Azure 實驗室服務中的 Azure 角色型存取控制
重要
Azure 實驗室服務將於 2027 年 6 月 28 日淘汰。 如需詳細資訊,請參閱淘汰指南 (英文)。
Azure Lab Services 針對 Azure Lab Services 中常見的管理案例提供了內建的 Azure 角色型存取控制 (Azure RBAC)。 在 Microsoft Entra 識別碼中具有設定檔的個人可以將這些 Azure 角色指派給使用者、群組、服務主體或受控識別,以授與或拒絕對 Azure Lab Services 資源上資源和作業的存取權。 本文說明 Azure 實驗室服務支援的不同內建角色。
Azure 角色型存取控制 (RBAC) 是建置於 Azure Resource Manager 上的授權系統,可提供精細的 Azure 資源存取管理。
Azure RBAC 指定內建角色定義會概述該角色要套用的權限。 您可以透過特定範圍的角色指派來指派使用者或將此角色定義分組。 範圍可以是個別資源、資源群組,或跨訂閱。 在下一節中,您將了解 Azure 實驗室服務支援的內建角色。
如需詳細資訊,請參閱什麼是 Azure 角色型存取控制 (Azure RBAC)?
注意
當您變更角色指派時,可能需要幾分鐘才能散佈這些更新。
內建角色
在本文中,Azure 內建角色會根據其影響範圍,在邏輯上分為兩種角色類型:
- 系統管理員角色:影響實驗室計畫和實驗室的權限
- 實驗室管理角色:影響實驗室的權限
以下是 Azure實驗室服務支援的內建角色:
| 角色類型 | 內建角色 | 描述 |
|---|---|---|
| 系統管理員 | 負責人 | 授與建立/管理實驗室計畫和實驗室的完整控制權,以及將權限授與其他使用者。 深入了解擁有者角色。 |
| 系統管理員 | 參與者 | 授與建立/管理實驗室計畫和實驗室的完整控制權,除將角色指派至其他使用者以外。 深入了解參與者角色。 |
| 系統管理員 | 實驗室服務參與者 | 授與和擁有者角色相同的權限,除指派角色以外。 深入了解實驗室服務參與者角色。 |
| 實驗室管理 | 實驗室建立者 | 授與建立實驗室的許可權,並對其建立的實驗室擁有完整控制權。 深入了解實驗室建立者角色。 |
| 實驗室管理 | 實驗室參與者 | 授與權限以協助管理現有的實驗室,但無法建立新的實驗室。 深入了解實驗室參與者角色。 |
| 實驗室管理 | 實驗室小幫手 | 授與檢視現有實驗室的權限。 也可以啟動、停止或重新安裝映像實驗室中的任何 VM。 深入了解實驗室助理角色。 |
| 實驗室管理 | 實驗室服務讀取者 | 授與檢視現有實驗室的權限。 深入了解實驗室服務讀取者角色。 |
角色指派範圍
在 Azure RBAC 中,範圍是要套用存取權的一組資源。 當您指派角色時,了解範圍非常重要,以便僅授與所需的存取權限。
Azure 有下列四個層級可讓您指定範圍:管理群組、訂閱、資源群組和資源。 範圍會採用父子式關聯性的結構。 階層的每個層級都會讓範圍更為明確。 您可以在這裡的任何層級範圍當中指派角色。 角色套用範圍依您選取的層級而定。 較低層級會繼承較高層級的角色權限。 深入了解Azure RBAC 的範圍。
針對 Azure 實驗室服務,請考慮下列範圍:
| 影響範圍 | 描述 |
|---|---|
| 訂用帳戶 | 用於管理所有 Azure 資源和服務的計費和安全性。 一般而言,只有系統管理員具有訂用帳戶層級的存取權,因為此角色指派會授與訂用帳戶中所有資源的存取權。 |
| 資源群組 | 用來將資源分組的邏輯容器。 資源群組的角色指派會將權限授與資源群組及其內部的所有資源,例如實驗室和實驗室計畫。 |
| 實驗室計畫 | 建立實驗室時,用於套用一般組態設定的 Azure 資源。 實驗室計劃的角色指派只會授與特定實驗室計畫的權限。 |
| 實驗室 | 用於套用常見組態設定,以及建立和執行實驗室虛擬機器的 Azure 資源。 實驗室的角色指派只會授與特定實驗室的權限。 |
重要
在 Azure 實驗室服務中,實驗室計畫和實驗室是彼此同層級的資源。 因此,實驗室不會從實驗室計畫繼承任何角色指派。 不過,來自資源群組的角色指派會由該資源群組中的實驗室計畫和實驗室繼承。
常見實驗室活動的角色
下列表格顯示一般實驗室活動,以及使用者執行該活動所需的角色。
| 活動 | 角色類型 | 角色 | 範圍 |
|---|---|---|---|
| 授與建立資源群組的權限。 資源群組是 Azure 中用來保存實驗室計畫和實驗室的邏輯容器。 建立實驗室計畫或實驗室之前,此資源群組必須存在。 | 系統管理員 | 擁有者或參與者 | 訂用帳戶 |
