Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Факторы, определяющие, какие данные можно получить в рабочей области Azure Monitor:
- Параметры самой рабочей области.
- Разрешения на доступ к ресурсам, отправляющим данные в рабочую область.
- Способ, используемый для доступа к рабочей области.
В этой статье описывается, как управлять доступом к данным в рабочей области Azure Monitor.
Обзор
Факторы, определяющие доступ к данным, описаны в следующей таблице. Каждый фактор подробно описан в следующих разделах.
| Фактор | Description |
|---|---|
| Область запроса | Метод, используемый для запроса API HTTP Prometheus, предоставляемых Azure для всех метрик рабочей области Azure Monitor. Определяет область, в пределах которой будут доступны данные, и применяемый режим управления доступом. |
| Режим управления доступом | Параметр рабочей области, который определяет, будут ли применяться разрешения на уровне рабочей области или на уровне ресурса. |
| Управление доступом на основе ролей в Azure (RBAC) | Разрешения, применяемые к отдельным пользователям или группам пользователей для рабочей области или ресурса, отправляющих данные в рабочую область. Определяют, к каким данным вы будете иметь доступ. |
Область запроса
Область запроса ссылается на доступ к рабочей области Azure Monitor и определяет доступные данные.
Существует две области запросов:
Область рабочей области. Вы можете просмотреть все метрики в рабочей области, для которой у вас есть разрешение. Эти запросы охватывают все данные в рабочей области, к которой у вас есть доступ. При выборе области рабочей области Azure Monitor на любой панели мониторинга Azure Monitor в портале Azure используется эта рабочая область.
Область ресурсов. При доступе к метрикам для определенного ресурса, группы ресурсов или подписки, например при выборе метрик в меню ресурсов на портале Azure, azure RBAC используется для просмотра метрик только для ресурсов, к которым у вас есть доступ. В зависимости от режима управления доступом, настроенного для рабочих областей, где размещаются метрики ресурсов, может потребоваться прямой доступ к рабочим областям в дополнение к ресурсам, запрошенным. Подробные сведения о запросах с областью ресурсов см. в разделе Запросы с областью ресурсов для рабочей области Azure Monitor.
Метрики доступны только в запросах области ресурсов, если они связаны с соответствующим ресурсом. Чтобы проверить эту связь, запустите запрос и убедитесь, что Microsoft.resourceid измерение заполнено. Дополнительные сведения см. в разделе "Измерения ресурсов".
Существуют ограничения со следующими ресурсами:
- Компьютеры за пределами Azure: запросы с областью ресурсов поддерживаются только для внешних компьютеров, настроенных с помощью Azure Arc для серверов.
-
Application Insights: поддерживается для запросов, связанных с областью ресурсов, только при использовании метрик OpenTelemetry, которые имеют связанное правило сбора данных DCR, управляющее проставлением необходимых
Microsoft.*измерений.
Сравнение областей запросов
В следующей таблице перечислены сценарии и лица, использующие каждую область запроса:
| Проблема | Область рабочей области | Область ресурсов |
|---|---|---|
| Для кого предназначена каждая модель? | Центральное управление. Администраторы, которым необходимо настроить сбор данных и пользователей, которым требуется доступ к различным ресурсам. В настоящее время это необходимо для пользователей, которым требуется доступ к метрикам ресурсов за пределами Azure, например, тех, которые отправляются через remote-write (удаленная запись) без активированного Azure Arc на хостинговых машинах. |
Команды приложений. Отслеживаемые администраторы ресурсов Azure. Позволяет им сосредоточиться на ресурсе без фильтрации. |
| Что требуется пользователю для просмотра метрик? | Разрешения для рабочей области. См. раздел "Разрешения рабочей области" в разделе "Управление доступом с помощью разрешений рабочей области". |
Доступ на чтение к ресурсу. См. раздел "Разрешения ресурсов" в разделе "Управление доступом с помощью разрешений Azure". Разрешения могут быть унаследованы от группы ресурсов или подписки или напрямую назначены ресурсу. Для ресурса автоматически назначается разрешение на доступ к метрикам. Пользователю не требуется доступ к рабочей области. |
| Что такое область разрешений? | Workspace. Пользователи с доступом к рабочей области могут запрашивать все метрики в рабочей области. |
Ресурс Azure. Пользователи могут запрашивать метрики для определенных ресурсов, групп ресурсов или подписок, к которых у них есть доступ в любой рабочей области, но они не могут запрашивать метрики для других ресурсов. |
| Как пользователь может получить доступ к метрикам? | В меню Azure Monitor выберите метрики. Выберите метрики из рабочих областей Azure Monitor. Из Azure Monitor, когда для типа ресурса выбрана рабочая область Azure Monitor. |
Выберите метрики в меню ресурса Azure. У пользователей будет доступ к данным для этого ресурса. Выберите метрики в меню Azure Monitor . У пользователей будет доступ к данным для всех ресурсов, к которых у них есть доступ. |
Режим управления доступом
Режим управления доступом — это параметр для каждой рабочей области, определяющий способ определения разрешений для рабочей области.
Требовать разрешения рабочей области. Этот режим управления не позволяет детализировать уровень ресурсов Azure RBAC. Чтобы получить доступ к рабочей области, пользователю необходимо предоставить разрешения для рабочей области.
