Azure IoT 作業 (AIO) 提供兩個內建角色,其設計目的是簡化和保護 AIO 資源的存取管理:Azure IoT 作業管理員和 Azure IoT 作業上線。 如果您的案例需要更細微的存取權,您可以 建立自定義 RBAC 角色。
這很重要
AIO 的內建角色可簡化 AIO 資源的存取管理,但不會自動授與所有必要 Azure 相依性的許可權。 AIO 依賴數個 Azure 服務,例如 Azure Key Vault、Azure 記憶體、Azure Arc 和其他服務。 請一律檢閱並指派必要的額外角色,以確保用戶擁有成功的 AIO 部署和作業的端對端存取權。
Azure IoT Operations Administrator 角色
Azure IoT Operations Administrator 角色提供管理及作所有 Azure IoT 作業元件的完整許可權。 將此角色指派給需要完整存取權才能使用 AIO 資源的使用者。 若要支援 AIO 的部署和持續管理,使用者需要額外的許可權。 如果使用者只需要使用 AIO,您可以單獨指派系統管理員角色。
指派此內建角色時,您必須確定下列角色也會指派給使用者:
- Azure Edge 硬體中心系統管理員角色:此角色會授與存取權,以邊緣順序系統管理員身分管理和採取動作。 它用於排序和管理 Azure Stack Edge 裝置。
- 已啟用 Azure Arc 的 Kubernetes 叢集使用者角色: 此角色可用來管理已啟用 Azure Arc 的 Kubernetes 叢集,方法是提供寫入部署、管理訂用帳戶及處理連線叢集和擴充功能的許可權。
- Key Vault 系統管理員角色: 此角色可讓使用者管理 Azure Key Vault 的所有層面,包括建立、維護、檢視和刪除密鑰、憑證和秘密。
- Kubernetes 擴充功能參與者角色: 此角色可讓使用者管理 Kubernetes 擴充功能,包括建立、更新和刪除擴充功能。
- 受控識別參與者角色: 此角色可讓使用者管理受控識別,包括建立、更新和刪除使用者指派的受控識別。
- 監視參與者角色: 此角色可讓使用者讀取所有監視數據和更新監視設定。
- 資源群組參與者角色:此角色會授與許可權來管理資源群組內的資源,包括建立、更新和刪除資源。
- 秘密存放區擴充功能擁有者角色:此角色可讓使用者管理秘密存放區擴充功能,其會將秘密從 Azure Key Vault 同步處理至 Kubernetes 叢集。
- 記憶體帳戶參與者角色: 此角色可讓使用者管理記憶體帳戶,包括建立、更新和刪除記憶體帳戶,以及管理存取密鑰和其他設定。
Azure IoT 作業上線角色
AIO 上線是一個特製化角色,可提供部署 Azure IoT 作業元件的必要許可權。
指派此內建角色時,您必須確定下列角色也會指派給使用者:
- Azure Resource Bridge 部署角色: 此角色可用來管理 Azure Resource Bridge 的部署。 它包含讀取、寫入和刪除與資源網橋相關的各種資源的許可權,例如設備、位置和遙測組態。
- Kubernetes 叢集 – Azure Arc 上線角色: 此角色用於將 Kubernetes 叢集上線至 Azure Arc。
- 記憶體帳戶參與者角色: 此角色可讓使用者管理記憶體帳戶,包括建立、更新和刪除記憶體帳戶,以及管理存取密鑰和其他設定。
- 資源群組參與者角色:此角色會授與許可權來管理資源群組內的資源,包括建立、更新和刪除資源。
- 已啟用 Azure Arc 的 Kubernetes 叢集使用者角色: 此角色可用來管理已啟用 Azure Arc 的 Kubernetes 叢集,方法是提供寫入部署、管理訂用帳戶及處理連線叢集和擴充功能的許可權。