在本文中,您將瞭解如何管理 Azure 負載測試資源的存取權(授權)。 Azure 角色型存取控制 (Azure RBAC) 可用來管理 Azure 資源的存取權,例如是否能夠建立新資源或使用現有資源。 您可以使用 Azure 入口網站、Azure 命令列工具或 Azure 管理 API,授與使用者角色型存取權。
先決條件
若要指派 Azure 角色,您的 Azure 帳戶必須具有:
若要建立新的負載測試資源,您的 Azure 帳戶必須具有:
Azure 負載測試中的角色
在 Azure 負載測試中,會將適當的 Azure 角色指派給負載測試資源範圍中的使用者、群組和應用程式,以授與存取權。 以下是負載測試資源支援的內建角色:
| 角色 | 說明 |
|---|---|
| 負載測試讀取器 | 負載測試資源中的唯讀動作。 讀者可以在資源中列出和檢視測試、測試執行、測試配置檔和測試配置檔的執行。 讀者無法建立、更新或執行測試和測試設定檔。 |
| 負載測試參與者 | 在負載測試資源中,檢視、建立、編輯或刪除測試、測試執行、測試配置檔和測試配置檔的執行(如果適用)。 |
| 負載測試擁有者 | 可完整存取負載測試資源,包括能夠在負載測試資源中檢視、建立、編輯或刪除 (如果適用) 資產。 例如,您可修改或刪除負載測試資源。 |
如果您有訂用帳戶層級的 擁有者、 參與者或 負載測試擁有者 角色,則會自動擁有與資源層級的 負載測試擁有者 相同的許可權。
這很重要
您可以將角色存取權的範圍限制在 Azure 中的多個層級。 例如,具有資源擁有者存取權的人員可能沒有包含資源之資源群組的擁有者存取權。 如需詳細資訊,請參閱 Azure RBAC 的運作方式。
角色權限
下表描述提供給每個角色的特定許可權。 這些許可權可以包含可授與許可權的 動作,以及限制這些許可權的 「非動作」。
負載測試擁有者
負載測試擁有者可以管理所有專案,包括存取權。 下表顯示授與角色的權限:
| 行動 | 說明 |
|---|---|
| Microsoft.Resources/deployments/* | 建立和管理資源群組部署。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 取得或列出資源群組。 |
| Microsoft.Insights/警示規則/* | 建立和管理警示規則。 |
| Microsoft.Authorization/*/read(授權管理相關的讀取操作) | 讀取授權。 |
| Microsoft.LoadTestService/* | 建立和管理負載測試資源。 |
| DataActions | 說明 |
|---|---|
| Microsoft.LoadTestService/loadtests/* | 啟動、停止、管理負載測試和測試配置檔。 |
負載測試參與者
負載測試參與者可以管理存取以外的所有專案。 下表顯示授與角色的權限:
| 行動 | 說明 |
|---|---|
| Microsoft.Resources/deployments/* | 建立和管理資源群組部署。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 取得或列出資源群組。 |
| Microsoft.Insights/警示規則/* | 建立和管理警示規則。 |
| Microsoft.Authorization/*/read(授權管理相關的讀取操作) | 讀取授權。 |
| Microsoft.LoadTestService/*/read | 建立和管理負載測試資源。 |
| DataActions | 說明 |
|---|---|
| Microsoft.LoadTestService/loadtests/* | 啟動、停止及管理負載測試。 |
| Microsoft.LoadTestService/testProfiles/* | 建立和管理負載測試配置檔。 |
| Microsoft.LoadTestService/testProfileRuns/* | 啟動、停止及管理負載測試設定檔執行。 |
負載測試讀取者
負載測試讀取器可以檢視負載測試資源中的所有資源,但無法進行任何變更。 下表顯示授與角色的權限:
| 行動 | 說明 |
|---|---|
| Microsoft.Resources/deployments/* | 建立和管理資源群組部署。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 取得或列出資源群組。 |
| Microsoft.Insights/警示規則/* | 建立和管理警示規則。 |
| Microsoft.Authorization/*/read(授權管理相關的讀取操作) | 讀取授權。 |
| Microsoft.LoadTestService/*/read | 建立和管理負載測試資源。 |
| DataActions | 說明 |
|---|---|
| Microsoft.LoadTestService/loadtests/readTest/action | 讀取負載測試。 |
| Microsoft.LoadTestService/testProfiles/read | 讀取負載測試配置檔。 |
| Microsoft.LoadTestService/testProfileRuns/read | 讀取負載測試設定檔運行。 |