Когда пользователь задает область запроса к рабочей области, применяются разрешения рабочей области. Когда пользователь задает область запроса к ресурсу, проверяются как разрешения рабочей области, так и разрешения ресурсов.
Этот параметр используется по умолчанию для всех рабочих областей, созданных до октября 2025 г.
Используйте разрешения ресурсов или рабочей области. В этом режиме поддерживается детализированное управление доступом с помощью Azure RBAC. Пользователям можно предоставить доступ только к данным, связанным с ресурсами, которые они могут просматривать, назначив разрешение Azure
read.Когда пользователь задает область запроса к рабочей области, применяются разрешения рабочей области. Когда пользователь задает область запроса к ресурсу, проверяются только разрешения ресурсов, а разрешения рабочей области игнорируются.
Этот параметр используется по умолчанию для всех рабочих областей, созданных после октября 2025 года.
Замечание
Если у пользователя есть только разрешения на ресурсы для рабочей области, они могут получить доступ только к рабочей области с помощью запросов с областью ресурсов, если для режима доступа к рабочей области задан режим использования ресурсов или разрешений рабочей области. В разделе разрешений подробно описаны конкретные разрешения Azure RBAC, необходимые для различных сценариев.
Настройка режима управления доступом для рабочей области
Менеджер ресурсов
Чтобы настроить режим доступа в шаблоне Azure Resource Manager, задайте флаг компонента enableAccessUsingResourcePermissions в рабочей области одним из следующих значений:
false: для рабочей области установите разрешения контекста рабочей области. Этот параметр используется по умолчанию, если флаг не задан.
True: задайте для рабочей области разрешения контекста ресурсов .
Замечание
Шаблон ARM — это единственный метод, поддерживаемый в настоящее время для настройки управления доступом для рабочей области Azure Monitor.
Azure RBAC
Доступ к рабочей области управляется с помощью Azure RBAC. Чтобы предоставить доступ к рабочей области Azure Monitor с помощью разрешений Azure, выполните действия, описанные в статье "Назначение ролей Azure для управления доступом к ресурсам подписки Azure".
Встроенные роли
Назначьте пользователям эти роли, чтобы предоставить им доступ в различных областях:
- Подписка: доступ ко всем рабочим областям в подписке
- Группа ресурсов. Доступ ко всем рабочим областям в группе ресурсов
- Ресурс: доступ только к указанной рабочей области
Создайте назначения на уровне ресурса (рабочей области), чтобы обеспечить точный контроль доступа. Используйте пользовательские роли для создания ролей с необходимыми разрешениями.
Замечание
Чтобы добавить и удалить пользователей в роль пользователя, необходимо иметь Microsoft.Authorization/*/Delete и Microsoft.Authorization/*/Write разрешение.
Monitoring Reader (Читатель данных мониторинга)
Члены роли Читатель мониторинга могут просматривать все данные мониторинга и параметры мониторинга, включая настройку диагностики Azure для всех ресурсов Azure. Позволяет членам просматривать все данные о ресурсах в назначенной области, включая:
- Просмотр и запрос всех данных мониторинга (например, метрик)
- Просмотр параметров мониторинга, включая просмотр конфигурации диагностики Azure во всех ресурсах Azure или набор режимов управления доступом.
Роль Читателя мониторинга включает следующие действия Azure:
| Тип | Разрешение | Description |
|---|---|---|
| Действие | */read |
Возможность просматривать все ресурсы Azure, конфигурацию ресурсов и метрики об этом ресурсе с помощью меток Microsoft.resourceid. Для рабочих областей можно использовать полные неограниченные разрешения для чтения параметров рабочей области и запроса данных. |
| Действие | Microsoft.Support/* |
Возможность открывать запросы в службу поддержки. |
Участник мониторинга
Члены роли участника мониторинга могут просматривать все данные мониторинга в подписке. Они также могут создавать или изменять параметры мониторинга, но они не могут изменять другие ресурсы.
Эта роль является расширенной версией роли чтения данных мониторинга. Это подходит для членов группы мониторинга организации или управляемых поставщиков услуг, которые, помимо указанных ранее разрешений, должны:
- Чтение всех данных мониторинга, предоставленных ролью средства чтения мониторинга.
- Просмотр панелей мониторинга на портале и создание собственных частных панелей мониторинга.
- Создание и изменение параметров диагностики для ресурса.
- Задайте действие правила генерации оповещений и параметры с помощью оповещений Azure.
Подробный список действий Azure, включенных в роль, см. в разделе "Участник мониторинга ".
Разрешения для ресурсов
Чтобы задать область запросов к ресурсу, вам потребуются следующие разрешения для ресурса:
| Разрешение | Description |
|---|---|
Microsoft.Insights/metrics/*/read |
Возможность просмотра всех данных метрик для ресурса |
Разрешение /read обычно предоставляется из роли, которая включает */read или* разрешения, такие как встроенные роли Читатель и Участник. Пользовательские роли, включающие определенные действия или выделенные встроенные роли, могут не включать это разрешение.
Дальнейшие шаги
- Дополнительные сведения о рабочих областях Azure Monitor.