概述：针对固件分析的 Azure 基于角色的访问控制

作为固件分析的用户，你可能需要管理对固件映像分析结果的访问权限。 Azure 基于角色的访问控制 (RBAC) 是一种授权系统，可用于控制有权访问分析结果的对象、他们拥有的权限，以及资源层次结构的所属级别。 本文介绍如何在 Azure 中存储固件分析结果、管理访问权限并使用 RBAC 在组织内和与第三方共享这些结果。 若要详细了解 Azure RBAC，请浏览什么是 Azure 基于角色的访问控制 (Azure RBAC)？。

角色

角色是打包在一起的权限集合。 有两种类型的角色：

• 工作职能角色允许用户执行特定工作职能或任务，例如密钥保管库参与者或 Azure Kubernetes 服务群集监视用户。
• 特权管理员角色具备提升的访问特权，例如所有者、参与者或用户访问权限管理员。 若要了解有关角色的详细信息，请访问 Azure 内置角色。

在固件分析中，最常见的角色包括所有者、参与者、安全管理员和固件分析管理员。详细了解使用不同权限所需的角色，例如上传固件映像或共享固件分析结果。

了解 Azure 资源层次结构中固件映像的表示形式

Azure 将资源组织成资源层次结构，这些层次结构采用自上而下的结构，你可以在层次结构的每个级别分配角色。 分配角色的级别是“范围”，较低范围可能会继承在较高范围分配的角色。 详细了解层次结构级别以及如何在层次结构中组织资源。

将订阅加入固件分析并选择资源组时，该操作会自动在资源组中创建默认资源。

导航到资源组并选择“显示隐藏类型”以显示默认资源。 默认资源的类型为 Microsoft.IoTFirmwareDefense.workspaces。

尽管默认工作区资源不是你经常与之交互的内容，但系统会将上传的每个固件映像表示为资源并将其存储在此处。

可以在层次结构的每个级别使用 RBAC，包括隐藏的默认固件分析工作区资源级别。

下面是固件分析的资源层次结构：

应用 Azure RBAC

作为固件分析的用户，你可能需要为组织执行某些操作，例如上传固件映像或共享分析结果。

此类操作涉及基于角色的访问控制 (RBAC)。 若要有效地使用针对固件分析的 RBAC，你必须对角色分配及其范围有所了解。 了解此信息将得知自己所具备的权限，以及是否可以借助这些权限完成某些操作。 若要检查角色分配，请参阅检查用户对单个 Azure 资源的访问权限 - Azure RBAC。 接下来，请参阅下表，检查某些操作所必需的角色和范围。

固件分析中的常见角色

此表对每个角色进行了分类，并提供了对其权限的简要说明：

固件分析角色、范围和功能

下表总结了执行某些操作所需的角色。 除非另有说明，否则这些角色和权限将应用于订阅和资源组级别。

上传固件映像

如要上传固件映像，请执行以下操作：

• 请在固件分析角色、范围和功能中确认你拥有足够的权限。
• 上传固件映像进行分析。

邀请第三方与固件分析结果交互

你可能希望邀请某人仅与固件分析结果进行交互，而不允许他们访问组织的其他部分（例如订阅中的其他资源组）。 若要允许此类访问，请在资源组级别邀请用户作为固件分析管理员。

若要邀请第三方，请按照使用 Azure 门户向外部来宾用户分配 Azure 角色教程进行操作。

• 在步骤 3 中，导航到资源组。
• 在步骤 7 中，选择固件分析管理员角色。