使用基于角色的访问控制管理 Azure Stack HCI 虚拟机
适用于:Azure Stack HCI 版本 23H2
本文介绍如何使用基于角色的访问控制(RBAC)来控制对 Azure Stack HCI 群集上运行的 Arc 虚拟机(VM)的访问。
可以使用内置的 RBAC 角色来控制对 VM 和 VM 资源的访问,例如虚拟磁盘、网络接口、VM 映像、逻辑网络和存储路径。 可以将这些角色分配给用户、组、服务主体和托管标识。
重要
此功能目前处于预览状态。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Microsoft Azure 预览版的补充使用条款。
关于内置 RBAC 角色
若要控制对 Azure Stack HCI 上的 VM 和 VM 资源的访问,可以使用以下 RBAC 角色:
- Azure Stack HCI 管理员 - 此角色授予对 Azure Stack HCI 群集及其资源的完全访问权限。 Azure Stack HCI 管理员可以注册群集,并向其他用户分配 Azure Stack HCI VM 参与者和 Azure Stack HCI VM 读取者角色。 它们还可以创建群集共享资源,例如逻辑网络、VM 映像和存储路径。
- Azure Stack HCI VM 参与者 - 此角色授予执行所有 VM 操作(例如启动、停止、重启 VM)的权限。 Azure Stack HCI VM 参与者可以创建和删除 VM,以及附加到 VM 的资源和扩展。 Azure Stack HCI VM 参与者无法注册群集或将角色分配给其他用户,也不能创建群集共享的资源,例如逻辑网络、VM 映像和存储路径。
- Azure Stack HCI VM 读取者 - 此角色授予仅查看 VM 的权限。 VM 读取器不能对 VM 或 VM 资源和扩展执行任何操作。
下表描述了 VM 和各种 VM 资源的每个角色授予的 VM 操作。 VM 资源是指创建 VM 所需的资源,包括虚拟磁盘、网络接口、VM 映像、逻辑网络和存储路径:
| 内置角色 | VM | VM 资源 |
|---|---|---|
| Azure Stack HCI 管理员 | 创建、列出、删除 VM 启动、停止、重启 VM |
创建、列出、删除所有 VM 资源,包括逻辑网络、VM 映像和存储路径 |
| Azure Stack HCI VM 参与者 | 创建、列出、删除 VM 启动、停止、重启 VM |
创建、列出、删除除逻辑网络、VM 映像和存储路径之外的所有 VM 资源 |
| Azure Stack HCI VM 读者 | 列出所有 VM | 列出所有 VM 资源 |
先决条件
在开始之前,请确保满足以下先决条件:
确保完成 Azure Stack HCI 群集要求。
确保有权以所有者或用户访问管理员身份访问 Azure 订阅,以将角色分配给其他人。
向用户分配 RBAC 角色
可以通过Azure 门户向用户分配 RBAC 角色。 按照以下步骤向用户分配 RBAC 角色:
在Azure 门户中,搜索要授予访问权限的范围,例如搜索订阅、资源组或特定资源。 在此示例中,我们使用在其中部署 Azure Stack HCI 群集的订阅。
转到订阅,然后转到 访问控制(IAM) > 角色分配。 在顶部命令栏中,选择“ + 添加 ”,然后选择“ 添加角色分配”。
如果没有分配角色的权限, 将禁用“添加角色分配 ”选项。
在“角色”选项卡上,选择要分配的 RBAC 角色,并从以下内置角色之一中进行选择:
- Azure Stack HCI 管理员
- Azure Stack HCI VM 参与者
- Azure Stack HCI VM 读者
在 “成员 ”选项卡上,选择 “用户”、“组”或服务主体。 此外,选择一个成员来分配角色。
查看角色并为其分配。
验证角色分配。 转到访问控制(IAM)>检查访问视图我的访问权限>。 应会看到角色分配。
有关角色分配的详细信息,请参阅使用Azure 门户分配 Azure 角色。
后续步骤
- 为 Azure Stack HCI VM 创建存储路径。