Azure 角色型存取控制 (Azure RBAC) 是以 Azure Resource Manager 為基礎的授權系統,提供 Azure 資源的精細存取管理。
Azure RBAC 模型可用來在不同的範圍層級上設定權限:管理群組、訂用帳戶、資源群組或個別資源。 適用於金鑰保存庫的 Azure RBAC 也可讓使用者在個別金鑰、祕密和憑證上擁有不同的權限。
如需詳細資訊,請參閱 Azure 角色型存取控制 (Azure RBAC)。
Azure 運算子連接點提供下列內建角色。
備註
預覽角色可能會變更。
具有此角色的使用者可以擁有管理及設定 Nexus 資源的完整存取權,包括建立、修改和刪除與連接點基礎結構相關的資源。
| 動作 | 描述 |
|---|---|
| Microsoft.Authorization/*/read | 讀取角色和角色指派 |
| Microsoft.ExtendedLocation/customLocations/deploy/action | 將權限部署至自訂位置資源 |
| Microsoft.ExtendedLocation/customLocations/read | 取得自訂位置資源 |
| Microsoft.HybridCompute/machines/extensions/read | 讀取任何 Azure Arc 延伸模組 |
| Microsoft.HybridCompute/machines/read | 讀取任何 Azure Arc 機器 |
| Microsoft.Insights/alertRules/* | 建立和管理傳統計量警示 |
| Microsoft.Kubernetes/connectedClusters/read | 讀取 connectedClusters |
| Microsoft.KubernetesConfiguration/extensions/read | 取得延伸模組執行個體資源 |
| Microsoft.ManagedNetworkFabric/networkFabricControllers/join/action | 網路網狀架構控制器資源的聯結動作。 |
| Microsoft.ManagedNetworkFabric/networkFabrics/join/action | 網路網狀架構資源的聯結動作。 |
| Microsoft.ManagedNetworkFabric/networkRacks/join/action | 網路機架資源的聯結動作。 |
| Microsoft.NetworkCloud/bareMetalMachines/cordon/action | 隔離提供的裸機電腦 Kube 節點 |
| Microsoft.NetworkCloud/bareMetalMachines/delete | 刪除提供的裸機電腦。 所有客戶起始的要求都會遭到拒絕,因為此資源的生命週期由系統管理。 |
| Microsoft.NetworkCloud/bareMetalMachines/powerOff/action | 關閉提供的裸機電腦電源 |
| Microsoft.NetworkCloud/bareMetalMachines/read | 取得所提供裸機電腦的屬性 |
| Microsoft.NetworkCloud/bareMetalMachines/reimage/action | 重新想像提供的裸機電腦 |
| Microsoft.NetworkCloud/bareMetalMachines/replace/action | 更換提供的裸機電腦 |
| Microsoft.NetworkCloud/bareMetalMachines/restart/action | 重新啟動提供的裸機電腦 |
| Microsoft.NetworkCloud/bareMetalMachines/runDataExtracts/action | 在提供的裸機電腦上執行一或多個資料擷取。 |
| Microsoft.NetworkCloud/bareMetalMachines/runReadCommands/action | 在提供的裸機電腦上執行一或多個唯讀命令。 |
| Microsoft.NetworkCloud/bareMetalMachines/start/action | 啟動提供的裸機電腦 |
| Microsoft.NetworkCloud/bareMetalMachines/uncordon/action | 解除隔離提供的裸機電腦 Kube 節點 |
| Microsoft.NetworkCloud/bareMetalMachines/write | 建立新的裸機電腦,或更新現有電腦的屬性。 所有客戶起始的要求都會在生命週期循環資源時遭到拒絕。 |
| Microsoft.NetworkCloud/clusterManagers/delete | 刪除提供的叢集管理員 |
| Microsoft.NetworkCloud/clusterManagers/read | 取得所提供叢集管理員的屬性 |
| Microsoft.NetworkCloud/clusterManagers/write | 如果叢集管理員存在,請建立新的叢集管理員或更新叢集管理員的屬性 |
| Microsoft.NetworkCloud/clusters/bareMetalMachineKeySets/read | 取得所提供叢集的裸機電腦金鑰集 |
| Microsoft.NetworkCloud/clusters/bmcKeySets/read | 取得所提供叢集的基礎板管理控制器金鑰集 |
| Microsoft.NetworkCloud/clusters/continueUpdateVersion/action | 使用完成更新區段之後暫停的相符更新策略,觸發接續的叢集更新 |
| Microsoft.NetworkCloud/clusters/delete | 刪除提供的叢集 |
| Microsoft.NetworkCloud/clusters/deploy/action | 使用建立期間提供的機架設定來部署叢集 |
| Microsoft.NetworkCloud/clusters/metricsConfigurations/delete | 刪除所提供叢集的計量設定 |
| Microsoft.NetworkCloud/clusters/metricsConfigurations/read | 取得所提供叢集的計量設定 |
