Azure 實驗室服務中的 Azure 角色型存取控制
Azure 實驗室服務針對 Azure 實驗室服務中的常見管理案例,提供內建的 Azure 角色型存取控制 (Azure RBAC)。 具有 Microsoft Entra 識別碼中設定檔的個人可以將這些 Azure 角色指派給使用者、群組、服務主體或受控識別,以授與或拒絕 Azure 實驗室服務資源上資源和作業的存取權。 本文說明 Azure 實驗室服務支援的不同內建角色。
Azure 角色型存取控制 (RBAC) 是以 Azure Resource Manager 為基礎的 授權系統,可提供更細緻的 Azure 資源存取管理。
Azure RBAC 會指定要套用之許可權的內建角色定義。 您可以透過特定範圍的角色指派來指派使用者或群組此角色定義。 範圍可以是個別資源、資源群組或跨訂用帳戶。 在下一節中,您將瞭解 Azure 實驗室服務支援的內建角色 。
如需詳細資訊,請參閱 什麼是 Azure 角色型存取控制 (Azure RBAC) ?
注意
當您進行角色指派變更時,可能需要幾分鐘的時間才能傳播這些更新。
內建角色
在本文中,Azure 內建角色會根據其影響範圍,以邏輯方式分組為兩種角色類型:
- 管理員istrator 角色:影響實驗室計畫和實驗室的許可權
- 實驗室管理角色:影響實驗室的許可權
以下是 Azure 實驗室服務支援的內建角色:
| 角色類型 | 內建角色 | 描述 |
|---|---|---|
| 系統管理員 | 負責人 | 授與建立/管理實驗室計畫和實驗室的完整控制權,以及將許可權授與其他使用者。 深入瞭解 擁有者角色 。 |
| 系統管理員 | 參與者 | 授與建立/管理實驗室計畫和實驗室的完整控制權,但指派角色給其他使用者除外。 深入瞭解 參與者角色 。 |
| 系統管理員 | 實驗室服務參與者 | 授與擁有者角色相同的許可權,但指派角色除外。 深入瞭解 實驗室服務參與者角色 。 |
| 實驗室管理 | 實驗室建立者 | 授與建立實驗室的許可權,並對其建立的實驗室擁有完整控制權。 深入瞭解 實驗室建立者角色 。 |
| 實驗室管理 | 實驗室參與者 | 授與許可權以協助管理現有的實驗室,但無法建立新的實驗室。 深入瞭解 實驗室參與者角色 。 |
| 實驗室管理 | 實驗室助理 | 授與檢視現有實驗室的許可權。 也可以啟動、停止或重新映射實驗室中的任何 VM。 深入瞭解 實驗室助理角色 。 |
| 實驗室管理 | 實驗室服務讀取器 | 授與檢視現有實驗室的許可權。 深入瞭解 實驗室服務讀者角色 。 |
角色指派範圍
在 Azure RBAC 中, 範圍 是一組要套用存取的資源。 當您指派角色時,請務必瞭解範圍,以便只授與所需的存取權。
Azure 有下列四個層級可讓您指定範圍:管理群組、訂閱、資源群組和資源。 範圍會採用父子式關聯性的結構。 階層的每個層級都會讓範圍更為明確。 您可以在這裡的任何層級範圍當中指派角色。 角色套用範圍依您選取的層級而定。 較低層級會繼承較高層級的角色權限。 深入瞭解 Azure RBAC 的範圍。
針對 Azure 實驗室服務,請考慮下列範圍:
| 影響範圍 | 描述 |
|---|---|
| 訂用帳戶 | 用來管理所有 Azure 資源和服務的計費和安全性。 一般而言,只有系統管理員具有訂用帳戶層級的存取權,因為此角色指派會授與訂用帳戶中所有資源的存取權。 |
| 資源群組 | 用來將資源分組的邏輯容器。 資源群組的角色指派會將許可權授與資源群組及其內的所有資源,例如實驗室和實驗室計畫。 |
| 實驗室計畫 | 建立實驗室時,用來套用一般組態設定的 Azure 資源。 實驗室計畫的角色指派只會授與特定實驗室計畫的許可權。 |
| 實驗室 | 用來套用常見組態設定的 Azure 資源,用於建立和執行實驗室虛擬機器。 實驗室的角色指派只會授與特定實驗室的許可權。 |
重要
在 Azure 實驗室服務中,實驗室方案和實驗室是 彼此的同層級 資源。 因此,實驗室不會從 實驗室計畫 繼承任何角色指派。 不過,資源 群組 的角色指派是由該資源群組中的實驗室計畫和實驗室所繼承。
常見實驗室活動的角色
下表顯示一般實驗室活動,以及使用者執行該活動所需的角色。
| Activity | 角色類型 | 角色 | 範圍 |
|---|---|---|---|
| 授與建立資源群組的許可權。 資源群組是 Azure 中用來保存實驗室計畫和實驗室的邏輯容器。 您必須先 存在此資源群組,才能建立實驗室計畫或實驗室。 | 系統管理員 | 擁有者或參與者 | 訂用帳戶 |
