Informazioni sull'accesso basato sui ruoli all'area di lavoro di Azure Quantum
Informazioni sui diversi ruoli e entità di sicurezza che è possibile usare per gestire l'accesso all'area di lavoro di Azure Quantum.
Controllo dell'accesso basato sui ruoli di Azure
Il controllo degli accessi in base al ruolo di Azure è il sistema di autorizzazione usato per gestire l'accesso alle risorse di Azure, ad esempio un'area di lavoro. Per concedere l'accesso, assegnare ruoli a un'entità di sicurezza.
Entità di sicurezza principale
Un'entità di sicurezza è un oggetto che rappresenta un utente, un gruppo, un'entità servizio o un'identità gestita.
| Entità di sicurezza principale | Definizione |
|---|---|
| User | Un account utente che accede ad Azure per creare, gestire e usare le risorse. |
| Raggruppa | Gruppo di utenti. Usato per gestire gli utenti che necessitano dello stesso accesso e delle stesse autorizzazioni per le risorse. |
| Entità servizio | Identità utente per un'applicazione, un servizio o una piattaforma che deve accedere alle risorse. |
| Identità gestita | Un'identità gestita automaticamente in Azure Active Directory (Azure AD) per le applicazioni da usare durante la connessione alle risorse che supportano l'autenticazione di Azure AD. |
Ruolo
Quando si concede l'accesso a un'entità di sicurezza, si assegna un ruolo predefinito o si crea un ruolo personalizzato. I ruoli predefiniti usati più comunemente sono Proprietario, Collaboratore e Lettore.
| Ruolo | Livello di accesso |
|---|---|
| Proprietario | Concede l'accesso completo per la gestione di tutte le risorse, inclusa la possibilità di assegnare ruoli in Controllo degli accessi in base al ruolo di Azure. |
| Collaboratore | Concede l'accesso completo per gestire tutte le risorse, ma non consente di assegnare ruoli nel controllo degli accessi in base al ruolo di Azure. |
| Reader | Visualizzare tutte le risorse, ma non consente di apportare modifiche. |
Ambito
I ruoli vengono assegnati in un ambito specifico. Ambito è il set di risorse a cui si applica l'accesso. Gli ambiti sono strutturati in una relazione padre-figlio. Ogni livello di gerarchia rende più specifico l'ambito. Il livello selezionato determina la portata dell'applicazione del ruolo. I livelli inferiori ereditano le autorizzazioni del ruolo da quelli superiori. È possibile assegnare ruoli a quattro livelli di ambito: gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa.
| Ambito | Descrizione |
|---|---|
| Gruppo di gestione | Consente di gestire l'accesso, i criteri e la conformità per più sottoscrizioni. Tutte le sottoscrizioni in un gruppo di gestione ereditano automaticamente le condizioni applicate al gruppo di gestione. Potrebbe essere necessario un gruppo di gestione se l'organizzazione ha più sottoscrizioni. |
| Subscription | Associa logicamente gli account utente alle risorse create. Un account utente è un'identità utente e una o più sottoscrizioni. Una sottoscrizione rappresenta un raggruppamento di risorse di Azure. Le fatture vengono generate nell'ambito della sottoscrizione. Per creare le risorse di Azure, è necessario disporre di un account con una sottoscrizione attiva. Per le opzioni di sottoscrizione, vedere Creare un'area di lavoro di Azure Quantum. |
| Gruppo di risorse | Contenitore in cui risiedono le risorse correlate per una soluzione di Azure. Il gruppo di risorse include le risorse da gestire come gruppo. Ad esempio, per eseguire applicazioni in Azure Quantum sono necessarie le risorse seguenti:
|
| Conto risorse | Istanza di un servizio che è possibile creare, ad esempio un'area di lavoro o un account di archiviazione. |
Nota
Poiché l'accesso può essere limitato a più livelli in Azure, un utente può avere ruoli diversi a ogni livello. Ad esempio, un utente con accesso come proprietario a un'area di lavoro potrebbe non avere lo stesso accesso al gruppo di risorse che contiene l'area di lavoro.
