Gestire l'accesso alle risorse nell'hub di Azure Stack con il controllo degli accessi in base al ruolo

L'hub di Azure Stack supporta il controllo degli accessi in base al ruolo , lo stesso modello di sicurezza per la gestione degli accessi usato da Microsoft Azure. È possibile usare il controllo degli accessi in base al ruolo per gestire l'accesso utente, gruppo o app alle sottoscrizioni, alle risorse e ai servizi.

Nozioni di base sulla gestione degli accessi

Il controllo degli accessi in base al ruolo fornisce un controllo degli accessi con granularità fine che è possibile usare per proteggere l'ambiente. Si assegnano agli utenti le autorizzazioni esatte necessarie assegnando un ruolo di controllo degli accessi in base al ruolo in un determinato ambito. L'ambito dell'assegnazione di ruolo può essere una sottoscrizione, un gruppo di risorse o una singola risorsa. Per informazioni più dettagliate sulla gestione degli accessi, vedere l'Controllo di accesso basata sul ruolo nell'articolo portale di Azure.

Nota

Quando l'hub di Azure Stack viene distribuito usando Active Directory Federation Services come provider di identità, solo i Gruppi universali sono supportati per gli scenari di controllo degli accessi in base al ruolo.

Ruoli predefiniti

L'hub di Azure Stack include tre ruoli di base che è possibile applicare a tutti i tipi di risorse:

  • Proprietario: concede l'accesso completo per gestire tutte le risorse, inclusa la possibilità di assegnare ruoli nel controllo degli accessi in base al ruolo di Azure Stack.
  • Collaboratore: concede l'accesso completo per gestire tutte le risorse, ma non consente di assegnare ruoli nel controllo degli accessi in base al ruolo di Azure Stack.
  • Lettore: può visualizzare tutto, ma non può apportare modifiche.

Gerarchia delle risorse e ereditarietà

L'hub di Azure Stack ha la gerarchia di risorse seguente:

  • Ogni sottoscrizione appartiene a una directory.
  • Ogni gruppo di risorse appartiene a una sottoscrizione.
  • Ogni risorsa appartiene a un gruppo di risorse.

L'accesso concesso a un ambito padre viene ereditato in ambiti figlio. Ad esempio:

  • Si assegna il ruolo Lettore a un gruppo di Microsoft Entra nell'ambito della sottoscrizione. I membri di tale gruppo possono visualizzare ogni gruppo di risorse e ogni risorsa nella sottoscrizione.
  • Si assegna il ruolo Collaboratore a un'app nell'ambito del gruppo di risorse. L'app può gestire le risorse di tutti i tipi nel gruppo di risorse, ma non altri gruppi di risorse nella sottoscrizione.

Assegnazione di ruoli

È possibile assegnare più ruoli a un utente e ogni ruolo può essere associato a un ambito diverso. Ad esempio:

  • Si assegna TestUser-A il ruolo lettore alla sottoscrizione-1.
  • Si assegna TestUser-A il ruolo proprietario a TestVM-1.

L'articolo Assegnazioni di ruolo di Azure fornisce informazioni dettagliate sulla visualizzazione, l'assegnazione e l'eliminazione dei ruoli.

Impostare le autorizzazioni di accesso per un utente

La procedura seguente descrive come configurare le autorizzazioni per un utente.

  1. Accedere con un account con autorizzazioni di proprietario per la risorsa da gestire.

  2. Nel riquadro di spostamento a sinistra scegliere Gruppi di risorse.

  3. Scegliere il nome del gruppo di risorse su cui si desidera impostare le autorizzazioni.

  4. Nel riquadro di spostamento del gruppo di risorse scegliere Controllo di accesso (IAM).
    La visualizzazione Assegnazioni ruolo elenca gli elementi che hanno accesso al gruppo di risorse. È possibile filtrare e raggruppare i risultati.

  5. Nella barra dei menu Controllo di accesso scegliere Aggiungi.

  6. Nel riquadro Aggiungi autorizzazioni :

    • Scegliere il ruolo da assegnare dall'elenco a discesa Ruolo .
    • Scegliere la risorsa da assegnare dall'elenco a discesa Assegna accesso.
    • Selezionare l'utente, il gruppo o l'app nella directory a cui si vuole concedere l'accesso. È possibile cercare nella directory usando nomi visualizzati, indirizzi di posta elettronica e identificatori di oggetto.
  7. Selezionare Salva.

Passaggi successivi

Create entità servizio