角色和權限
了解如何管理貴組織的建議和審查存取。
角色和相關聯的存取
Advisor 會使用 Azure 角色型存取控制 (Azure RBAC) 所提供的內建角色。
請檢閱下一節,以深入了解每個角色和相關聯的存取。
用來檢視、關閉和延後建議的角色
角色 | 檢視建議 | 關閉和延後建議 |
---|---|---|
訂閱讀者 | X | |
訂用帳戶參與者 | X | X |
訂用帳戶擁有者 | X | X |
資源群組讀者 | X | |
資源群組參與者 | X | X |
資源群組擁有者 | X | X |
資源讀者 | X | |
資源參與者 | X | X |
資源擁有者 | X | X |
用來編輯規則和設定的角色
角色 | 編輯規則 | 編輯訂閱設定 | 編輯資源群組設定 |
---|---|---|---|
訂用帳戶參與者 | X | X | X |
訂用帳戶擁有者 | X | X | X |
資源群組參與者 | X | ||
資源群組擁有者 | X |
注意
您必須能夠存取與建議相關聯的資源,才能檢視建議。
若要深入了解內建角色,請參閱 Azure 內建角色。 若要深入了解 Azure 角色型存取控制 (Azure RBAC),請參閱什麼是 Azure 角色型存取控制 (Azure RBAC)。
審查及個人化建議
管理 Advisor 檢閱存取權的角色
權限會因角色而異。 必須針對用來發佈檢閱的訂用帳戶設定角色。
角色 | 檢視工作負載的檢閱,以及與這些檢閱相關聯的所有建議 | 將與檢閱相關聯的建議分級 |
---|---|---|
Advisor 檢閱讀者 | X | |
Advisor 檢閱參與者 | X | X |
訂閱讀者 | X | |
訂用帳戶參與者 | X | X |
訂用帳戶擁有者 | X | X |
管理 Advisor 個人化建議存取權的角色
必須為檢閱下工作負載中所包含的訂用帳戶設定角色。
角色 | 檢視已接受的建議 | 管理建議的生命週期 |
---|---|---|
Advisor 建議參與者 (評量和檢閱) | X | X |
訂閱讀者 | X | |
訂用帳戶參與者 | X | |
訂用帳戶擁有者 | X |
若要了解如何指派 Azure 角色,請參閱指派 Azure 角色的步驟。
檢視和管理評量
檢視並管理評量及相關聯建議的角色
使用內建角色管理 Advisor Well-Architected Framework (WAF) 的存取權。 權限會因角色而異。
角色 | 詳細資料 |
---|---|
讀取者 | 檢視訂用帳戶或工作負載的評量,以及相關聯的建議。 |
參與者 | 建立訂用帳戶或工作負載的評量,以及管理相關聯建議的生命週期。 |
注意
必須為相關訂用帳戶設定角色,才能建立評量並檢視對應的建議。
建置自訂角色的可用動作
如果您的組織需要不符合 Azure 內建角色的角色,請建立您自己的自訂角色。 自訂角色的運作方式就像內建角色,可讓您將它指派給管理群組、訂用帳戶和資源群組範圍中的使用者、群組和服務主體。 使用下列動作來建立您的自訂角色。
動作 | 詳細資料 |
---|---|
Microsoft.Advisor/generateRecommendations/action |
建立建議。 |
Microsoft.Advisor/register/action |
向提供者註冊。 |
Microsoft.Advisor/unregister/action |
向提供者取消註冊。 |
Microsoft.Advisor/advisorScore/read |
取得 Advisor 分數。 |
Microsoft.Advisor/configurations/read |
讀取設定。 |
Microsoft.Advisor/configurations/write |
建立或更新設定。 |
Microsoft.Advisor/generateRecommendations/read |
取得 generateRecommendations 動作的狀態。 |
Microsoft.Advisor/metadata/read |
讀取中繼資料。 |
Microsoft.Advisor/operations/read |
取得作業。 |
Microsoft.Advisor/recommendations/read |
讀取建議。 |
Microsoft.Advisor/recommendations/write |
建立建議。 |
Microsoft.Advisor/recommendations/available/action |
有新建議可使用。 |
Microsoft.Advisor/recommendations/suppressions/read |
讀取隱藏項目。 |
Microsoft.Advisor/recommendations/suppressions/write |
建立/更新隱藏項目。 |
Microsoft.Advisor/recommendations/suppressions/delete |
刪除隱藏項目。 |
Microsoft.Advisor/suppressions/read |
讀取隱藏項目。 |
Microsoft.Advisor/suppressions/write |
建立/更新隱藏項目。 |
Microsoft.Advisor/suppressions/delete |
刪除隱藏項目。 |
Microsoft.Advisor/assessmentTypes/read |
讀取 AssessmentTypes 。 |
Microsoft.Advisor/assessments/read |
讀取評量。 |
Microsoft.Advisor/assessments/write |
建立評量。 |
Microsoft.Advisor/resiliencyReviews/read |
讀取 resiliencyReviews 。 |
Microsoft.Advisor/triageRecommendations/read |
讀取 triageRecommendations 。 |
Microsoft.Advisor/triageRecommendations/approve/action |
核准 triageRecommendations 。 |
Microsoft.Advisor/triageRecommendations/reject/action |
拒絕 triageRecommendations 。 |
Microsoft.Advisor/triageRecommendations/reset/action |
重設 triageRecommendations 。 |
Microsoft.Advisor/workloads/read |
讀取工作負載。 |
注意
例如,您必須有足夠的權限等級讓虛擬機器 (VM)檢視與 VM 相關聯的建議。
若要深入了解自訂角色,請參閱 Azure 自訂角色。
權限和無法使用的動作
如果您的權限等級太低,則會封鎖您對相關聯動作的存取。 審查下一章節中的常見問題。
設定訂用帳戶或資源群組已鎖定
當您嘗試設定訂用帳戶或資源群組時,會封鎖包含或排除的選項。 封鎖狀態表示該資源群組或訂用帳戶的權限等級不足。 若要了解如何變更權限等級,請參閱 教學課程: 使用 Azure 入口網站為使用者授與 Azure 資源的存取。
允許延後或關閉,但傳送錯誤
當您嘗試延後或關閉建議時,您會收到錯誤。 錯誤表示您的權限等級不足。 您必須擁有足夠的權限等級才能關閉建議。
提示
關閉建議之後,您必須手動重新啟用建議,才能在建議清單中新增建議。 如果您關閉建議,您可能會錯過最佳化 Azure 部署的重要建議。
若要延後或關閉建議,請確認與建議相關聯的資源權限等級已設定為 [參與者] 或更好。 若要了解如何變更權限等級,請參閱 教學課程: 使用 Azure 入口網站為使用者授與 Azure 資源的存取。
相關內容
本文提供了 Advisor 如何使用 Azure 角色型存取控制 (Azure RBAC) 來控制使用者權限以及如何解決常見問題的概觀。 若要深入了解 Advisor,請參閱下列文章。