri değiştir
Yönetilen kaynak gruplarında IAM ayarlarını güncelleştirerek UAMI'nin izinlerini istediğiniz zaman ayarlayabilirsiniz.
- Daha fazla erişim verin: Kaynak grubunun IAM ayarlarına rol atamaları ekleyin.
- Kaynak grubu ekleyin: Ajanın kapsamına bir kaynak grubu eklemek, UAMI'nin rollerini otomatik olarak ona atar.
- Kaynak grubunu kaldırma: Bir kaynak grubunun kaldırılması, bu gruba tüm erişimi iptal eder.
Uyarı
Tek tek izinleri, yalnızca kaynak gruplarının tamamını kaldıramazsınız.
İzin akışı
Temsilcinizin bir eylem gerçekleştirmesi gerektiğinde, belirli bir izin akışını izler.
Bu akış, etkileşimli sohbet, olay konuları, zamanlanmış çalıştırmalar ve otonom işlemler dahil olmak üzere, aracının yaptığı her şey için geçerlidir.
Başkasının Adına (OBO)
Yönetilen kimlik bir eylem için izinlere sahip olmadığında, aracı izinlerinizi geçici olarak vekalet akışı aracılığıyla kullanabilir. Okuyucu izin düzeyini seçtiyseniz bu durum özellikle yaygındır. Aracı, okuma erişimine sahiptir, ancak yazma işlemleri yapmak için kimlik bilgilerinize ihtiyaç duyar.
Uyarı
OBO isteklerini yalnızca SRE Aracısı Yöneticisi rolüne sahip kullanıcılar yetkileyebilir. Standart kullanıcılar OBO yetkilendirmesi sağlayamaz. Kişisel Microsoft hesapları, rolden bağımsız olarak OBO'ya yetki veremiyor. Yalnızca iş veya okul (Microsoft Entra ID) hesapları adına belirteç değişimini destekler. Daha fazla bilgi için bkz . Kullanıcı rolleri ve izinleri.
Example
Aracıdan bir kapsayıcı uygulamasını ölçeklendirmesini istiyorsunuz, ancak yönetilen kimliğin yazma izinleri yok.
Temsilci, eylemi tamamlamak için kimlik bilgilerinizi kullanarak yetkilendirmenizi talep eder. İzinleriniz korunmaz, bunun yerine aracı işlem tamamlandıktan sonra yönetilen kimliğini kullanmaya döner.
OBO kullandığınızda
| Scenario | Ne olur? |
|---|---|
| Okuyucu seviyesinde ajanın harekete geçmesi gerekiyor | Bir aracı Okuyucu izinlerine sahiptir, ancak kullanıcı bir hizmeti yeniden başlatmasını talep eder. Aracı Yönetici yetkilendirmesi istemektedir. |
| Otonom olay yanıtı | Aracın düzeltme yapması için tetiklenir, ancak yönetilen kimlik yalnızca Okuyucu yetkisine sahiptir. Aracı Yönetici yetkilendirmesi istemektedir. |
| Tek seferlik ayrıcalıklı işlem | Yöneticinin aracının sahip olmadığı izinlere sahip olduğu etkileşimli oturumlar. |
| Kişisel hesap kullanıcısı | OBO yetkilendirmesi kullanılamıyor. Bunun yerine iş veya okul hesabı olan bir Yöneticinin yetki vermesi gerekir. |
İlgili içerik
| Kaynak | Neden önemlidir? |
|---|---|
| Kullanıcı rolleri ve izinleri | Kullanıcıların aracıyla yapabilecekleri |
| Çalıştırma modları | Aracı onayları nasıl işler? |
| Aracı eylemlerini denetleme | Ajanın izinleriyle ne yaptığını denetle |