使用角色型存取控制來管理 Azure Stack Hub 中的資源存取
Azure Stack Hub 支援角色型存取控制 (RBAC),這是與 Microsoft Azure 所用的存取管理安全性模型 \(機器翻譯\) 相同。 您可以使用 RBAC 來管理使用者、群組或應用程式對於訂用帳戶、資源和服務的存取。
存取管理的基礎
角色型存取控制 (RBAC) 可以提供更細緻的存取控制,以用於保護環境。 您可以在特定範圍中指派 RBAC 角色,以提供使用者所需的確實權限。 角色指派的範圍可以是訂用帳戶、資源群組或單一資源。 如需存取管理的詳細資訊,請參閱 Azure 入口網站中的角色型存取控制一文。
注意
使用 Active Directory 同盟服務作為身分識別提供者來部署 Azure Stack Hub 時,RBAC 案例僅支援萬用群組。
內建角色
Azure Stack Hub 有三個基本角色,可套用在所有資源類型:
- 擁有者:授與管理所有資源的完整存取權,包括指派 Azure Stack RBAC 中角色的能力。
- 參與者:授與管理所有資源的完整存取權,但不允許您在 Azure Stack RBAC 中指派角色。
- 讀者:可以檢視所有事項,但無法進行任何變更。
資源階層和繼承
Azure Stack Hub 具有下列資源階層:
- 每個訂用帳戶隸屬於單一目錄。
- 每個資源群組隸屬於單一訂用帳戶。
- 每個資源隸屬於單一資源群組。
在父系範圍授與的存取權會在子系範圍繼承。 例如:
- 您會將讀者角色指派給訂用帳戶範圍的 Microsoft Entra 群組。 該群組的成員可以檢視訂用帳戶中的每個資源群組和資源。
- 您在資源群組範圍中將參與者角色指派給應用程式。 應用程式可以管理該資源群組中所有類型的資源,但是無法管理訂用帳戶中的其他資源群組。
指派角色
您可以將多個角色指派給使用者,而且每個角色可以關聯不同的範圍。 例如:
- 您指派了 TestUser-A 讀者角色給 Subscription-1。
- 您指派了 TestUser-A 擁有者角色給 TestVM-1。
Azure 角色指派 \(機器翻譯\) 文章提供了檢視、指派與刪除角色的詳細資訊。
設定使用者的存取權限
下列步驟說明如何設定使用者的權限。
使用具備擁有者權限的帳戶登入您想要管理的資源。
在左側導覽窗格中,選取 [資源群組]。
選擇想要設定權限的資源群組名稱。
在資源群組瀏覽窗格中,選擇 [存取控制 (IAM)]。
[角色指派] 檢視會列出可存取資源群組的項目。 您可以篩選結果並將其分組。在 [存取控制] 功能表列上,選擇 [新增]。
在 [新增權限] 窗格上:
- 從 [角色] 下拉式清單中,選擇想要從指派的角色。
- 從 [存取權指派對象為] 下拉式清單中,選擇想要從指派的資源。
- 選取目錄中您要授與存取權的使用者、群組或應用程式。 您可以使用顯示名稱、電子郵件地址和物件識別碼來搜尋目錄。
選取 [儲存]。