若要定義將特定許可權授與使用者的自定義角色,您可以使用 Azure RBAC。 例如,您可以定義 上線 角色,授與足夠的許可權給使用者,以完成 Azure Arc 連線程式,並安全地部署 Azure IoT 作業。
本文包含可在環境中下載及使用的範例清單。 這些自定義角色是 JSON 檔案,可列出角色的特定許可權和範圍。
若要深入瞭解 Azure RBAC 中的自定義角色,請參閱 Azure 自定義角色。
自訂角色範例
下列各節列出您可以下載及使用的範例 Azure IoT Operations 自定義角色:
上線角色
| 自訂角色 | 說明 |
|---|---|
| 上線 | 這是特殊許可權角色。 用戶可以完成 Azure Arc 連線程式,並安全地部署 Azure IoT 作業。 |
查看器角色
| 自訂角色 | 說明 |
|---|---|
| 實例查看器 | 此角色可讓用戶檢視 Azure IoT 作業實例。 |
| 資產查看器 | 此角色可讓用戶檢視 Azure IoT Operations 實例中的資產。 |
| 資產端點查看器 | 此角色可讓使用者在 Azure IoT 作業實例中檢視資產端點。 |
| 數據流查看器 | 此角色可讓用戶檢視 Azure IoT Operations 實例中的數據流。 |
| 數據流目的地查看器 | 此角色可讓用戶檢視 Azure IoT 作業實例中的數據流目的地。 |
| MQ 檢視器 | 此角色可讓使用者在 Azure IoT 作業實例中檢視 MQTT 訊息代理程式。 |
| 檢視器 | 此角色可讓用戶檢視 Azure IoT 作業實例。 此角色是實例查看器、資產查看器、資產端點查看器、數據流查看器、數據流目的地查看器和 MQ 查看器角色的組合。 |
系統管理員角色
| 自訂角色 | 說明 |
|---|---|
| 實例管理員 | 這是特殊許可權角色。 用戶可以部署 實例。 此角色包含建立和更新實例、訊息代理程式、驗證、接聽程式、數據流配置檔、數據流端點、架構登錄和使用者指派身分識別的許可權。 角色也包含刪除實例的許可權。 |
| 資產管理員 | 用戶可以在 Azure IoT Operations 實例中建立和管理資產。 |
| 資產端點管理員 | 用戶可以在 Azure IoT 作業實例中建立和管理資產端點。 |
| 數據流管理員 | 用戶可以在 Azure IoT 作業實例中建立和管理數據流。 |
| 數據流目的地管理員 | 用戶可以在 Azure IoT 作業實例中建立和管理數據流目的地。 |
| MQ 系統管理員 | 用戶可以在 Azure IoT 作業實例中建立和管理 MQTT 訊息代理程式。 |
| 系統管理員 | 這是特殊許可權角色。 用戶可以建立和管理 Azure IoT 作業實例。 此角色是實例管理員、資產管理員、資產端點管理員、數據流管理員、數據流目的地管理員和 MQ 系統管理員角色的組合。 |
備註
範例資產端點管理員和數據流目的地系統管理員角色可以存取 Azure Key Vault 和作業體驗 Web UI 中的 [管理秘密] 頁面。 不過,即使這些自定義角色是在訂用帳戶層級指派,使用者只能查看來自特定資源群組的密鑰保存庫清單。 架構登錄的存取權也僅限於資源群組層級。
這很重要
目前,當用戶嘗試存取他們沒有許可權的資源時,Web UI 的作業體驗會顯示誤導性錯誤訊息。 資源存取會如預期般遭到封鎖。
建立自定義角色定義
若要準備其中一個範例自定義角色:
下載您要建立之自定義角色的 JSON 檔案。 JSON 檔案包含角色定義,包括角色的許可權和範圍。
編輯 JSON 檔案,以將 字段中的
assignableScopes佔位元值取代為您的訂用帳戶標識碼。 儲存您的變更。
若要使用 Azure 入口網站將自訂角色新增至您的 Azure 訂用帳戶:
在 Azure 入口網站中移至您的訂用帳戶。
選取 存取控制 (IAM)。
選取 [新增 > 自定義角色]。
輸入名稱,例如 上線,以及角色的描述。
選取 [從 JSON 開始 ],然後選取您下載的 JSON 檔案。 自訂角色名稱和描述會從檔案填入。
或者,檢閱許可權和可指派的範圍。
若要將自定義角色新增至您的訂用帳戶,請選取 [ 檢閱 + 建立 ],然後選取 [ 建立]。
設定及使用自定義角色
在訂用帳戶中建立自定義角色之後,您可以將這些角色指派給使用者、群組或應用程式。 您可以在訂用帳戶或資源群組層級指派角色。 在資源群組層級指派角色可啟用最細微的控制。
若要使用 Azure 入口網站,將自訂角色指派給資源群組層級的使用者:
在 Azure 入口網站中移至您的資源群組。
選取 存取控制 (IAM)。
選取 [新增] > [新增角色指派]。
搜尋並選取您想要指派的自定義角色。 選取 下一步。
選取您要指派角色的用戶或使用者。 您可以依名稱或電子郵件地址搜尋使用者。
選取 [檢閱 + 指派 ] 以檢閱角色指派。 如果一切看起來都不錯,請選取 [指派]。