Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
了解如何管理对组织的建议和评审的访问权限。
角色和关联的访问权限
Advisor 使用 Azure 基于角色的访问控制 (Azure RBAC) 提供的内置角色。
查看以下部分,详细了解每个角色和关联的访问权限。
管理建议状态的角色
| 角色 | 查看建议 | 管理建议状态 |
|---|---|---|
| 顾问建议贡献者(评估和评审) | X | X |
| 订阅读取器 | X | |
| 订阅贡献者 | X | X |
| 订阅所有者 | X | X |
| 资源组读者 | X | |
| 资源组参与者 | X | X |
| 资源组所有者 | X | X |
| 资源查看器 | X | |
| 资源贡献者 | X | X |
| 资源所有者 | X | X |
管理对顾问个性化或审查建议的访问权限的角色
| 角色 | 查看评论 | 查看评审建议 | 管理建议状态 |
|---|---|---|---|
| 顾问评论 读者/顾问评论 撰稿人 | X | ||
| 顾问建议贡献者(评估和评审) | X | X | |
| 订阅读取器 | X | X | |
| 订阅贡献者 | X | X | X |
| 订阅所有者 | X | X | X |
| 资源阅读器 | X | X | |
| 资源贡献者 | X | X | X |
| 资源所有者 | X | X | X |
具有编辑规则和配置权限的角色
| 角色 | 编辑规则 | 编辑订阅配置 | 编辑资源组配置 |
|---|---|---|---|
| 订阅贡献者 | X | X | X |
| 订阅所有者 | X | X | X |
| 资源组参与者 | X | ||
| 资源组所有者 | X |
注意
必须有权访问与建议关联的资源才能查看建议。
若要了解内置角色的详细信息,请参阅 Azure 内置角色。 若要详细了解 Azure 基于角色的访问控制 (Azure RBAC),请参阅什么是 Azure 基于角色的访问控制 (Azure RBAC)?。
评审和个性化建议
用于管理对顾问评审访问权限的角色
权限因角色而异。 必须在用于发布评审的订阅中配置这些角色。
| 角色 | 查看某个工作负载的评审以及与这些评审相关的所有建议 | 与评审相关的分类建议 |
|---|---|---|
| 顾问评审读者 | ✅ | |
| 顾问评审参与者 | ✅ | ✅ |
| 订阅阅读器 | ✅ | |
| 订阅贡献者 | ✅ | ✅ |
| 订阅所有者 | ✅ | ✅ |
用于管理对 Advisor 个性化建议的访问权限的角色
必须为待评审的工作负载中包含的订阅配置这些角色。
| 角色 | 查看接受的建议 | 管理建议的生命周期 |
|---|---|---|
| 顾问建议贡献者(评估和评审) | ✅ | ✅ |
| 订阅阅读器 | ✅ | |
| 订阅贡献者 | ✅ | ✅ |
| 订阅所有者 | ✅ | ✅ |
| 资源阅读器 | ✅ | |
| 资源贡献者 | ✅ | ✅ |
| 资源所有者 | ✅ | ✅ |
了解如何分配 Azure 角色,请参阅 分配 Azure 角色的步骤。
查看和管理评估
用于查看和管理评估及相关建议的角色
使用内置角色管理对顾问的良好架构框架(WAF)的访问权限。 权限因角色而异。
| 角色 | 详细信息 |
|---|---|
| 读者 | 查看订阅或工作负载的评估及相关建议。 |
| 贡献者 | 为订阅或工作负载创建评估,并管理关联建议的生命周期。 |
注意
必须针对相关订阅配置相应角色,才能创建评估并查看相应的建议。
用于生成自定义角色的可用操作
如果组织需要的角色与 Azure 内置角色不匹配,请创建自己的自定义角色。 自定义角色的工作方式类似于内置角色,你可以将其分配给管理组、订阅和资源组范围内的用户、组和服务主体。 使用以下操作创建自定义角色。
| 操作 | 详细信息 |
|---|---|
Microsoft.Advisor/recommendations/available/action |
显示可验证的操作 |
Microsoft./generateRecommendations/action |
创建建议 |
Microsoft./register/action |
向提供方注册 |
Microsoft./unregister/action |
从提供程序处取消注册 |
Microsoft./Score/read |
获取顾问评分 |
Microsoft./configurations/read |
读取配置。 |
Microsoft.Advisor/configurations/write |
创建或更新配置 |
Microsoft.Advisor/generateRecommendations/read |
获取 generateRecommendations 操作的状态 |
Microsoft.Advisor/metadata/read |
读取元数据 |
Microsoft.Advisor/operations/read |
获取操作 |
Microsoft.Advisor/recommendations/read |
阅读建议 |
Microsoft.Advisor/recommendations/write |
创建建议。 |
Microsoft.Advisor/recommendations/available/action |
提供了新的建议。 |
Microsoft.Advisor/recommendations/suppressions/read |
查看抑制项 |
Microsoft.Advisor/recommendations/suppressions/write |
创建或更新抑制规则 |
Microsoft.Advisor/recommendations/suppressions/delete |
删除抑制 |
Microsoft.Advisor/suppressions/read |
查看抑制项 |
Microsoft.Advisor/suppressions/write |
创建或更新抑制规则 |
Microsoft.Advisor/suppressions/delete |
删除抑制 |
Microsoft.Advisor/assessmentTypes/read |
读取 AssessmentTypes |
Microsoft.Advisor/assessments/read |
读取评估 |
Microsoft.Advisor/assessments/write |
创建测评 |
Microsoft.Advisor/resiliencyReviews/read |
读取 resiliencyReviews |
Microsoft.Advisor/triageRecommendations/read |
读取 triageRecommendations |
Microsoft.Advisor/triageRecommendations/approve/action |
批准triageRecommendations |
Microsoft.Advisor/triageRecommendations/reject/action |
拒绝 triageRecommendations |
Microsoft.Advisor/triageRecommendations/reset/action |
重置 triageRecommendations |
Microsoft.Advisor/workloads/read |
读取工作负载 |
注意
例如,必须拥有对虚拟机 (VM) 的足够权限级别,才能查看与 VM 关联的建议。
若要详细了解自定义角色,请参阅 Azure 自定义角色。
权限和不可用操作
如果权限级别过低,则会阻止对关联操作的访问。 请通过以下部分了解相关的常见问题。
配置订阅或资源组的操作被阻止
尝试配置订阅或资源组时,用于进行包含或排除的选项将被阻止。 “被阻止”状态表示你对该资源组或订阅的权限级别不足。 若要了解如何更改权限级别,请参阅教程:使用 Azure 门户授予用户对 Azure 资源的访问权限。
允许推迟或消除,但会发送错误
当你尝试推迟或忽略某条建议时,会收到错误提示。 该错误表明您的权限级别不足。 您必须具有足够高的权限级别,才能忽略建议。
提示
消除建议后,必须先手动重新激活该建议,然后才能将其添加到建议列表中。 如果消除建议,可能会错过优化 Azure 部署的重要建议。
若要推迟或消除建议,请验证你对该建议关联的资源的权限级别是否设置为“参与者”或更高。 若要了解如何更改权限级别,请参阅教程:使用 Azure 门户授予用户对 Azure 资源的访问权限。
相关内容
本文概述了顾问如何使用 Azure 基于角色的访问控制 (Azure RBAC) 来控制用户权限以及如何解决常见问题。 若要了解有关顾问的详细信息,请参阅以下文章。