使用基于角色的访问控制管理 Azure Stack HCI 虚拟机
适用于:Azure Stack HCI 版本 23H2
本文介绍如何使用基于角色的 访问控制 (RBAC) 来控制对 Azure Stack HCI 群集上运行 (VM) Arc 虚拟机的访问。
可以使用内置的 RBAC 角色来控制对 VM 和 VM 资源(例如虚拟磁盘、网络接口、VM 映像、逻辑网络和存储路径)的访问。 可以将这些角色分配给用户、组、服务主体和托管标识。
重要
此功能目前处于预览状态。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Microsoft Azure 预览版的补充使用条款。
关于内置 RBAC 角色
若要控制对 Azure Stack HCI 上 VM 和 VM 资源的访问,可以使用以下 RBAC 角色:
- Azure Stack HCI 管理员 - 此角色授予对 Azure Stack HCI 群集及其资源的完全访问权限。 Azure Stack HCI 管理员可以注册群集,并将 Azure Stack HCI VM 参与者和 Azure Stack HCI VM 读取者角色分配给其他用户。 他们还可以创建群集共享资源,例如逻辑网络、VM 映像和存储路径。
- Azure Stack HCI VM 参与者 - 此角色授予执行所有 VM 操作(例如启动、停止、重启 VM)的权限。 Azure Stack HCI VM 参与者可以创建和删除 VM,以及附加到 VM 的资源和扩展。 Azure Stack HCI VM 参与者无法注册群集或将角色分配给其他用户,也无法创建群集共享资源,例如逻辑网络、VM 映像和存储路径。
- Azure Stack HCI VM 读取者 - 此角色授予仅查看 VM 的权限。 VM 读取器无法对 VM 或 VM 资源和扩展执行任何操作。
下表描述了每个角色为 VM 和各种 VM 资源授予的 VM 操作。 VM 资源是指创建 VM 所需的资源,包括虚拟磁盘、网络接口、VM 映像、逻辑网络和存储路径:
| 内置角色 | VM | VM 资源 |
|---|---|---|
| Azure Stack HCI 管理员 | 创建、列出、删除 VM 启动、停止、重启 VM |
创建、列出、删除所有 VM 资源,包括逻辑网络、VM 映像和存储路径 |
| Azure Stack HCI VM 参与者 | 创建、列出、删除 VM 启动、停止、重启 VM |
创建、列出、删除逻辑网络、VM 映像和存储路径以外的所有 VM 资源 |
| Azure Stack HCI VM 读取器 | 列出所有 VM | 列出所有 VM 资源 |
先决条件
在开始之前,请确保满足以下先决条件:
确保有权访问已部署和注册的 Azure Stack HCI 群集。 在部署期间,还会创建 Arc 资源网桥和自定义位置。
转到 Azure 中的资源组。 可以看到为 Azure Stack HCI 群集创建的自定义位置和 Azure Arc 资源网桥。 请记下订阅、资源组和自定义位置,稍后你会在本方案中使用这些信息。
确保你有权以所有者或用户访问管理员的身份访问 Azure 订阅,以便将角色分配给其他人。
向用户分配 RBAC 角色
可以通过Azure 门户向用户分配 RBAC 角色。 按照以下步骤向用户分配 RBAC 角色:
在 Azure 门户中,搜索授予访问权限的范围,例如搜索订阅、资源组或特定资源。 在此示例中,我们使用在其中部署 Azure Stack HCI 群集的订阅。
转到订阅,然后转到 访问控制 (IAM) > 角色分配。 在顶部命令栏中,选择“ + 添加” ,然后选择“ 添加角色分配”。
如果无权分配角色,则会禁用 “添加角色分配 ”选项。
在“ 角色 ”选项卡上,选择要分配的 RBAC 角色,并从以下内置角色之一中进行选择:
- Azure Stack HCI 管理员
- Azure Stack HCI VM 参与者
- Azure Stack HCI VM 读取器
在“ 成员 ”选项卡上,选择 “用户”、“组”或服务主体。 此外,选择一个成员来分配角色。
查看角色并分配它。
验证角色分配。 转到 访问控制 (IAM) > 检查访问权限 > 查看我的访问权限。 应会看到角色分配。
有关角色分配的详细信息,请参阅使用Azure 门户分配 Azure 角色。
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