了解如何管理对组织的建议和评审的访问权限。
角色和关联的访问权限
顾问使用 Azure 基于角色的访问控制 (Azure RBAC) 提供的内置角色。
查看以下部分,详细了解每个角色和关联的访问权限。
用于查看、消除和推迟建议的角色
| 角色 | 查看建议 | 取消和推迟建议 |
|---|---|---|
| 订阅读者 | X | |
| 订阅参与者 | X | X |
| 订阅所有者 | X | X |
| 资源组读取者 | X | |
| 资源组参与者 | X | X |
| 资源组所有者 | X | X |
| 资源读取者 | X | |
| 资源参与者 | X | X |
| 资源所有者 | X | X |
用于编辑规则和配置的角色
| 角色 | 编辑规则 | 编辑订阅配置 | 编辑资源组配置 |
|---|---|---|---|
| 订阅参与者 | X | X | X |
| 订阅所有者 | X | X | X |
| 资源组参与者 | X | ||
| 资源组所有者 | X |
注意
必须有权访问与建议关联的资源才能查看建议。
若要了解内置角色的详细信息,请参阅 Azure 内置角色。 若要详细了解 Azure 基于角色的访问控制 (Azure RBAC),请参阅什么是 Azure 基于角色的访问控制 (Azure RBAC)?。
评审和个性化建议
用于管理对顾问评审访问权限的角色
权限因角色而异。 必须为用于发布评审的订阅配置这些角色。
| 角色 | 查看工作负载的评审以及与评审关联的所有建议 | 与评审关联的会审建议 |
|---|---|---|
| 顾问评审读者 | ✅ | |
| 顾问评审参与者 | ✅ | ✅ |
| 订阅读者 | ✅ | |
| 订阅参与者 | ✅ | ✅ |
| 订阅所有者 | ✅ | ✅ |
用于管理对顾问个性化建议的访问权限的角色
必须为待评审的工作负载中包含的订阅配置这些角色。
| 角色 | 查看接受的建议 | 管理建议的生命周期 |
|---|---|---|
| 顾问建议参与者(评估和评审) | ✅ | ✅ |
| 订阅读者 | ✅ | |
| 订阅参与者 | ✅ | ✅ |
| 订阅所有者 | ✅ | ✅ |
| 资源读取者 | ✅ | |
| 资源参与者 | ✅ | ✅ |
| 资源所有者 | ✅ | ✅ |
了解如何分配 Azure 角色,请参阅 分配 Azure 角色的步骤。
查看和管理评估
用于查看和管理评估及关联的建议的角色
使用内置角色管理对顾问架构良好的框架 (WAF) 的访问权限。 权限因角色而异。
| 角色 | 详细信息 |
|---|---|
| 读者 | 查看订阅或工作负载的评估以及关联的建议。 |
| 参与者 | 为订阅或工作负载创建评估,并管理关联建议的生命周期。 |
注意
必须为相关订阅配置这些角色,以便创建评估并查看相应的建议。
用于生成自定义角色的可用操作
如果组织需要的角色与 Azure 内置角色不匹配,请创建自己的自定义角色。 自定义角色的工作方式类似于内置角色,你可以将其分配给管理组、订阅和资源组范围内的用户、组和服务主体。 使用以下操作创建自定义角色。
| 操作 | 详细信息 |
|---|---|
Microsoft.Advisor/generateRecommendations/action |
创建建议。 |
Microsoft.Advisor/register/action |
注册提供程序。 |
Microsoft.Advisor/unregister/action |
取消注册提供程序。 |
Microsoft.Advisor/advisorScore/read |
获取顾问分数。 |
Microsoft.Advisor/configurations/read |
读取配置。 |
Microsoft.Advisor/configurations/write |
创建或更新配置。 |
Microsoft.Advisor/generateRecommendations/read |
获取 generateRecommendations 操作的状态。 |
Microsoft.Advisor/metadata/read |
读取元数据。 |
Microsoft.Advisor/operations/read |
获取操作。 |
Microsoft.Advisor/recommendations/read |
读取建议。 |
Microsoft.Advisor/recommendations/write |
创建建议。 |
Microsoft.Advisor/recommendations/available/action |
提供了新的建议。 |
Microsoft.Advisor/recommendations/suppressions/read |
读取禁止。 |
Microsoft.Advisor/recommendations/suppressions/write |
创建或更新禁止。 |
Microsoft.Advisor/recommendations/suppressions/delete |
删除禁止。 |
Microsoft.Advisor/suppressions/read |
读取禁止。 |
Microsoft.Advisor/suppressions/write |
创建或更新禁止。 |
Microsoft.Advisor/suppressions/delete |
删除禁止。 |
Microsoft.Advisor/assessmentTypes/read |
读取 AssessmentTypes。 |
Microsoft.Advisor/assessments/read |
读取评估。 |
Microsoft.Advisor/assessments/write |
创建评估。 |
Microsoft.Advisor/resiliencyReviews/read |
读取 resiliencyReviews。 |
Microsoft.Advisor/triageRecommendations/read |
读取 triageRecommendations。 |
Microsoft.Advisor/triageRecommendations/approve/action |
批准 triageRecommendations。 |
Microsoft.Advisor/triageRecommendations/reject/action |
拒绝 triageRecommendations。 |
Microsoft.Advisor/triageRecommendations/reset/action |
重置 triageRecommendations。 |
Microsoft.Advisor/workloads/read |
读取工作负载。 |
注意
例如,必须拥有对虚拟机 (VM) 的足够权限级别,才能查看与 VM 关联的建议。
若要详细了解自定义角色,请参阅 Azure 自定义角色。
权限和不可用操作
如果权限级别过低,则会阻止对关联操作的访问。 请通过以下部分了解相关的常见问题。
配置订阅或资源组被阻止
尝试配置订阅或资源组时,用于进行包含或排除的选项将被阻止。 “被阻止”状态表示你对该资源组或订阅的权限级别不足。 若要了解如何更改权限级别,请参阅教程:使用 Azure 门户授予用户对 Azure 资源的访问权限。
允许推迟或消除,但会发送错误
尝试推迟或消除建议时,会收到错误。 错误指示权限级别不足。 必须具有足够的权限级别才能消除建议。
提示
消除建议后,必须先手动重新激活该建议,然后才能将其添加到建议列表中。 如果消除建议,可能会错过优化 Azure 部署的重要建议。
若要推迟或消除建议,请验证你对该建议关联的资源的权限级别是否设置为“参与者”或更高。 若要了解如何更改权限级别,请参阅教程:使用 Azure 门户授予用户对 Azure 资源的访问权限。
相关内容
本文概述了顾问如何使用 Azure 基于角色的访问控制 (Azure RBAC) 来控制用户权限以及如何解决常见问题。 若要了解有关顾问的详细信息,请参阅以下文章。