Verwenden der rollenbasierten Zugriffssteuerung zum Verwalten virtueller Azure Stack HCI-Computer

  • Artikel

Gilt für: Azure Stack HCI, Version 23H2

In diesem Artikel wird beschrieben, wie Sie die rollenbasierte Zugriffssteuerung (Role-based Access Control, RBAC) verwenden, um den Zugriff auf virtuelle Arc-Computer (VMs) zu steuern, die auf Ihrem Azure Stack HCI-Cluster ausgeführt werden.

Sie können die integrierten RBAC-Rollen verwenden, um den Zugriff auf VMs und VM-Ressourcen wie virtuelle Datenträger, Netzwerkschnittstellen, VM-Images, logische Netzwerke und Speicherpfade zu steuern. Sie können diese Rollen Benutzern, Gruppen, Dienstprinzipalen und verwalteten Identitäten zuweisen.

Wichtig

Dieses Feature befindet sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Informationen zu integrierten RBAC-Rollen

Um den Zugriff auf VMs und VM-Ressourcen in Ihrem Azure Stack HCI zu steuern, können Sie die folgenden RBAC-Rollen verwenden:

  • Azure Stack HCI-Administrator – Diese Rolle gewährt Vollzugriff auf Ihren Azure Stack HCI-Cluster und seine Ressourcen. Ein Azure Stack HCI-Administrator kann den Cluster registrieren sowie Azure Stack HCI VM-Mitwirkenden und Azure Stack HCI VM Reader-Rollen anderen Benutzern zuweisen. Sie können auch gemeinsam genutzte Clusterressourcen wie logische Netzwerke, VM-Images und Speicherpfade erstellen.
  • Azure Stack HCI VM-Mitwirkender – Diese Rolle gewährt Berechtigungen zum Ausführen aller VM-Aktionen wie Start, Beenden, Neustarten der virtuellen Computer. Ein Azure Stack HCI VM-Mitwirkender kann virtuelle Computer sowie die Ressourcen und Erweiterungen erstellen und löschen, die an VMs angefügt sind. Ein Azure Stack HCI-VM-Mitwirkender kann den Cluster nicht registrieren oder anderen Benutzern Rollen zuweisen oder Cluster-freigegebene Ressourcen wie logische Netzwerke, VM-Images und Speicherpfade erstellen.
  • Azure Stack HCI VM Reader – Diese Rolle gewährt nur Berechtigungen zum Anzeigen der virtuellen Computer. Ein VM-Reader kann keine Aktionen für die VMs oder VM-Ressourcen und Erweiterungen ausführen.

Hier ist eine Tabelle, in der die vm-Aktionen beschrieben werden, die von jeder Rolle für die virtuellen Computer und die verschiedenen VM-Ressourcen gewährt werden. Die VM-Ressourcen werden auf Ressourcen verwiesen, die zum Erstellen einer VM erforderlich sind, und umfassen virtuelle Datenträger, Netzwerkschnittstellen, VM-Images, logische Netzwerke und Speicherpfade:

Integrierte Rolle VMs VM-Ressourcen
Azure Stack HCI-Administrator Erstellen, Auflisten, Löschen von virtuellen Computern

Starten, Beenden, Neustarten von virtuellen Computern		 Erstellen, Auflisten, Löschen aller VM-Ressourcen einschließlich logischer Netzwerke, VM-Images und Speicherpfade
Azure Stack HCI-VM-Mitwirkender Erstellen, Auflisten, Löschen von virtuellen Computern

Starten, Beenden, Neustarten von virtuellen Computern		 Erstellen, Auflisten, Löschen aller VM-Ressourcen außer logischen Netzwerken, VM-Images und Speicherpfaden
Azure Stack HCI VM Reader Auflisten aller virtuellen Computer Auflisten aller VM-Ressourcen

Voraussetzungen

Bevor Sie beginnen, vergewissern Sie sich, dass die folgenden Voraussetzungen erfüllt sind:

  1. Stellen Sie sicher, dass Sie die Azure Stack HCI-Clusteranforderungen erfüllen.

  2. Stellen Sie sicher, dass Sie Zugriff auf das Azure-Abonnement als Besitzer oder Benutzerzugriffsadministrator haben, um anderen Rollen zuzuweisen.

Zuweisen von RBAC-Rollen für Benutzer

Sie können benutzern über die Azure-Portal RBAC-Rollen zuweisen. Führen Sie die folgenden Schritte aus, um Benutzern RBAC-Rollen zuzuweisen:

  1. Suchen Sie im Azure-Portal nach dem Bereich, auf den Sie Zugriff gewähren möchten, z. B. nach Abonnements, Ressourcengruppen oder einer bestimmten Ressource. In diesem Beispiel verwenden wir das Abonnement, in dem der Azure Stack HCI-Cluster bereitgestellt wird.

  2. Wechseln Sie zu Ihrem Abonnement, und wechseln Sie dann zu Den Rollenzuweisungen für die Zugriffssteuerung (ACCESS Control, IAM). > Wählen Sie in der oberen Befehlsleiste +Hinzufügen und dann " Rollenzuweisung hinzufügen" aus.

    Wenn Sie keine Berechtigungen zum Zuweisen von Rollen besitzen, ist die Option "Rollenzuweisung hinzufügen" deaktiviert.

    Screenshot der RBAC-Rollenzuweisung in Azure-Portal für Ihren Azure Stack HCI-Cluster.

  3. Wählen Sie auf der Registerkarte "Rolle " eine RBAC-Rolle aus, die Sie zuweisen möchten, und wählen Sie eine der folgenden integrierten Rollen aus:

    • Azure Stack HCI-Administrator
    • Azure Stack HCI-VM-Mitwirkender
    • Azure Stack HCI VM Reader

    Screenshot der Registerkarte

  4. Wählen Sie auf der Registerkarte "Mitglieder " den Dienstprinzipal "Benutzer", "Gruppe" oder "Dienstprinzipal" aus. Wählen Sie auch ein Mitglied aus, um die Rolle zuzuweisen.

    Screenshot der Registerkarte

  5. Überprüfen Sie die Rolle, und weisen Sie sie zu.

    Screenshot mit der Registerkarte

  6. Überprüfen Sie die Rollenzuweisung. Wechseln Sie zu Access Control (IAM) > Überprüfen Sie den Zugriff > auf "Meinen Zugriff anzeigen". Die Rollenzuweisung sollte angezeigt werden.

    Screenshot der neu zugewiesenen Rolle in Azure-Portal für Ihren Azure Stack HCI-Cluster.

Weitere Informationen zur Rollenzuweisung finden Sie unter Zuweisen von Azure-Rollen mithilfe des Azure-Portal.

Nächste Schritte