角色和权限

了解如何管理对组织的建议和评审的访问权限。

角色和关联的访问权限

顾问使用 Azure 基于角色的访问控制 (Azure RBAC) 提供的内置角色。

查看以下部分,详细了解每个角色和关联的访问权限。

用于查看、消除和推迟建议的角色

角色 查看建议 取消和推迟建议
订阅读者 X
订阅参与者 X X
订阅所有者 X X
资源组读取者 X
资源组参与者 X X
资源组所有者 X X
资源读取者 X
资源参与者 X X
资源所有者 X X

用于编辑规则和配置的角色

角色 编辑规则 编辑订阅配置 编辑资源组配置
订阅参与者 X X X
订阅所有者 X X X
资源组参与者 X
资源组所有者 X

注意

必须有权访问与建议关联的资源才能查看建议。

若要了解内置角色的详细信息,请参阅 Azure 内置角色。 若要详细了解 Azure 基于角色的访问控制 (Azure RBAC),请参阅什么是 Azure 基于角色的访问控制 (Azure RBAC)?

评审和个性化建议

用于管理对顾问评审访问权限的角色

权限因角色而异。 必须为用于发布评审的订阅配置这些角色。

角色 查看工作负载的评审以及与评审关联的所有建议 与评审关联的会审建议
顾问评审读者 X
顾问评审参与者 X X
订阅读者 X
订阅参与者 X X
订阅所有者 X X

用于管理对顾问个性化建议的访问权限的角色

必须为待评审的工作负载中包含的订阅配置这些角色。

角色 查看接受的建议 管理建议的生命周期
顾问建议参与者(评估和评审) X X
订阅读者 X
订阅参与者 X
订阅所有者 X

若要了解如何分配 Azure 角色,请参阅分配 Azure 角色的步骤

查看和管理评估

用于查看和管理评估及关联的建议的角色

使用内置角色管理对顾问架构良好的框架 (WAF) 的访问权限。 权限因角色而异。

角色 详细信息
读者 查看订阅或工作负载的评估以及关联的建议。
参与者 为订阅或工作负载创建评估,并管理关联建议的生命周期。

注意

必须为相关订阅配置这些角色,以便创建评估并查看相应的建议。

用于生成自定义角色的可用操作

如果组织需要的角色与 Azure 内置角色不匹配,请创建自己的自定义角色。 自定义角色的工作方式类似于内置角色,你可以将其分配给管理组、订阅和资源组范围内的用户、组和服务主体。 使用以下操作创建自定义角色。

操作 详细信息
Microsoft.Advisor/generateRecommendations/action 创建建议。
Microsoft.Advisor/register/action 注册提供程序。
Microsoft.Advisor/unregister/action 取消注册提供程序。
Microsoft.Advisor/advisorScore/read 获取顾问分数。
Microsoft.Advisor/configurations/read 读取配置。
Microsoft.Advisor/configurations/write 创建或更新配置。
Microsoft.Advisor/generateRecommendations/read 获取 generateRecommendations 操作的状态。
Microsoft.Advisor/metadata/read 读取元数据。
Microsoft.Advisor/operations/read 获取操作。
Microsoft.Advisor/recommendations/read 读取建议。
Microsoft.Advisor/recommendations/write 创建建议。
Microsoft.Advisor/recommendations/available/action 提供了新的建议。
Microsoft.Advisor/recommendations/suppressions/read 读取禁止。
Microsoft.Advisor/recommendations/suppressions/write 创建或更新禁止。
Microsoft.Advisor/recommendations/suppressions/delete 删除禁止。
Microsoft.Advisor/suppressions/read 读取禁止。
Microsoft.Advisor/suppressions/write 创建或更新禁止。
Microsoft.Advisor/suppressions/delete 删除禁止。
Microsoft.Advisor/assessmentTypes/read 读取 AssessmentTypes
Microsoft.Advisor/assessments/read 读取评估。
Microsoft.Advisor/assessments/write 创建评估。
Microsoft.Advisor/resiliencyReviews/read 读取 resiliencyReviews
Microsoft.Advisor/triageRecommendations/read 读取 triageRecommendations
Microsoft.Advisor/triageRecommendations/approve/action 批准 triageRecommendations
Microsoft.Advisor/triageRecommendations/reject/action 拒绝 triageRecommendations
Microsoft.Advisor/triageRecommendations/reset/action 重置 triageRecommendations
Microsoft.Advisor/workloads/read 读取工作负载。

注意

例如,必须拥有对虚拟机 (VM) 的足够权限级别,才能查看与 VM 关联的建议。

若要详细了解自定义角色,请参阅 Azure 自定义角色

权限和不可用操作

如果权限级别过低,则会阻止对关联操作的访问。 请通过以下部分了解相关的常见问题。

配置订阅或资源组被阻止

尝试配置订阅或资源组时,用于进行包含或排除的选项将被阻止。 “被阻止”状态表示你对该资源组或订阅的权限级别不足。 若要了解如何更改权限级别,请参阅教程:使用 Azure 门户授予用户对 Azure 资源的访问权限

允许推迟或消除,但会发送错误

尝试推迟或消除建议时,会收到错误。 错误指示权限级别不足。 必须具有足够的权限级别才能消除建议。

提示

消除建议后,必须先手动重新激活该建议,然后才能将其添加到建议列表中。 如果消除建议,可能会错过优化 Azure 部署的重要建议。

若要推迟或消除建议,请验证你对该建议关联的资源的权限级别是否设置为“参与者”或更高。 若要了解如何更改权限级别,请参阅教程:使用 Azure 门户授予用户对 Azure 资源的访问权限

本文概述了顾问如何使用 Azure 基于角色的访问控制 (Azure RBAC) 来控制用户权限以及如何解决常见问题。 若要了解有关顾问的详细信息,请参阅以下文章。