Azure 基于角色的访问控制 (Azure RBAC) 是在 Azure 资源管理器基础上构建的授权系统,针对 Azure 资源提供精细的访问权限管理。
借助 Azure RBAC 模型,用户可以在不同的范围级别上设置权限:管理组、订阅、资源组或单个资源。 用于密钥保管库的 Azure RBAC 还允许用户对单个密钥、机密和证书拥有单独的权限。
有关详细信息,请参阅 Azure 基于角色的访问控制 (Azure RBAC)。
Operator Nexus 内置角色
Azure 运营商关系提供以下内置角色。
注释
预览版角色可能会有变化。
Operator Nexus 计算参与者角色(预览版)
具有此角色的用户可以拥有管理和配置 Nexus 资源的完全访问权限,包括创建、修改和删除与 Nexus 基础结构相关的资源。
| 行动 | Description |
|---|---|
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.ExtendedLocation/customLocations/deploy/action | 部署自定义位置资源的权限 |
| Microsoft.ExtendedLocation/customLocations/read | 获取自定义位置资源 |
| Microsoft.HybridCompute/machines/extensions/read | 读取任何 Azure Arc 扩展 |
| Microsoft.HybridCompute/machines/read | 读取任何 Azure Arc 计算机 |
| Microsoft.Insights/alertRules/* | 创建和管理经典指标警报 |
| Microsoft.Kubernetes/connectedClusters/read | 读取 connectedClusters |
| Microsoft.KubernetesConfiguration/extensions/read | 获取扩展实例资源 |
| Microsoft.ManagedNetworkFabric/networkFabricControllers/join/action | Network Fabric Controller 资源的联接操作。 |
| Microsoft.ManagedNetworkFabric/networkFabrics/join/action | Network Fabric 资源的联接操作。 |
| Microsoft.ManagedNetworkFabric/networkRacks/join/action | 网络机架资源的联接操作。 |
| Microsoft.NetworkCloud/bareMetalMachines/cordon/action | 封锁提供的裸机计算机的 Kubernetes 节点 |
| Microsoft.NetworkCloud/bareMetalMachines/delete | 删除提供的裸机计算机。 所有客户发起的请求都将被拒绝,因为此资源的生命周期由系统管理。 |
| Microsoft.NetworkCloud/bareMetalMachines/powerOff/action | 关闭提供的裸机计算机 |
| Microsoft.NetworkCloud/bareMetalMachines/read | 获取提供的裸机计算机的属性 |
| Microsoft.NetworkCloud/bareMetalMachines/reimage/action | 重置提供的裸机计算机的映像 |
| Microsoft.NetworkCloud/bareMetalMachines/replace/action | 替换提供的裸机计算机 |
| Microsoft.NetworkCloud/bareMetalMachines/restart/action | 重启提供的裸机计算机 |
| Microsoft.NetworkCloud/bareMetalMachines/runDataExtracts/action | 在提供的裸机计算机上运行一个或多个数据提取。 |
| Microsoft.NetworkCloud/bareMetalMachines/runDataExtractsRestricted/action | 在提供的裸金属服务器上进行一个或多个受限的数据提取。 |
| Microsoft.NetworkCloud/bareMetalMachines/runReadCommands/action | 在提供的裸机计算机上运行一个或多个只读命令。 |
| Microsoft.NetworkCloud/bareMetalMachines/start/action | 启动提供的裸机计算机 |
| Microsoft.NetworkCloud/bareMetalMachines/uncordon/action | 取消封锁提供的裸机计算机的 Kubernetes 节点 |
| Microsoft.NetworkCloud/bareMetalMachines/write | 创建新的裸机计算机或更新现有裸机计算机的属性。 在资源的生命周期内,所有客户发起的请求都将被拒绝。 |
| Microsoft.NetworkCloud/clusterManagers/delete | 删除提供的群集管理器 |
| Microsoft.NetworkCloud/clusterManagers/read | 获取提供的群集管理器的属性 |
| Microsoft.NetworkCloud/clusterManagers/write | 创建新的群集管理器或更新现有群集管理器的属性 |
| Microsoft.NetworkCloud/clusters/bareMetalMachineKeySets/read | 获取提供的群集的裸机计算机密钥集 |
| Microsoft.NetworkCloud/clusters/bmcKeySets/read | 获取提供的群集的基板管理控制器密钥集 |
| Microsoft.NetworkCloud/clusters/continueUpdateVersion/action | 使用匹配的更新策略触发持续群集更新,该更新策略在完成一段更新后已暂停 |