| Microsoft.NetworkCloud/clusters/metricsConfigurations/write | 建立新的或更新所提供叢集的現有計量設定 |
| Microsoft.NetworkCloud/clusters/read | 取得所提供叢集的屬性 |
| Microsoft.NetworkCloud/clusters/scanRuntime/action | 根據叢集設定,觸發執行階段保護掃描的執行,以偵測和補救偵測到的問題 |
| Microsoft.NetworkCloud/clusters/updateVersion/action | 將提供的叢集版本更新為其中一個可用的支援版本 |
| Microsoft.NetworkCloud/clusters/write | 如果叢集存在,請建立新的叢集或更新叢集的屬性 |
| Microsoft.NetworkCloud/locations/operationStatuses/read | 讀取作業狀態 |
| Microsoft.NetworkCloud/operations/read | 讀取作業 |
| Microsoft.NetworkCloud/rackSkus/read | 取得所提供機架 SKU 的屬性 |
| Microsoft.NetworkCloud/racks/delete | 刪除提供的機架。 所有客戶起始的要求都會遭到拒絕,因為此資源的生命週期由系統管理 |
| Microsoft.NetworkCloud/racks/join/action | 加入連接點機架 |
| Microsoft.NetworkCloud/racks/read | 取得所提供機架的屬性 |
| Microsoft.NetworkCloud/racks/write | 建立新的機架或更新現有機架的屬性。 所有客戶起始的要求都會遭到拒絕,因為此資源的生命週期由系統管理 |
| Microsoft.NetworkCloud/register/action | 為 Microsoft.NetworkCloud 註冊訂閱 |
| Microsoft.NetworkCloud/registeredSubscriptions/read | 讀取已註冊的訂閱 |
| Microsoft.NetworkCloud/storageAppliances/read | 取得所提供儲存體設備的屬性 |
| Microsoft.NetworkCloud/unregister/action | 取消註冊 Microsoft.NetworkCloud 的訂閱 |
| Microsoft.Resources/deployments/* | 建立和管理部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 取得或列出資源群組 |
備註
在某些情況下,可能需要將其他動作指派給使用者。 其中一個解決方案是以下列動作建立自訂角色,搭配運算子連接點計算參與者角色指派給使用者。
| 動作 | 描述 |
|---|---|
| Microsoft.OperationalInsights/workspaces/write | 建立新的工作區,或藉由提供來自現有工作區的客戶識別碼來連結至現有工作區。 |
| Microsoft.OperationalInsights/workspaces/read | 取得現有工作區 |
| Microsoft.Resources/subscriptions/resourcegroups/write | 建立或更新資源群組。 |
新增、移除和更新裸機電腦 (BMM) 和基礎板管理 (BMC) 金鑰集,以管理 Azure 運算子連接點計算資源的互動式存取。 |
| 動作 | 描述 |
|---|---|
| Microsoft.ExtendedLocation/customLocations/deploy/action | 將權限部署至自訂位置資源 |
| Microsoft.NetworkCloud/clusters/bareMetalMachineKeySets/delete | 刪除所提供叢集的裸機電腦金鑰集 |
| Microsoft.NetworkCloud/clusters/bareMetalMachineKeySets/read | 取得所提供叢集的裸機電腦金鑰集 |
| Microsoft.NetworkCloud/clusters/bareMetalMachineKeySets/write | 建立新的或更新所提供叢集的現有裸機電腦金鑰集 |
| Microsoft.NetworkCloud/clusters/bmcKeySets/read | 取得所提供叢集的基礎板管理控制器金鑰集 |
| Microsoft.NetworkCloud/clusters/bmcKeySets/write | 建立新的或更新所提供叢集的現有基礎板管理控制器金鑰集 |
| Microsoft.NetworkCloud/clusters/bmcKeySets/delete | 刪除所提供叢集的基礎板管理控制器金鑰集 |
具有此角色的使用者有權在範圍指派內的任何 Microsoft.NetworkCloud 資源上執行所有動作。
| 動作 | 描述 |
|---|---|
| Microsoft.NetworkCloud/* | 在 Microsoft.NetworkCloud 資源上執行任何動作 |
訓練
模組
Implementace správce přístupu pro prostředek Azure - Training
Prozkoumejte, jak pomocí předdefinovaných rolí Azure, spravovaných identit a zásad RBAC řídit přístup k prostředkům Azure. Identita je klíčem k zabezpečení řešení.
認證
Microsoft Certified: Správce Azure - Specialista - Certifications
Předvedení klíčových dovedností ke konfiguraci, správě, zabezpečení a správě klíčových profesionálních funkcí v Microsoft Azure