瞭解 Azure Quantum 工作區存取權
瞭解如何管理 Azure Quantum 工作區 (授權) 存取權。
Azure 角色型存取控制
Azure 角色型存取控制 (Azure RBAC) 是您用來管理 Azure 資源存取權的授權系統,例如工作區。 若要授與存取權,您可以將角色指派給安全性主體。
安全性主體
安全性主體是代表使用者、群組、服務主體或受控識別的物件。
| 安全性主體 | 定義 |
|---|---|
| 使用者 | 登入 Azure 以建立、管理及使用資源的使用者帳戶。 |
| 群組 | 使用者群組。 用來管理需要資源相同存取權和許可權的使用者。 |
| 服務主體 | 需要存取資源之應用程式、服務或平臺的使用者身分識別。 |
| 受控識別 | Azure Active Directory 中的自動受控識別 (Azure AD) ,讓應用程式連線到支援 Azure AD 驗證的資源時使用。 |
角色
當您授與安全性主體的存取權時,您會指派 內建角色 或建立 自訂角色。 最常使用的內建角色包括 擁有者、 參與者和 讀者。
| 角色 | 存取層級 |
|---|---|
| 擁有者 | 授與管理所有資源的完整存取權,包括在 Azure RBAC 中指派角色的能力。 |
| 參與者 | 授與管理所有資源的完整存取權,但不允許您在 Azure RBAC 中指派角色。 |
| 讀者 | 可檢視所有資源,但無法變更。 |
範圍
角色會指派在特定範圍。 「範圍」是要套用存取權的一組資源。 範圍會採用父子式關聯性的結構。 階層的每個層級都會讓範圍更為明確。 角色套用範圍依您選取的層級而定。 較低層級會繼承較高層級的角色權限。 您可以在四個範圍層級指派角色:管理群組、訂用帳戶、資源群組或資源。
| 範圍 | 描述 |
|---|---|
| 管理群組 | 協助您管理多個訂用帳戶的存取、原則和合規性。 管理群組中的所有訂用帳戶都會自動繼承套用至管理群組的條件。 如果您的組織有多個訂用帳戶,您可能需要管理群組。 |
| 訂用帳戶 | 以邏輯方式將 使用者帳戶 與其建立的資源產生關聯。 使用者帳戶是使用者身分識別和一或多個訂用帳戶。 「訂用帳戶」代表一組 Azure 資源。 發票會在訂用帳戶範圍產生。 您必須擁有具有作用中訂用帳戶的帳戶,才能建立 Azure 資源。 如需訂用帳戶選項,請參閱 建立 Azure Quantum 工作區。 |
| 資源群組 | 保存 Azure 解決方案相關資源的容器。 資源群組包含您要以群組的形式管理的資源。 例如,在 Azure Quantum 中執行應用程式需要下列資源:
|
| 資源 | 您可以建立的服務實例,例如工作區或儲存體帳戶。 |
注意: 因為存取範圍可以限定在 Azure 中的多個層級,所以使用者在每個層級可能會有不同的角色。 例如,具有工作區擁有者存取權的人員,可能沒有該工作區所屬資源群組的擁有者存取權。
建立工作區的角色需求
當您 建立工作區時,會先選取要與工作區相關聯的訂用帳戶、資源群組和儲存體帳戶。 建立工作區的能力取決於您擁有的存取層級,從訂用帳戶範圍開始。 若要檢視各種資源的授權,請參閱 檢查您的角色指派。
訂用帳戶擁有者
訂用帳戶擁有者可以使用 [快速建立 ] 或 [ 進階建立 ] 選項來建立工作區。 您可以選擇已存在於訂用帳戶下的資源群組和儲存體帳戶,或建立新的資源群組和儲存體帳戶。 您也可以 將角色指派給 其他使用者。
訂用帳戶參與者
訂用帳戶參與者可以使用 [ 進階建立 ] 選項來建立工作區。
若要建立新的儲存體帳戶,您必須選取您是擁有者的現有資源群組。
若要選取現有的儲存體帳戶,您必須是儲存體帳戶的擁有者。 您也必須選取儲存體帳戶所屬的現有資源群組。
訂用帳戶參與者無法將角色指派給其他人。
訂閱讀者
訂用帳戶讀者無法建立工作區。 您可以檢視在訂用帳戶下建立的所有資源,但無法進行任何變更或指派角色。
檢查您的角色指派
檢查您的訂用帳戶
若要查看訂用帳戶和相關聯的角色清單:
- 登入 Azure 入口網站。
- 在 [Azure 服務] 標題下,選取 [訂用帳戶]。 如果您沒看到 [訂用帳戶],請使用搜尋方塊尋找。
- 搜尋方塊旁的 [訂用帳戶] 篩選準則可能預設為 [訂用帳戶 = 全域篩選]。 若要查看所有訂用帳戶的清單,請選取 [訂用帳戶] 篩選準則,然後 取消選取 [只選取在 中選取的訂用帳戶...箱。 然後選取 [套用]。 篩選準則應該會顯示 [訂用帳戶= 全部]。
檢查您的資源
若要檢查您或其他使用者具有特定資源的角色指派,請參閱 檢查使用者對 Azure 資源的存取權。
指派角色
若要將新使用者新增至工作區,您必須是工作區的擁有者。 若要將 10 或更少使用者的存取權授與工作區,請參閱 共用 Azure Quantum 工作區的存取權。 若要授與超過 10 位使用者的存取權,請參閱 將群組新增至您的 Azure Quantum 工作區。
若要在任何範圍指派任何資源的角色,包括訂用帳戶層級,請參閱使用Azure 入口網站指派 Azure 角色。
疑難排解
在 Azure 中建立資源時 (例如工作區),您不會直接成為資源的擁有者。 您的角色繼承自您在該訂用帳戶中被授權的最高範圍角色。
新角色指派有時可能需要一小時的時間,才會對堆疊上的快取許可權生效。
如需常見問題的解決方案,請參閱 針對 Azure Quantum:建立 Azure Quantum 工作區進行疑難排解。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應