Поделиться через

Использование контроль доступа на основе ролей для управления Виртуальные машины Azure Stack HCI

  • Статья

Область применения: Azure Stack HCI версии 23H2

В этой статье описывается, как использовать контроль доступа на основе ролей (RBAC) для управления доступом к виртуальным машинам Arc, работающим в кластере Azure Stack HCI.

Встроенные роли RBAC можно использовать для управления доступом к виртуальным машинам и ресурсам виртуальных машин, таким как виртуальные диски, сетевые интерфейсы, образы виртуальных машин, логические сети и пути к хранилищу. Эти роли можно назначать пользователям, группам, субъектам-службам и управляемым удостоверениям.

Внимание

Эта функция сейчас доступна в режиме предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Сведения о встроенных ролях RBAC

Чтобы управлять доступом к виртуальным машинам и ресурсам виртуальных машин в Azure Stack HCI, можно использовать следующие роли RBAC:

  • Администратор Azure Stack HCI. Эта роль предоставляет полный доступ к кластеру Azure Stack HCI и его ресурсам. Администратор Azure Stack HCI может зарегистрировать кластер, а также назначить участника виртуальной машины Azure Stack HCI и роли читателя виртуальных машин Azure Stack HCI другим пользователям. Они также могут создавать общие ресурсы кластера, такие как логические сети, образы виртуальных машин и пути к хранилищу.
  • Участник виртуальной машины Azure Stack HCI. Эта роль предоставляет разрешения на выполнение всех действий виртуальных машин, таких как запуск, остановка, перезапуск виртуальных машин. Участник виртуальной машины Azure Stack HCI может создавать и удалять виртуальные машины, а также ресурсы и расширения, подключенные к виртуальным машинам. Участник виртуальной машины Azure Stack HCI не может зарегистрировать кластер или назначать роли другим пользователям, а также создавать общие ресурсы кластера, такие как логические сети, образы виртуальных машин и пути к хранилищу.
  • Средство чтения виртуальных машин Azure Stack HCI. Эта роль предоставляет разрешения только для просмотра виртуальных машин. Средство чтения виртуальных машин не может выполнять никаких действий на виртуальных машинах или ресурсах виртуальных машин и расширениях.

Ниже приведена таблица, описывающая действия виртуальной машины, предоставляемые каждой ролью для виртуальных машин и различных ресурсов виртуальных машин. Ресурсы виртуальной машины ссылаются на ресурсы, необходимые для создания виртуальной машины и включают виртуальные диски, сетевые интерфейсы, образы виртуальных машин, логические сети и пути к хранилищу:

Встроенная роль Виртуальные машины Ресурсы по виртуальным машинам
Администратор Azure Stack HCI Создание, перечисление, удаление виртуальных машин

Запуск, остановка, перезапуск виртуальных машин		 Создание, перечисление, удаление всех ресурсов виртуальных машин, включая логические сети, образы виртуальных машин и пути к хранилищу
Участник виртуальной машины Azure Stack HCI Создание, перечисление, удаление виртуальных машин

Запуск, остановка, перезапуск виртуальных машин		 Создание, перечисление, удаление всех ресурсов виртуальных машин, кроме логических сетей, образов виртуальных машин и путей к хранилищу
Средство чтения виртуальных машин Azure Stack HCI Вывод списка всех виртуальных машин Перечисление всех ресурсов виртуальной машины

Необходимые компоненты

Перед началом работы обязательно выполните следующие предварительные требования:

  1. Убедитесь, что выполнены требования к кластеру Azure Stack HCI.

  2. Убедитесь, что у вас есть доступ к подписке Azure в качестве владельца или администратора доступа пользователей, чтобы назначить роли другим пользователям.

Назначение пользователям ролей

Роли RBAC можно назначить пользователю с помощью портал Azure. Выполните следующие действия, чтобы назначить роли RBAC пользователям:

  1. В портал Azure найдите область предоставления доступа, например поиск подписок, групп ресурсов или определенного ресурса. В этом примере мы используем подписку, в которой развернут кластер Azure Stack HCI.

  2. Перейдите к подписке и перейдите к назначениям ролей управления доступом (IAM>). На верхней панели команд нажмите кнопку +Добавить , а затем выберите "Добавить назначение ролей".

    Если у вас нет разрешений на назначение ролей, параметр "Добавить назначение ролей" отключен.

    Снимок экрана: назначение ролей RBAC в портал Azure для кластера Azure Stack HCI.

  3. На вкладке "Роль" выберите роль RBAC, чтобы назначить и выбрать одну из следующих встроенных ролей:

    • Администратор Azure Stack HCI
    • Участник виртуальной машины Azure Stack HCI
    • Средство чтения виртуальных машин Azure Stack HCI

    Снимок экрана: вкладка

  4. На вкладке "Участники" выберите пользователя, группу или субъект-службу. Также выберите участника, чтобы назначить роль.

    Снимок экрана: вкладка

  5. Просмотрите роль и назначьте ее.

    Снимок экрана: просмотр и назначение вкладки во время назначения ролей в портал Azure для кластера Azure Stack HCI.

  6. Проверьте назначение роли. Перейдите к элементу управления доступом (IAM) > Проверьте просмотр доступа>. Должно появиться назначение роли.

    Снимок экрана: только что назначенная роль в портал Azure для кластера Azure Stack HCI.

Дополнительные сведения о назначении ролей см. в статье "Назначение ролей Azure" с помощью портал Azure.

Следующие шаги