Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: гиперконвергентные развертывания Azure Local
В этой статье описывается, как использовать Управление доступом на основе ролей (RBAC) для управления доступом к виртуальным машинам Azure Local, подключенным через Azure Arc.
Встроенные роли RBAC можно использовать для управления доступом к виртуальным машинам и ресурсам виртуальных машин, таким как виртуальные диски, сетевые интерфейсы, образы виртуальных машин, логические сети и пути к хранилищу. Эти роли можно назначать пользователям, группам, служебным субъектам и управляемым сущностям.
Сведения о встроенных ролях RBAC
Чтобы управлять доступом к виртуальным машинам и ресурсам виртуальных машин в Azure Local, можно использовать следующие роли RBAC:
- Администратор Azure Stack HCI. Эта роль предоставляет полный доступ к локальному экземпляру Azure и его ресурсам. Администратор Azure Stack HCI может зарегистрировать систему и назначать роли участника виртуальных машин Azure Stack HCI и роли читателя виртуальных машин Azure Stack HCI другим пользователям. Они также могут создавать общие ресурсы, такие как логические сети, образы виртуальных машин и пути к хранилищу.
- Azure Stack HCI участник виртуальных машин — эта роль предоставляет разрешения на выполнение всех действий с виртуальными машинами, таких как запуск, остановка и перезапуск. Участник виртуальной машины HCI Azure Stack может создавать и удалять виртуальные машины и ресурсы и расширения, подключенные к виртуальным машинам. Участник виртуальной машины HCI Azure Stack не может зарегистрировать систему, назначить роли другим пользователям или создать общие системные ресурсы, такие как логические сети, образы виртуальных машин и пути к хранилищу.
- Читатель виртуальных машин Azure Stack HCI — эта роль предоставляет права только на просмотр виртуальных машин. Средство чтения виртуальных машин не может выполнять никаких действий на виртуальных машинах, их ресурсах или расширениях.
Ниже приведена таблица, описывающая действия виртуальной машины, предоставляемые каждой ролью для виртуальных машин и различных ресурсов виртуальных машин. Ресурсы виртуальной машины ссылаются на ресурсы, необходимые для создания виртуальной машины и включают виртуальные диски, сетевые интерфейсы, образы виртуальных машин, логические сети и пути к хранилищу:
| Встроенная роль | Виртуальные машины | Ресурсы ВМ |
|---|---|---|
| Администратор Azure Stack HCI | Создание, перечисление, удаление виртуальных машин Запуск, остановка, перезапуск виртуальных машин |
Создание, перечисление, удаление всех ресурсов виртуальных машин, включая логические сети, образы виртуальных машин и пути к хранилищу |
| Соавтор ВМ Azure Stack HCI | Создание, перечисление, удаление виртуальных машин Запуск, остановка, перезапуск виртуальных машин |
Создание, перечисление, удаление всех ресурсов виртуальных машин, кроме логических сетей, образов виртуальных машин и путей к хранилищу |
| Azure Stack HCI Читатель ВМ | Вывод списка всех виртуальных машин | Перечисление всех ресурсов виртуальной машины |
Предварительные условия
Перед началом работы обязательно выполните следующие предварительные требования:
Убедитесь, что вы выполняете требования Azure Local.
Убедитесь, что у вас есть доступ к Azure подписке в качестве владельца или администратора доступа пользователей, чтобы назначить роли другим пользователям.
Это важно
Мы рекомендуем использовать ту же подписку Azure для локальной инфраструктуры Azure и рабочих нагрузок, включая локальные виртуальные машины Azure, включенные с помощью Azure Arc. Хотя RBAC поддерживает назначения ролей между подписками, существуют известные ограничения при использовании Azure CLI для создания или управления локальными ресурсами Azure между подписками.
Назначение пользователям ролей RBAC
Роли RBAC можно назначать пользователям с помощью портала Azure. Выполните следующие действия, чтобы назначить роли RBAC пользователям:
На портале Azure найдите область предоставления доступа, например поиск подписок, групп ресурсов или определенного ресурса. В этом примере мы используем подписку, в которой развернут ваш Azure Local.
Перейдите к подписке, а затем перейдите к управлению доступом (IAM)>назначениям ролей. На верхней панели команд нажмите кнопку +Добавить , а затем выберите "Добавить назначение ролей".
Если у вас нет разрешений на назначение ролей, параметр "Добавить назначение ролей" отключен.
На вкладке "Роль" выберите роль RBAC, чтобы назначить и выбрать одну из следующих встроенных ролей:
- Администратор Azure Stack HCI
- Вкладчик виртуальной машины Azure Stack HCI
- Читатель ВМ Azure Stack HCI
На вкладке "Участники" выберите пользователя, группу или субъект-службу. Выберите также участника для назначения роли.
Просмотрите роль и назначьте ее.
Проверьте назначение роли. Перейдите к элементу управления доступом (IAM)>Check access>View my access. Вы должны увидеть назначение роли.
Дополнительные сведения о назначении ролей см. в статье Назначение ролей Azure с помощью портала Azure.