| Microsoft.NetworkCloud/clusters/delete | 删除提供的群集 |
| Microsoft.NetworkCloud/clusters/deploy/action | 使用创建期间提供的机架配置部署群集 |
| Microsoft.NetworkCloud/clusters/metricsConfigurations/delete | 删除提供的群集的指标配置 |
| Microsoft.NetworkCloud/clusters/metricsConfigurations/read | 获取提供的群集的指标配置 |
| Microsoft.NetworkCloud/clusters/metricsConfigurations/write | 创建新的或更新提供的群集的现有指标配置 |
| Microsoft.NetworkCloud/clusters/read | 获取提供的群集的属性 |
| Microsoft.NetworkCloud/clusters/scanRuntime/action | 根据群集配置触发运行时保护扫描的执行以检测问题并修正检测到的问题 |
| Microsoft.NetworkCloud/clusters/updateVersion/action | 将提供的群集版本更新为可用支持版本之一 |
| Microsoft.NetworkCloud/clusters/write | 创建新群集或更新现有群集的属性 |
| Microsoft.NetworkCloud/locations/operationStatuses/read | 读取操作状态 |
| Microsoft.NetworkCloud/operations/read | 读取操作 |
| Microsoft.NetworkCloud/rackSkus/read | 获取提供的机架 SKU 的属性 |
| Microsoft.NetworkCloud/racks/delete | 删除提供的机架。 所有客户发起的请求都将被拒绝,因为此资源的生命周期由系统管理 |
| Microsoft.NetworkCloud/racks/join/action | 联接 Nexus 机架 |
| Microsoft.NetworkCloud/racks/read | 获取提供的机架的属性 |
| Microsoft.NetworkCloud/racks/write | 创建新的机架或更新现有机架的属性。 所有客户发起的请求都将被拒绝,因为此资源的生命周期由系统管理 |
| Microsoft.NetworkCloud/register/action | 注册 Microsoft.NetworkCloud 的订阅 |
| Microsoft.NetworkCloud/registeredSubscriptions/read | 读取已注册的订阅 |
| Microsoft.NetworkCloud/storageAppliances/read | 获取提供的存储设备的属性 |
| Microsoft.NetworkCloud/unregister/action | 取消注册 Microsoft.NetworkCloud 的订阅 |
| Microsoft.Resources/deployments/* | 创建和管理部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组 |
注释
在某些情况下,可能需要向用户分配其他操作。 一种解决方案是创建一个自定义角色,将以下操作与 Operator Nexus 计算参与者角色一起分配给用户。
辅助 Operator Nexus 计算参与者操作
| 行动 | Description |
|---|---|
| Microsoft.OperationalInsights/workspaces/write | 创建新的工作区,或者通过提供现有工作区中的客户 ID 链接到现有工作区。 |
| Microsoft.OperationalInsights/workspaces/read | 获取现有工作区 |
| Microsoft.Resources/subscriptions/resourcegroups/write | 创建或更新资源组。 |
运营商关系密钥集管理员角色(预览版)
通过添加、删除和更新裸机 (BMM) 和基板管理 (BMC) 密钥集来管理对 Azure 运营商关系计算资源的交互式访问。 |
| 行动 | Description |
|---|---|
| Microsoft.ExtendedLocation/customLocations/deploy/action | 部署自定义位置资源的权限 |
| Microsoft.NetworkCloud/clusters/bareMetalMachineKeySets/delete | 删除提供的群集的裸机计算机密钥集 |
| Microsoft.NetworkCloud/clusters/bareMetalMachineKeySets/read | 获取提供的群集的裸机计算机密钥集 |
| Microsoft.NetworkCloud/clusters/bareMetalMachineKeySets/write | 创建新的或更新所提供的群集的现有裸机计算机密钥集 |
| Microsoft.NetworkCloud/clusters/bmcKeySets/read | 获取提供的群集的基板管理控制器密钥集 |
| Microsoft.NetworkCloud/clusters/bmcKeySets/write | 创建新的或更新提供的群集的现有基板管理控制器密钥集 |
| Microsoft.NetworkCloud/clusters/bmcKeySets/delete | 删除提供的群集的基板管理控制器密钥集 |
运营商关系所有者角色(预览版)
具有此角色的用户有权对范围分配内的任何 Microsoft.NetworkCloud 资源执行所有操作。
| 行动 | Description |
|---|---|
| Microsoft.NetworkCloud/* | 对 Microsoft.NetworkCloud 资源执行任何操作 |