Requisiti dei ruoli per la creazione di un'area di lavoro
Quando si crea una nuova area di lavoro, è prima necessario selezionare una sottoscrizione, un gruppo di risorse e un account di archiviazione da associare all'area di lavoro. La possibilità di creare un'area di lavoro dipende dai livelli di accesso disponibili, a partire dall'ambito della sottoscrizione. Per visualizzare l'autorizzazione per varie risorse, vedere Controllare le assegnazioni di ruolo.
Proprietario della sottoscrizione
I proprietari delle sottoscrizioni possono creare aree di lavoro usando le opzioni Creazione rapida o Creazione avanzata . È possibile scegliere un gruppo di risorse e un account di archiviazione già esistenti nella sottoscrizione o crearne di nuovi. È anche possibile assegnare ruoli ad altri utenti.
Collaboratore alla sottoscrizione
I collaboratori della sottoscrizione possono creare aree di lavoro usando l'opzione Di creazione avanzata.
Per creare un nuovo account di archiviazione, è necessario selezionare un gruppo di risorse esistente di cui si è proprietari.
Per selezionare un account di archiviazione esistente, è necessario essere un proprietario dell'account di archiviazione. È anche necessario selezionare il gruppo di risorse esistente a cui appartiene l'account di archiviazione.
I collaboratori della sottoscrizione non possono assegnare ruoli ad altri utenti.
Lettore di sottoscrizioni
I lettori di sottoscrizioni non possono creare aree di lavoro. È possibile visualizzare tutte le risorse create nella sottoscrizione, ma non apportare modifiche o assegnare ruoli.
Controllare le assegnazioni di ruolo
Controllare le sottoscrizioni
Per visualizzare un elenco delle sottoscrizioni e dei ruoli associati:
- Accedere al portale di Azure.
- Nell'intestazione Servizi di Azure selezionare Sottoscrizioni. Se le sottoscrizioni non sono visualizzate qui, usare la casella di ricerca per trovarle.
- Il filtro Sottoscrizioni accanto alla casella di ricerca può essere impostato su Sottoscrizioni == filtro globale. Per visualizzare un elenco di tutte le sottoscrizioni, selezionare il filtro Sottoscrizioni e deselezionare "Selezionare solo le sottoscrizioni selezionate in..." scatola. Quindi seleziona Applica. Il filtro dovrebbe quindi visualizzare Subscriptions == all.
Controllare le risorse
Per controllare l'assegnazione di ruolo che l'utente o un altro utente ha per una determinata risorsa, vedere Controllare l'accesso per un utente alle risorse di Azure.
Assegnazione di ruoli
Per aggiungere nuovi utenti a un'area di lavoro, è necessario essere un proprietario dell'area di lavoro. Per concedere l'accesso a 10 o meno utenti all'area di lavoro, vedere Condividere l'accesso all'area di lavoro di Azure Quantum. Per concedere l'accesso a più di 10 utenti, vedere Aggiungere un gruppo all'area di lavoro di Azure Quantum.
Per assegnare ruoli per qualsiasi risorsa in qualsiasi ambito, incluso il livello di sottoscrizione, vedere Assegnare i ruoli di Azure usando il portale di Azure.
Risoluzione dei problemi
Quando si crea una risorsa in Azure, ad esempio un'area di lavoro, non si è direttamente proprietari della risorsa. Il ruolo viene ereditato dal ruolo con ambito più alto per cui si è autorizzati in tale sottoscrizione.
A volte possono essere necessarie fino a un'ora per rendere effettive le nuove assegnazioni di ruolo rispetto alle autorizzazioni memorizzate nella cache nello stack.
Per soluzioni ai problemi comuni, vedere Risolvere i problemi di Azure Quantum: Creazione di un'area di lavoro di Azure Quantum.