使用角色型存取控制來管理 Azure Stack HCI 虛擬機器

適用於：Azure Stack HCI 版本 23H2

本文說明如何使用角色型存取控制 (RBAC) 來控制在 Azure Stack HCI 叢集上執行的 Arc 虛擬機 (虛擬機) 存取。

您可以使用內建的 RBAC 角色來控制對 VM 和 VM 資源的存取，例如虛擬磁碟、網路介面、VM 映像、邏輯網路和記憶體路徑。您可以將這些角色指派給使用者、群組、服務主體和受控識別。

重要

這項功能目前為「預覽」狀態。請參閱 Microsoft Azure 預覽版增補使用規定，以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版，或尚未正式發行的版本) 的法律條款。

關於內建 RBAC 角色

若要控制 Azure Stack HCI 上 VM 和 VM 資源的存取權，您可以使用下列 RBAC 角色：

Azure Stack HCI 系統管理員 - 此角色會授與 Azure Stack HCI 叢集及其資源的完整存取權。 Azure Stack HCI 系統管理員可以註冊叢集，以及將 Azure Stack HCI VM 參與者和 Azure Stack HCI VM 讀取者角色指派給其他使用者。它們也可以建立叢集共享資源，例如邏輯網路、VM 映像和記憶體路徑。
Azure Stack HCI VM 參與者 - 此角色會授與執行所有 VM 動作的許可權，例如啟動、停止、重新啟動 VM。 Azure Stack HCI VM 參與者可以建立和刪除 VM，以及連結至 VM 的資源和擴充功能。 Azure Stack HCI VM 參與者無法註冊叢集或指派角色給其他使用者，也無法建立叢集共用資源，例如邏輯網路、VM 映像和記憶體路徑。
Azure Stack HCI VM 讀取器 - 此角色會授與僅檢視 VM 的許可權。 VM 讀取器無法在 VM 或 VM 資源和擴充功能上執行任何動作。

下表說明 VM 和各種 VM 資源每個角色所授與的 VM 動作。 VM 資源是指建立 VM 所需的資源，並包含虛擬磁碟、網路介面、VM 映射、邏輯網路和記憶體路徑：

內建角色	VM	VM 資源
Azure Stack HCI 系統管理員	建立、列出、刪除 VM 啟動、停止、重新啟動 VM	建立、列出、刪除所有 VM 資源，包括邏輯網路、VM 映像和記憶體路徑
Azure Stack HCI VM 參與者	建立、列出、刪除 VM 啟動、停止、重新啟動 VM	建立、列出、刪除邏輯網路、VM 映像和記憶體路徑以外的所有 VM 資源
Azure Stack HCI VM 讀取器	列出所有 VM	列出所有 VM 資源

開始之前，請務必完成下列必要條件：

請確定您可以存取已部署和註冊的 Azure Stack HCI 叢集。在部署期間，也會建立Arc資源網橋和自定義位置。

移至 Azure 中的資源群組。您可以看到為 Azure Stack HCI 叢集建立的自定義位置和 Azure Arc 資源網橋。記下您稍後在此案例中使用的訂用帳戶、資源群組和自定義位置。
請確定您有權以擁有者或使用者存取系統管理員身分存取 Azure 訂用帳戶，將角色指派給其他人。

您可以透過 Azure 入口網站將 RBAC 角色指派給使用者。請遵循下列步驟，將 RBAC 角色指派給使用者：

在 Azure 入口網站中，搜尋要授與存取權的範圍，例如搜尋訂用帳戶、資源群組或特定資源。在此範例中，我們會使用部署 Azure Stack HCI 叢集的訂用帳戶。
移至您的訂用帳戶，然後移至 訪問控制 (IAM) > 角色指派。從頂端命令行選取 [ + 新增 ]，然後選取 [ 新增角色指派]。

如果您沒有指派角色的許可權，則會停用 [ 新增角色指派 ] 選項。
在 [ 角色] 索引 標籤上，選取要指派的 RBAC 角色，並從下列其中一個內建角色中選擇：
- Azure Stack HCI 系統管理員
- Azure Stack HCI VM 參與者
- Azure Stack HCI VM 讀取器
在 [ 成員] 索引 標籤上，選取 [使用者]、[群組] 或服務主體。同時選取要指派角色的成員。
檢閱角色並加以指派。
確認角色指派。移至訪問控制 (IAM) > 檢查存取權檢視我的存取>權。您應該會看到角色指派。