| 授與權限以提交 Microsoft 支援票證,包括 要求容量。 | 系統管理員 | 擁有者、參與者、支援要求參與者 | 訂用帳戶 |
| 授與權限至: - 指派角色給其他使用者。 - 在資源群組內建立/管理實驗室計畫、實驗室和其他資源。 - 在實驗室計畫中啟用/停用市集和自訂映像。 - 附加/中斷連結實驗室計畫中的計算資源庫。 |
系統管理員 | 擁有者 | 資源群組 |
| 授與權限至: - 在資源群組內建立/管理實驗室計畫、實驗室和其他資源。 - 在實驗室計畫中啟用或停用 Azure Marketplace 和自訂映像。 不過,無法將角色指派給其他使用者。 |
系統管理員 | 參與者 | 資源群組 |
| 授與資源群組中所有實驗室計畫,建立或管理自己的實驗室。 | 實驗室管理 | 實驗室建立者 | 資源群組 |
| 授予為特定實驗室計畫建立或管理自己的實驗室權限。 | 實驗室管理 | 實驗室建立者 | 實驗室計畫 |
| 授與共同管理實驗室的權限,但無法建立實驗室。 | 實驗室管理 | 實驗室參與者 | 實驗室 |
| 授與資源群組中所有實驗室,僅能啟動/停止/重新安裝映像 VM 的權限。 | 實驗室管理 | 實驗室助理 | 資源群組 |
| 授與資源群組中特定實驗室,僅能啟動/停止/重新安裝映像 VM 的權限。 | 實驗室管理 | 實驗室助理 | 實驗室 |
重要
組織的訂用帳戶用於管理所有 Azure 資源和服務的計費和安全性。 您可以在訂用帳戶上指派擁有者或參與者角色。 一般而言,只有系統管理員具有訂用帳戶層級的存取權,因為此角色包括訂用帳戶中所有資源的存取權。
系統管理員角色
若要授與使用者管理組織訂用帳戶內 Azure 實驗室服務的權限,您應該指派擁有者、 參與者,或實驗室服務參與者角色。
在資源群組上指派這些角色。 資源群組內的實驗室計畫和實驗室會繼承這些角色指派。
下列表格會比較在資源群組上指派不同的系統管理員角色。
| 實驗室計畫/實驗室 | 活動 | 擁有者 | 參與者 | 實驗室服務參與者 |
|---|---|---|---|---|
| 實驗室計畫 | 檢視資源群組內的所有實驗室計畫 | Yes | .是 | Yes |
| 實驗室計畫 | 建立、變更或刪除資源群組內的所有實驗室計畫 | Yes | .是 | Yes |
| 實驗室計畫 | 在資源群組內將角色指派至實驗室計畫 | 是 | 無 | No |
| 實驗室 | 在資源群組內建立實驗室** | Yes | .是 | Yes |
| 實驗室 | 在資源群組內檢視其他使用者的實驗室 | Yes | .是 | Yes |
| 實驗室 | 在資源群組內變更或刪除其他使用者的實驗室 | Yes | .是 | No |
| 實驗室 | 在資源群組內將角色指派至其他使用者的實驗室 | 是 | 無 | No |
**使用者會自動獲得檢視、變更設定、刪除及指派其建立實驗室角色的權限。
擁有者角色
指派擁有者角色提供使用者完整控制權,以建立或管理實驗室計劃和實驗室,以及將權限授與其他使用者。 當使用者在資源群組上具有擁有者角色時,他們可以在資源群組內跨所有資源執行下列活動:
- 將角色指派給系統管理員,以便管理實驗室相關資源。
- 將角色指派給實驗室管理員,以便建立和管理實驗室。
- 建立實驗室計畫和實驗室。
- 檢視、刪除和變更所有實驗室計畫的設定,包括連結或中斷連結計算資源庫,以及啟用或停用實驗室計畫中的 Azure Marketplace 和自訂映像。
- 檢視、刪除和變更所有實驗室的設定。
警告
當您在資源群組上指派擁有者或參與者角色時,這些權限也適用於存在於資源群組中的非實驗室相關資源。 例如,虛擬網路、儲存體帳戶、計算資源庫等資源。
參與者角色
指派參與者角色提供使用者完整控制權,以在資源群組內建立或管理實驗室計劃和實驗室。 參與者角色和擁有者角色擁有相同的權限,以下除外:
- 執行角色指派
實驗室服務參與者角色
實驗室服務參與者是最嚴格的系統管理員角色。 指派實驗室服務參與者角色,以啟用與擁有者角色相同的活動,以下除外:
- 執行角色指派
- 變更或刪除其他使用者的實驗室
注意
實驗室服務參與者角色不允許變更與 Azure 實驗室服務無關的資源。 另一方面,參與者角色允許變更資源群組內的所有 Azure 資源。
實驗室管理角色
使用下列角色授與使用者建立和管理實驗室的權限:
- 實驗室建立者
- 實驗室參與者
- 實驗室小幫手
- 實驗室服務讀取者
這些實驗室管理角色只會授與檢視實驗室計畫的權限。 這些角色不允許建立、變更、刪除或指派角色給實驗室計畫。 此外,具有這些角色的使用者無法連結或中斷連結的計算資源庫,並啟用或停用虛擬機器映像。
