Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Агент может исследовать проблемы, выполнять действия в рабочей инфраструктуре и получать доступ к конфиденциальным данным в вашей среде. Управление доступом определяет, кто может запрашивать действия, кто может их утверждать, и кто может изменять конфигурацию агента.
Общие сведения о контроле доступа
Управление доступом работает на трех уровнях:
| Уровень | Элементы управления | Настроено в |
|---|---|---|
| Роли пользователей (эта страница) | Действия пользователей, которые они могут выполнять с агентом | Azure IAM в ресурсе агента |
| Режимы выполнения | Запрашивает ли агент перед действием | В соответствии с планом ответных действий и запланированной задачей |
| Разрешения агента | К чему агент может получить доступ в Azure | Роли RBAC в группах ресурсов |
Три встроенные роли
| Роль | Могу сделать | Не могу сделать |
|---|---|---|
| Читатель агента SRE | Просмотр потоков, журналов, инцидентов | Чат, запрос действий, изменение чего угодно |
| Стандартный пользователь агента SRE | Чат, запуск диагностики, запрос действий | Утверждение действий, удаление ресурсов, изменение соединителей |
| Администратор агента SRE | Утверждение действий, управление соединителями, удаление ресурсов | — |
Пользователь, создающий агент, автоматически получает роль администратора агента SRE .
Кто должен иметь какую роль?
| Роль | Дать |
|---|---|
| Читатель агента SRE | Аудиторы, группы соответствия требованиям, заинтересованные лица, которым нужна видимость |
| Стандартный пользователь агента SRE | Инженеры L1/L2, первыми реагирующими, все, кто диагностирует проблемы |
| Администратор агента SRE | Руководители SRE, администраторы облака, командиры инцидентов |
Как портал осуществляет контроль над разрешениями
Портал проверяет назначения ролей Azure при доступе к агенту. Доступ обеспечивается на двух уровнях.
Нет доступа к агенту
Если у вас нет назначения роли агента SRE, на портале отображается экран Требуется доступ со значком щита и кнопкой Перейти к управлению доступом, которая открывает панель Azure IAM. Если у вас есть роль владельца Azure или участника Azure на ресурсе, вы также увидите баннер с предложением автоматически назначить роль администратора.
Принудительное применение бэкенда
Если у вас есть роль агента SRE, но предпринята попытка выполнить действие за пределами разрешений, серверная часть блокирует действие с ошибкой 403. Портал может позволить перейти на страницу или выбрать кнопку, но операция завершается ошибкой разрешения при достижении сервера.
Замечание
Некоторые функции портала упреждающе отключают кнопки при отсутствии разрешений на запись. Однако это пока не согласовано во всех функциях. Серверная часть всегда применяет правильные разрешения независимо от того, что отображает пользовательский интерфейс.
Доступ к каждой роли
| Area | Reader | пользователь Standard | Администратор |
|---|---|---|---|
| Чат | Просмотр потоков (только для чтения) | Отправка сообщений, запуск потоков | Полный доступ и возможность одобрять действия, удаление тем |
| Рабочая панель агента | Просмотр настраиваемых агентов | Просмотр настраиваемых агентов | Создание, изменение, удаление пользовательских агентов |
| База знаний | Обзор документов | Отправить документы | Отправка и удаление документов |
| Соединители | Просмотр соединителей | Просмотр соединителей | Добавление, изменение, удаление соединителей |
| Планы реагирования | Просмотр планов | Просмотр планов | Создание, изменение, удаление планов |
| Управляемые ресурсы | Просмотр ресурсов | Просмотр ресурсов | Добавление, удаление ресурсов |
| Settings | Параметры представления | Параметры представления | Изменение параметров, остановка и удаление агента |
Назначьте роли
Назначьте роли через портал Azure (Управление доступом (IAM)>Добавить назначение роли) или с помощью Azure CLI:
az role assignment create \
--assignee user@company.com \
--role "SRE Agent Administrator" \
--scope <agent-resource-id>
Замените имя роли на SRE Agent Standard User или SRE Agent Reader по мере необходимости.
Как роли взаимодействуют друг с другом
| Step | Кто | Действие |
|---|---|---|
| 1 | Инженер (стандартный пользователь) | Исправлена проблема с конфигурацией. |
| 2 | Агент | Проект плана исправления |
| 3 | Агент | Не удается выполнить (требуется утверждение администратора) |
| 4 | Диспетчер (администратор) | Рассматривает и утверждает |
| 5 | Агент | Выполняет исправление с использованием управляемой идентичности |