| 授與提交 Microsoft 支援票證的許可權,包括 要求容量 。 | 系統管理員 | 擁有者 、 參與者 、 支援要求參與者 | 訂用帳戶 |
| 授與許可權給: - 將角色指派給其他使用者。 - 在資源群組內建立/管理實驗室計畫、實驗室和其他資源。 - 在實驗室方案中啟用/停用市集和自訂映射。 - 附加/中斷連結實驗室方案中的計算資源庫。 |
系統管理員 | 負責人 | 資源群組 |
| 授與許可權給: - 在資源群組內建立/管理實驗室計畫、實驗室和其他資源。 - 在實驗室方案中啟用或停用 Azure Marketplace 和自訂映射。 不過, 無法 將角色指派給其他使用者。 |
系統管理員 | 參與者 | 資源群組 |
| 授與許可權,以針對 資源群組內的所有 實驗室計畫建立或管理您自己的實驗室。 | 實驗室管理 | 實驗室建立者 | 資源群組 |
| 授與建立或管理特定實驗室計畫的許可權。 | 實驗室管理 | 實驗室建立者 | 實驗室計畫 |
| 授與共同管理實驗室的許可權,但 無法 建立實驗室。 | 實驗室管理 | 實驗室參與者 | 實驗室 |
| 僅授與資源群組內所有 實驗室的啟動/停止/重新映射 VM 的許可權。 | 實驗室管理 | 實驗室助理 | 資源群組 |
| 僅將許可權授與特定實驗室的啟動/停止/重新映射 VM。 | 實驗室管理 | 實驗室助理 | 實驗室 |
重要
組織的訂用帳戶可用來管理所有 Azure 資源和服務的計費和安全性。 您可以在訂 用帳戶上 指派擁有者或參與者角色。 一般而言,只有系統管理員具有訂用帳戶層級的存取權,因為這包含訂用帳戶中所有資源的完整存取權。
系統管理員角色
若要授與使用者管理組織訂用帳戶內 Azure 實驗室服務的許可權,您應該將擁有者、參與者或實驗室服務參與者 角色指派給他們 。
在資源群組 上 指派這些角色。 資源群組內的實驗室計畫和實驗室會繼承這些角色指派。
下表會比較在資源群組上指派不同的系統管理員角色。
| 實驗室計畫/實驗室 | Activity | 擁有者 | 參與者 | 實驗室服務參與者 |
|---|---|---|---|---|
| 實驗室計畫 | 檢視資源群組內的所有實驗室計畫 | Yes | Yes | Yes |
| 實驗室計畫 | 在資源群組內建立、變更或刪除所有實驗室計畫 | Yes | Yes | Yes |
| 實驗室計畫 | 將角色指派給資源群組內的實驗室計畫 | 是 | 否 | No |
| 實驗室 | 在資源群組內建立實驗室** | Yes | Yes | Yes |
| 實驗室 | 檢視資源群組內的其他使用者實驗室 | Yes | Yes | Yes |
| 實驗室 | 變更或刪除資源群組內的其他使用者實驗室 | Yes | 是 | No |
| 實驗室 | 將角色指派給資源群組內的其他使用者實驗室 | 是 | 否 | No |
** 使用者會自動獲得檢視、變更設定、刪除及指派其建立實驗室角色的許可權。
擁有者角色
指派擁有者角色,讓使用者完全控制建立或管理實驗室計畫和實驗室,以及將許可權授與其他使用者。 當使用者在資源群組上具有擁有者角色時,他們可以跨資源群組內的所有資源執行下列活動:
- 將角色指派給系統管理員,以便管理實驗室相關資源。
- 將角色指派給實驗室管理員,以便建立和管理實驗室。
- 建立實驗室方案和實驗室。
- 檢視、刪除和變更所有實驗室方案的設定,包括連結或中斷連結計算資源庫,以及啟用或停用實驗室方案中的 Azure Marketplace 和自訂映射。
- 檢視、刪除和變更所有實驗室的設定。
警告
當您在資源群組上指派擁有者或參與者角色時,這些許可權也適用于存在於資源群組中的非實驗室相關資源。 例如,虛擬網路、儲存體帳戶、計算資源庫等資源。
參與者角色
指派參與者角色,讓使用者完全控制資源群組內的建立或管理實驗室計畫和實驗室。 參與者角色具有與擁有者角色相同的許可權, 但下列除外 :
- 執行角色指派
實驗室服務參與者角色
實驗室服務參與者是最嚴格的系統管理員角色。 指派實驗室服務參與者角色,以啟用與擁有者角色相同的活動, 但下列除外 :
- 執行角色指派
- 變更或刪除其他使用者的實驗室
注意
實驗室服務參與者角色不允許變更與 Azure 實驗室服務無關的資源。 另一方面,參與者 角色允許變更資源群組內的所有 Azure 資源。
實驗室管理角色
使用下列角色授與使用者建立和管理實驗室的許可權:
- 實驗室建立者
- 實驗室參與者