實驗室建立者角色
指派實驗室建立者角色以提供建立實驗室的權限,並對其建立的實驗室擁有完整控制權。 例如,他們可以變更實驗室設定、刪除實驗室,甚至將其他使用者的權限授與實驗室。
在資源群組或實驗室計畫上指派實驗室建立者角色。
下列表格比較資源群組或實驗室計畫的實驗室建立者角色指派。
| 活動 | 資源群組 | 實驗室計畫 |
|---|---|---|
| 在資源群組內建立實驗室** | Yes | Yes |
| 檢視他們建立的實驗室 | Yes | Yes |
| 在資源群組內檢視其他使用者的實驗室 | 是 | No |
| 變更或刪除使用者建立的實驗室 | Yes | Yes |
| 在資源群組內變更或刪除其他使用者的實驗室 | No | No |
| 在資源群組內將角色指派至其他使用者的實驗室 | No | No |
**使用者會自動獲得檢視、變更設定、刪除及指派其建立實驗室角色的權限。
實驗室參與者角色
指派實驗室參與者角色,以授與使用者權限,以協助管理現有的實驗室。
在實驗室上指派實驗室參與者角色。
當您在實驗室上指派實驗室參與者角色時,使用者可以管理受指派的實驗室。 具體地說,使用者:
- 可以檢視、變更所有設定,或刪除受指派的實驗室。
- 使用者無法檢視其他使用者的實驗室。
- 無法建立新實驗室。
實驗室助理角色
指派實驗室助理角色,以授與使用者檢視實驗室的權限,以及啟動、停止及為實驗室重新安裝映像實驗室虛擬機器。
在資源群組或實驗室上指派實驗室助理角色。
當您在資源群組上指派實驗室助理角色時,使用者:
- 可以檢視資源群組內的所有實驗室,並針對每個實驗室啟動、停止或為實驗室重新安裝映像實驗室虛擬機器。
- 無法刪除或對實驗室進行任何其他變更。
當您在實驗室上指派實驗室助理角色時,使用者:
- 可以檢視指派的實驗室和啟動、停止或為實驗室重新安裝映像實驗室虛擬機器。
- 無法刪除或對實驗室進行任何其他變更。
- 無法建立新實驗室。
當您擁有實驗室助理角色時,若要檢視您獲得存取權的其他實驗室,請務必在 Azure 實驗室服務網站中選擇所有實驗室篩選條件。
實驗室服務讀者角色
指派實驗室服務讀者角色,以授與使用者檢視現有實驗室的權限。 使用者無法對現有的實驗室進行任何變更。
在資源群組或實驗室上指派實驗室服務讀者角色。
當您在資源群組上指派實驗室服務讀者角色,使用者可以:
- 檢視資源群組內所有實驗室。
當您在實驗室上指派實驗室服務讀者角色,使用者可以:
- 僅能檢視特定實驗室。
身分識別與存取權管理 (IAM)
Azure 入口網站中的存取控制 (IAM) 頁面可用來設定 Azure 實驗室服務資源上的 Azure 角色型存取控制。 您可以針對 Active Directory 中的個人和群組使用內建角色。 以下螢幕擷取畫面顯示在 Azure 入口網站中使用存取控制 (IAM) 的 Active Directory 整合 (Azure RBAC):
![顯示在 Azure 入口網站中,用於管理角色指派之 [存取控制] 頁面的螢幕擷取畫面。](media/concept-lab-services-role-based-access-control/azure-portal-access-control.png)
如需詳細步驟,請參閱使用 Azure 入口網站指派 Azure 角色。
資源群組和實驗室計畫結構
您的組織應該預先投入時間來規劃資源群組和實驗室計畫的結構。 當您在資源群組上指派角色時尤其重要,因為它也會將權限套用至資源群組中的所有資源。
若要確保使用者只獲授與適當資源的權限:
建立僅包含實驗室相關資源的資源群組。
根據應該具有存取權的使用者,將實驗室計畫和實驗室組織成個別的資源群組。
例如,您可以為不同的部門建立個別的資源群組,以隔離每個部門的實驗室資源。 然後,可以向一個部門中的實驗室建立者授與對資源群組的權限,該資源群組僅授與他們存取其部門實驗室資源的權限。
重要
預先規劃資源群組和實驗室計畫結構,因為建立實驗室計畫或實驗室之後,無法將實驗室計畫或實驗室移至不同的資源群組。
存取多個資源群組
您可以將多個資源群組的存取權授授予使用者。 然後,在 Azure 實驗室服務網站中,使用者可以從資源群組清單中選擇要檢視的實驗室。
存取多個實驗室計畫
您可以將多個實驗室計畫的存取權授與使用者。 例如,當您將實驗室建立者角色指派給包含多個實驗室計畫的資源群組使用者時。 然後,使用者可以在建立新的實驗室時,從實驗室計畫清單中選擇。
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應