本文說明如何指派專案系統管理員的內建 DevCenter 專案系統管理員角色,以及開發人員的部署環境使用者角色。 在專案層級或特定環境類型範圍內指派角色,以控制存取權。
下列內建角色通常與 Azure 部署環境搭配使用:
| Role | Description |
|---|---|
| DevCenter 專案管理員 | 部署環境專案的完整的專案層級管理。 專案管理員可以管理專案設定、環境類型,並在專案中的所有環境中執行管理動作。 |
| 部署環境使用者 | 允許使用者在專案中建立、啟動、停止和管理自己的環境。 適用於需要佈建和使用環境的開發人員。 |
| 部署環境讀取器 | 環境和專案資源的唯讀存取權。 使用此角色可授與使用者或服務主體對環境的檢視權限,而無需修改權限。 |
您可以建立與開發人員中心相關聯的多個專案,以符合每個小組的需求。 藉由使用內建的 DevCenter 專案管理員角色,您可以將專案管理委派給小組成員。 DevCenter 專案管理員使用者可以設定專案環境類型,讓開發人員能夠建立各種類型的環境。 他們也可以將設定套用至每個環境類型。
先決條件
- 您必須擁有 Azure 帳戶,才能在專案上建立角色指派。
- 您必須有開發人員中心和至少一個專案。
所需權限
若要建立角色指派,您需要在目標資源上建立角色指派的權限。 具體而言:
必要的權限動作:
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/read (用於驗證)
- Microsoft.Authorization/roleDefinitions/read (列出可用的角色)
建議的內建角色,包括下列動作:
- 所有者
- 使用者存取系統管理員
如果您的組織使用自訂角色,請確保角色在指定範圍內包含 Microsoft.Authorization/roleAssignments/write 權限。
授與開發小組領導人的權限
將 DevCenter 專案系統管理員角色指派給專案層級或一或多個環境類型範圍的小組領導人。 專案層級指派會授與該專案中所有環境類型的管理員權限;環境類型指派會將管理員權限限制為僅選取的環境類型。
指派專案層級角色
將專案層級的 DevCenter 專案系統管理員角色指派給管理專案、其環境類型及其內環境的小組領導人。
登入 Azure 入口網站 ,然後移至 Azure 部署環境。
在左側功能表中,選取 [專案],然後選取您要管理的專案。
選取左側功能表中的存取控制 (IAM)。
選取 新增>新增角色指派。
在 [ 新增角色指派 ] 窗格中,設定下列項目:
Setting 價值觀 Role 選取 [DevCenter 專案管理員]。 存取權指派對象 選取 [使用者、群組或服務主體]。 成員 選取要授與管理存取權的使用者或群組。 選取 [儲存]。
![已選取 [DevCenter 專案管理員] 的 [新增角色指派] 窗格螢幕擷取畫面。](media/configure-project-admin/add-role-assignment-admin.png)
![已選取 [DevCenter 專案管理員] 的 [新增角色指派] 窗格螢幕擷取畫面。](media/configure-project-admin/add-role-assignment-admin.png#lightbox)
指派環境類型層級角色
在環境類型範圍指派角色,讓小組領導人只能管理該類型的環境。
在專案中,選取 [環境類型]。
選取環境類型旁的省略符號 (...),然後選擇 [存取控制]。
選取 新增>新增角色指派。
將 DevCenter 專案管理員 指派給所需的使用者或群組,然後選取 [ 儲存]。
![[環境類型] 頁面的螢幕擷取畫面,顯示如何將 DevCenter 專案管理員指派給特定環境類型。](media/configure-project-admin/project-environment-types.png)
![[環境類型] 頁面的螢幕擷取畫面,顯示如何將 DevCenter 專案管理員指派給特定環境類型。](media/configure-project-admin/project-environment-types.png#lightbox)
授予開發人員權限
在專案層級或者一或多個環境類型範圍內將 DevCenter 部署環境使用者或 DevCenter 部署環境讀取者角色指派給開發人員。 專案層級指派會授與該專案中所有環境類型的許可權;環境類型指派會將權限限制為僅選取的環境類型。
在專案層級指派角色
將 DevCenter 部署環境使用者角色指派給需要建立和管理自己環境的開發人員。
將 DevCenter 部署環境讀取者角色指派給需要檢視特定環境類型環境的開發人員。
登入 Azure 入口網站 ,然後移至 Azure 部署環境。
在左側功能表中,選取 [專案],然後選取開發人員需要存取的專案。
選取左側功能表中的存取控制 (IAM)。
點擊新增角色指派。
在 [ 新增角色指派 ] 窗格中,設定下列項目:
Setting 價值觀 Role 選取 部署環境 使用者。 存取權指派對象 選取 [使用者、群組或服務主體]。 成員 選取要授與存取權的使用者或群組。 選取 [儲存]。
![選取部署環境使用者的 [新增角色指派] 窗格的螢幕擷取畫面。](media/configure-deployment-environments-user/add-role-assignment.png)
![選取部署環境使用者的 [新增角色指派] 窗格的螢幕擷取畫面。](media/configure-deployment-environments-user/add-role-assignment.png#lightbox)
指派特定環境類型的角色
將 DevCenter 部署環境使用者角色指派給需要建立和管理特定環境類型環境的開發人員。
將 DevCenter 部署環境讀取者角色指派給需要檢視特定環境類型環境的開發人員。
在專案中,選取 [環境類型]。
選取環境類型旁的省略符號 (...),然後選擇 [存取控制]。
選取 新增>新增角色指派。
將 部署環境使用者 指派給所需的使用者或群組,然後點選儲存。
備註
只有具有 部署環境使用者 角色、 DevCenter 專案管理員 角色或具有適當許可權的內建角色的使用者才能建立環境。 具有 部署環境讀取者 角色的使用者可以檢視自己的環境,以及其他人建立的環境。
故障排除
- 角色指派傳播最多可能需要一分鐘;請重新整理入口網站。
- 如果您收到授權錯誤的訊息,請確認您的帳戶在專案範圍或父範圍內具有 Microsoft.Authorization/roleAssignments/write 權限。
- 更喜歡將角色分配給群組而不是個人,以便於生命週期管理。
- 如果角色未出現,請確認您正在檢視正確的範圍 (專案與環境類型) ,而且角色定義存在於訂用帳戶中。
清理資源
如果您建立了不再需要的測試角色指派:
- 在專案的 [存取控制 (IAM)] 窗格中,找出角色指派。
- 選取 [移除] 並確認。