- 實驗室助理
- 實驗室服務讀取器
這些實驗室管理角色只會授與檢視實驗室計畫的許可權。 這些角色不允許建立、變更、刪除或指派角色給實驗室計畫。 此外,具有這些角色的使用者無法連結或中斷連結計算資源庫,並啟用或停用虛擬機器映射。
實驗室建立者角色
指派實驗室建立者角色,以授與使用者建立實驗室的許可權,並完全控制他們建立的實驗室。 例如,他們可以變更實驗室的設定、刪除其實驗室,甚至授與其他使用者實驗室的許可權。
在資源群組或實驗室計畫 上 指派實驗室建立者角色。
下表比較資源群組或實驗室計畫的實驗室建立者角色指派。
| Activity | 資源群組 | 實驗室計畫 |
|---|---|---|
| 在資源群組內建立實驗室** | Yes | Yes |
| 檢視他們建立的實驗室 | Yes | Yes |
| 檢視資源群組內的其他使用者實驗室 | 是 | No |
| 變更或刪除使用者建立的實驗室 | Yes | Yes |
| 變更或刪除資源群組內的其他使用者實驗室 | No | No |
| 將角色指派給資源群組內的其他使用者實驗室 | No | No |
** 使用者會自動獲得檢視、變更設定、刪除及指派其建立實驗室角色的許可權。
實驗室參與者角色
指派實驗室參與者角色,以授與使用者許可權,以協助管理現有的實驗室。
在實驗室上 指派實驗室 參與者角色。
當您在實驗室上指派實驗室參與者角色時,使用者可以管理指派的實驗室。 具體來說,使用者:
- 可以檢視、變更所有設定,或刪除指派的實驗室。
- 使用者無法檢視其他使用者的實驗室。
- 無法建立新的實驗室。
實驗室助理角色
指派實驗室助理角色,以授與使用者檢視實驗室的許可權,以及啟動、停止及重新映射實驗室虛擬機器的實驗室。
在資源群組或實驗室上 指派實驗室 助理角色。
當您在資源群組上指派實驗室助理角色時,使用者:
- 可以檢視資源群組內的所有實驗室,並針對每個實驗室啟動、停止或重新映射實驗室虛擬機器。
- 無法刪除或對實驗室進行任何任何其他變更。
當您在實驗室上指派實驗室助理角色時,使用者:
- 可以檢視指派的實驗室和啟動、停止或重新映射實驗室虛擬機器。
- 無法刪除或對實驗室進行任何任何其他變更。
- 無法建立新的實驗室。
當您擁有實驗室助理角色時,若要檢視您獲得存取權的其他實驗室,請務必在 Azure 實驗室服務網站中選擇 [所有實驗室 ] 篩選準則。
實驗室服務讀取者角色
指派實驗室服務讀取者角色,以授與使用者許可權檢視現有的實驗室。 使用者無法對現有的實驗室進行任何變更。
在資源群組或實驗室 上 指派實驗室服務讀取者角色。
當您在資源群組上指派實驗室服務讀取者角色時,使用者可以:
- 檢視資源群組內的所有實驗室。
當您在實驗室上指派實驗室服務讀取者角色時,使用者可以:
- 只檢視特定實驗室。
身分識別與存取權管理 (IAM)
Azure 入口網站中的 [存取控制] 頁面可用來設定 Azure 實驗室服務資源上的 Azure 角色型存取控制。 您可以針對 Active Directory 中的個人和群組使用內建角色。 下列螢幕擷取畫面顯示使用存取控制的 Active Directory 整合 (Azure RBAC) Azure 入口網站:
如需詳細步驟,請參閱使用 Azure 入口網站指派 Azure 角色。
資源群組和實驗室計畫結構
您的組織應該預先投入時間來規劃資源群組和實驗室計畫的結構。 當您在資源群組上指派角色時,這特別重要,因為它也會將許可權套用至資源群組中的所有資源。
若要確保使用者只獲授與適當資源的許可權:
建立僅包含實驗室相關資源的資源群組。
根據應該具有存取權的使用者,將實驗室計畫和實驗室組織成個別的資源群組。
例如,您可以為不同的部門建立個別的資源群組,以隔離每個部門的實驗室資源。 然後,一個部門中的實驗室建立者可以獲授與資源群組的許可權,只授與他們部門實驗室資源的存取權。
重要
預先規劃資源群組和實驗室計畫結構,因為建立實驗室計畫或實驗室之後無法將實驗室計畫或實驗室移至不同的資源群組。
存取多個資源群組
您可以將多個資源群組的存取權授與使用者。 在 Azure 實驗室服務網站 中,使用者可以從資源群組清單中選擇以檢視其實驗室。
存取多個實驗室方案
您可以將多個實驗室方案的存取權授與使用者。 例如,當您將實驗室建立者角色指派給包含多個實驗室計畫的資源群組使用者時。 然後,使用者可以在建立新的實驗室時,從實驗室計畫清單中選擇。
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應