Freigeben über

Verwenden der rollenbasierten Zugriffssteuerung zum Verwalten lokaler virtueller Azure-Computer

  • Artikel

Gilt für: Azure Local, Version 23H2

In diesem Artikel wird beschrieben, wie Sie die rollenbasierte Zugriffssteuerung (Role-based Access Control, RBAC) verwenden, um den Zugriff auf virtuelle Arc-Computer (VMs) zu steuern, die auf Azure Local ausgeführt werden.

Sie können die integrierten RBAC-Rollen verwenden, um den Zugriff auf VMs und VM-Ressourcen wie virtuelle Datenträger, Netzwerkschnittstellen, VM-Images, logische Netzwerke und Speicherpfade zu steuern. Sie können diese Rollen Benutzern, Gruppen, Dienstprinzipalen und verwalteten Identitäten zuweisen.

Informationen zu integrierten RBAC-Rollen

Um den Zugriff auf VMs und VM-Ressourcen in Azure Local zu steuern, können Sie die folgenden RBAC-Rollen verwenden:

  • Azure Stack HCI-Administrator – Diese Rolle gewährt Vollzugriff auf Ihre lokale Azure-Instanz und ihre Ressourcen. Ein Azure Stack HCI-Administrator kann das System registrieren sowie Azure Stack HCI VM-Mitwirkenden und Azure Stack HCI VM Reader-Rollen anderen Benutzern zuweisen. Sie können auch freigegebene Ressourcen wie logische Netzwerke, VM-Images und Speicherpfade erstellen.
  • Azure Stack HCI VM-Mitwirkender – Diese Rolle gewährt Berechtigungen zum Ausführen aller VM-Aktionen wie Start, Beenden, Neustarten der virtuellen Computer. Ein Azure Stack HCI VM-Mitwirkender kann virtuelle Computer sowie die Ressourcen und Erweiterungen erstellen und löschen, die an VMs angefügt sind. Ein Azure Stack HCI-VM-Mitwirkender kann das System nicht registrieren oder anderen Benutzern Rollen zuweisen oder vom System freigegebene Ressourcen wie logische Netzwerke, VM-Images und Speicherpfade erstellen.
  • Azure Stack HCI VM Reader – Diese Rolle gewährt nur Berechtigungen zum Anzeigen der virtuellen Computer. Ein VM-Reader kann keine Aktionen für die VMs oder VM-Ressourcen und Erweiterungen ausführen.

Hier ist eine Tabelle, in der die vm-Aktionen beschrieben werden, die von jeder Rolle für die virtuellen Computer und die verschiedenen VM-Ressourcen gewährt werden. Die VM-Ressourcen werden auf Ressourcen verwiesen, die zum Erstellen einer VM erforderlich sind, und umfassen virtuelle Datenträger, Netzwerkschnittstellen, VM-Images, logische Netzwerke und Speicherpfade:

Integrierte Rolle VMs VM-Ressourcen
Azure Stack HCI-Administrator Erstellen, Auflisten, Löschen von virtuellen Computern

Starten, Beenden, Neustarten von virtuellen Computern		 Erstellen, Auflisten, Löschen aller VM-Ressourcen einschließlich logischer Netzwerke, VM-Images und Speicherpfade
Azure Stack HCI-VM-Mitwirkender Erstellen, Auflisten, Löschen von virtuellen Computern

Starten, Beenden, Neustarten von virtuellen Computern		 Erstellen, Auflisten, Löschen aller VM-Ressourcen außer logischen Netzwerken, VM-Images und Speicherpfaden
Azure Stack HCI VM Reader Auflisten aller virtuellen Computer Auflisten aller VM-Ressourcen

Voraussetzungen

Bevor Sie beginnen, vergewissern Sie sich, dass die folgenden Voraussetzungen erfüllt sind:

  1. Stellen Sie sicher, dass Sie die lokalen Azure-Anforderungen erfüllen.

  2. Stellen Sie sicher, dass Sie Zugriff auf das Azure-Abonnement als Besitzer oder Benutzerzugriffsadministrator haben, um anderen Rollen zuzuweisen.

Zuweisen von RBAC-Rollen für Benutzer

Sie können benutzern über die Azure-Portal RBAC-Rollen zuweisen. Führen Sie die folgenden Schritte aus, um Benutzern RBAC-Rollen zuzuweisen:

  1. Suchen Sie im Azure-Portal nach dem Bereich, auf den Sie Zugriff gewähren möchten, z. B. nach Abonnements, Ressourcengruppen oder einer bestimmten Ressource. In diesem Beispiel verwenden wir das Abonnement, in dem Ihr Azure Local bereitgestellt wird.

  2. Wechseln Sie zu Ihrem Abonnement, und wechseln Sie dann zu Den Rollenzuweisungen für die Zugriffssteuerung (ACCESS Control, IAM). > Wählen Sie in der oberen Befehlsleiste +Hinzufügen und dann " Rollenzuweisung hinzufügen" aus.

    Wenn Sie keine Berechtigungen zum Zuweisen von Rollen besitzen, ist die Option "Rollenzuweisung hinzufügen" deaktiviert.

    Screenshot der RBAC-Rollenzuweisung in Azure-Portal für Ihr Azure Local.

  3. Wählen Sie auf der Registerkarte "Rolle " eine RBAC-Rolle aus, die Sie zuweisen möchten, und wählen Sie eine der folgenden integrierten Rollen aus:

    • Azure Stack HCI-Administrator
    • Azure Stack HCI-VM-Mitwirkender
    • Azure Stack HCI VM Reader

    Screenshot der Registerkarte

  4. Wählen Sie auf der Registerkarte "Mitglieder " den Dienstprinzipal "Benutzer", "Gruppe" oder "Dienstprinzipal" aus. Wählen Sie auch ein Mitglied aus, um die Rolle zuzuweisen.

    Screenshot der Registerkarte

  5. Überprüfen Sie die Rolle, und weisen Sie sie zu.

    Screenshot mit der Registerkarte

  6. Überprüfen Sie die Rollenzuweisung. Wechseln Sie zu Access Control (IAM) > Überprüfen Sie den Zugriff > auf "Meinen Zugriff anzeigen". Die Rollenzuweisung sollte angezeigt werden.

    Screenshot der neu zugewiesenen Rolle in Azure-Portal für Ihre lokale Azure-Instanz.

Weitere Informationen zur Rollenzuweisung finden Sie unter Zuweisen von Azure-Rollen mithilfe des Azure-Portal.

Nächste Schritte