Поделиться через

Управление доступом к ресурсам в Azure Stack Hub с помощью управления доступом на основе ролей

Azure Stack Hub поддерживает управление доступом на основе ролей (RBAC), ту же модель безопасности для управления доступом , которую использует Microsoft Azure. С помощью RBAC можно управлять доступом пользователей, групп или приложений к подпискам, ресурсам и службам.

Основы управления доступом

Управление доступом на основе ролей (RBAC) обеспечивает точное управление доступом, которое можно использовать для защиты среды. Вы предоставляете пользователям точные разрешения, необходимые им, назначив роль RBAC в определенной области. Область назначения роли может быть подпиской, группой ресурсов или отдельным ресурсом. Дополнительные сведения об управлении доступом см. в статье об управлении доступомRole-Based на портале Azure .

Замечание

При развертывании Azure Stack Hub с помощью служб федерации Active Directory в качестве поставщика удостоверений поддерживаются только универсальные группы для сценариев RBAC.

Встроенные роли

Azure Stack Hub имеет три основные роли, которые можно применить ко всем типам ресурсов:

  • Владелец: предоставляет полный доступ ко всем ресурсам, включая возможность назначать роли в Azure Stack RBAC.
  • Участник. Предоставляет полный доступ для управления всеми ресурсами, но не позволяет назначать роли в Azure Stack RBAC.
  • Читатель: может просматривать все, но не может вносить никаких изменений.

Иерархия ресурсов и наследование

Azure Stack Hub имеет следующую иерархию ресурсов:

  • Каждая подписка принадлежит одному каталогу.
  • Каждая группа ресурсов принадлежит одной подписке.
  • Каждый ресурс принадлежит одной группе ресурсов.

Доступ, предоставленный на родительском уровне, наследуется на дочерних уровнях. Рассмотрим пример.

  • Вы назначаете роль чтеца группе Microsoft Entra на уровне подписки. Члены этой группы могут просматривать каждую группу ресурсов и ресурс в подписке.
  • Вы назначаете приложению роль участника в рамках группы ресурсов. Приложение может управлять ресурсами всех типов в этой группе ресурсов, но не другими группами ресурсов в подписке.

Назначение ролей

Вы можете назначить несколько ролей пользователю, и каждая роль может быть связана с другой областью. Рассмотрим пример.

  • Вы назначаете подписке-1 роль читателя TestUser-A.
  • Вы назначаете TestUser-A роль владельца TestVM-1.

В статье о назначениях ролей Azure содержатся подробные сведения о просмотре, назначении и удалении ролей.

Настройка разрешений доступа для пользователя

Ниже описано, как настроить разрешения для пользователя.

  1. Войдите с помощью учетной записи с разрешениями владельца для ресурса, которым требуется управлять.

  2. В области навигации слева выберите группы ресурсов.

  3. Выберите имя группы ресурсов, для которой требуется задать разрешения.

  4. В панели навигации группы ресурсов выберите Контроль доступа (IAM).
    В представлении "Назначения ролей" перечислены элементы, имеющие доступ к группе ресурсов. Вы можете фильтровать и группировать результаты.

  5. В строке меню управления доступом нажмите кнопку "Добавить".

  6. На панели "Добавление разрешений" :

    • Выберите роль, которую вы хотите назначить из раскрывающегося списка ролей .
    • Выберите ресурс, которому хотите предоставить доступ из раскрывающегося списка Назначить доступ.
    • Выберите пользователя, группу или приложение в каталоге, к которому вы хотите предоставить доступ. Вы можете искать в каталоге отображаемые имена, адреса электронной почты и идентификаторы объектов.

  7. Нажмите кнопку "Сохранить".

Дальнейшие шаги

Создание субъектов-служб