為您的負載測試資源設定 Azure RBAC
下一節說明如何透過 Azure 入口網站和 PowerShell 在負載測試資源上設定 Azure RBAC。
使用 Azure 入口網站設定 Azure RBAC
登入 Azure 入口網站,並從 [Azure 負載測試] 頁面開啟負載測試資源。
選取 [訪問控制][IAM], 然後從可用角色清單中選取角色。 您可以選擇 Azure 負載測試資源所支援的任何可用內建角色,或您可能已定義的任何自定義角色。 將角色指派給您想要授與許可權的使用者。
如需詳細步驟,請參閱使用 Azure 入口網站指派 Azure 角色。
移除使用者的角色指派
您可以移除未管理 Azure 負載測試資源之使用者的訪問許可權,或不再為組織工作的使用者。 下列步驟示範如何從用戶移除角色指派。 如需詳細步驟,請參閱 移除 Azure 角色指派:
針對您要移除存取權的範圍 (例如管理群組、訂用帳戶、資源群組或資源) 開啟 [存取控制 (IAM)]。
請選取 [角色指派] 索引標籤以檢視此範圍中的所有角色指派。
在角色指派清單中,勾選具有您想移除角色指派的使用者旁邊的複選框。
選取 [移除],然後選取 [ 是 ] 以確認。
使用 PowerShell 設定 Azure RBAC
您也可以使用下列 Azure PowerShell Cmdlet 來設定負載測試資源的角色型存取:
Get-AzRoleDefinition 會列出Microsoft Entra ID 中可用的所有 Azure 角色。 您可以使用這個 Cmdlet 搭配 Name 參數來列出特定角色可執行的所有動作。
Get-AzRoleDefinition -Name 'Load Test Contributor'下列代碼段是範例輸出:
Name : Load Test Contributor Id : 00000000-0000-0000-0000-000000000000 IsCustom : False Description : View, create, update, delete and execute load tests. View and list load test resources but can not make any changes. Actions : {Microsoft.LoadTestService/*/read, Microsoft.Authorization/*/read, Microsoft.Resources/deployments/*, Microsoft.Resources/subscriptions/resourceGroups/read…} NotActions : {} DataActions : {Microsoft.LoadTestService/loadtests/*} NotDataActions : {} AssignableScopes : {/}Get-AzRoleAssignment 會列出指定範圍中的 Azure 角色指派。 如果沒有任何參數,此 Cmdlet 會傳回訂用帳戶下所做的所有角色指派。
ExpandPrincipalGroups使用 參數來列出指定使用者的存取指派,以及用戶所屬的群組。範例:使用下列 Cmdlet 列出負載測試資源內的所有使用者及其角色。
Get-AzRoleAssignment -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.LoadTestService/loadtests/<Load Test Name>'使用 New-AzRoleAssignment 將存取權指派給特定範圍的使用者、群組和應用程式。
範例:使用下列命令為負載測試資源範圍中的使用者指派「負載測試讀取器」角色。
New-AzRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName 'Load Test Reader' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.LoadTestService/loadtests/<Load Testing resource name>'使用 Remove-AzRoleAssignment 從特定範圍移除指定使用者、群組或應用程式的存取權。
範例:使用下列命令,從負載測試資源範圍中的負載測試讀取器角色中移除使用者。
Remove-AzRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName 'Load Test Reader' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.LoadTestService/loadtests/<Load Testing resource name>'
故障排除
本節列出針對 Azure 負載測試中使用者存取常見問題進行疑難解答的步驟。
無法建立或執行使用 You are not authorized to use this resource 的測試
如果您的 Azure 帳戶沒有管理測試的必要許可權,您就會遇到此訊息。 請務必將 負載測試擁有者 或 負載測試參與者 角色授與用戶負載測試資源。
相關內容
- 深入瞭解 使用受控識別。
- 深入了解識別效能瓶頸(教學課程)。