Azure Stack Hub 支持基于角色的访问控制 (RBAC),这是 Azure 使用的 访问管理的相同安全模型 。 可以使用 RBAC 管理用户、组或应用对订阅、资源和服务的访问权限。
访问管理的基础知识
基于角色的访问控制(RBAC)提供精细的访问控制,可用于保护环境。 通过在特定范围内分配 RBAC 角色,为用户提供所需的确切权限。 角色分配的范围可以是订阅、资源组或单个资源。 有关访问管理的详细信息,请参阅 Azure 门户文章中的Role-Based 访问控制 。
注释
使用 Active Directory 联合身份验证服务作为标识提供者部署 Azure Stack Hub 时,RBAC 方案仅支持通用组。
内置角色
Azure Stack Hub 有三个基本角色,可应用于所有资源类型:
- 所有者:授予管理所有资源的完全访问权限,包括能够在 Azure Stack RBAC 中分配角色。
- 参与者:授予管理所有资源的完全访问权限,但不允许在 Azure Stack RBAC 中分配角色。
- 读者:可以查看所有内容,但无法进行任何更改。
资源层次结构和继承
Azure Stack Hub 具有以下资源层次结构:
- 每个订阅属于一个目录。
- 每个资源组属于一个订阅。
- 每个资源都属于一个资源组。
子范围将继承在父范围授予的访问权限。 例如:
- 你向某个 Microsoft Entra 组分配了在订阅范围内的读者角色。 该组的成员可以查看订阅中的每个资源组和资源。
- 将 参与者 角色分配给资源组范围内的应用。 应用可以管理该资源组中所有类型的资源,但不能管理订阅中的其他资源组。
分配角色
可以将多个角色分配给一个用户,每个角色都可以与不同的范围相关联。 例如:
- 你向 TestUser-A 分配 Subscription-1 的读者角色。
- 将 TestUser-A 所有者 角色分配给 TestVM-1。
Azure 角色分配 文章提供有关查看、分配和删除角色的详细信息。
为用户设置访问权限
以下步骤介绍如何为用户配置权限。
使用对要管理的资源具有所有者权限的帐户登录。
在左侧导航窗格中,选择 “资源组”。
选择要设置其权限的资源组的名称。
在资源组导航窗格中,选择“访问控制”(IAM)。
角色分配视图列出了有权访问资源组的项。 可以筛选和分组结果。在 访问控制 菜单栏上,选择 “添加”。
在 “添加权限 ”窗格上:
- 从 “角色 ”下拉列表中选择要分配的角色。
- 从“ 分配访问权限” 下拉列表中选择要分配的资源。
- 选择要向其授予访问权限的目录中的用户、组或应用。 您可以通过显示名称、电子邮件地址和对象标识符来搜索目录。
选择“保存”。