Общий доступ к панелям мониторинга Azure с использованием управления доступом на основе ролей

После настройки панели мониторинга ее можно опубликовать и использовать совместно с другими пользователями в организации. При совместном использовании панели мониторинга вы можете контролировать, кто может его просматривать с помощью управления доступом на основе ролей Azure (Azure RBAC), чтобы назначить роли одному пользователю или группе пользователей. Вы можете выбрать роль, которая позволяет просматривать только опубликованную панель мониторинга или роль, которая также позволяет изменять ее.

Совет

На панели мониторинга отдельные плитки применяют собственные требования к управлению доступом на основе отображаемых ресурсов. Вы можете совместно использовать любую панель мониторинга, даже если некоторые данные на определенных плитках могут не отображаться для всех пользователей.

Общие сведения об управлении доступом для панелей мониторинга

С точки зрения управления доступом панели мониторинга не отличаются от других ресурсов, таких как виртуальные машины или учетные записи хранения. Опубликованные панели мониторинга реализуются как ресурсы Azure. Каждая панель мониторинга существует как управляемый элемент, содержащийся в группе ресурсов в подписке.

Azure RBAC позволяет назначать пользователям роли на четырех разных уровнях области: группу управления, подписку, группу ресурсов или ресурс. Разрешения Azure RBAC наследуются от более высоких уровней до отдельного ресурса. Во многих случаях у вас уже есть пользователи, которым назначены роли для подписки, которая предоставит им доступ к опубликованной панели мониторинга.

Например, пользователи, имеющие роль владельца или участника для подписки, могут просматривать, создавать, изменять или удалять панели мониторинга в подписке. Пользователи с пользовательской ролью , включающей Microsoft.Portal/Dashboards/Write разрешение, также могут выполнять эти задачи.

Пользователи с ролью читателя для подписки (или настраиваемой роли с Microsoft.Portal/Dashboards/Read разрешением) могут перечислять и просматривать панели мониторинга в этой подписке, но они не могут изменять или удалять их. Эти пользователи могут самостоятельно создавать частные копии панелей мониторинга. Они также могут вносить локальные изменения на опубликованную панель мониторинга для собственного использования, например при устранении неполадок, но они не могут публиковать эти изменения обратно на сервер.

Чтобы расширить доступ к панели мониторинга за пределами доступа, предоставленного на уровне подписки, можно назначить разрешения отдельной панели мониторинга или группе ресурсов, содержащей несколько панелей мониторинга. Например, если у пользователя должны быть ограниченные разрешения в подписке, но необходимо изменить одну определенную панель мониторинга, вы можете назначить другую роль с дополнительными разрешениями (например , участником) только для этой панели мониторинга.

Внимание

Так как отдельные плитки на панели мониторинга могут применять собственные требования к управлению доступом, некоторые пользователи с доступом к просмотру или редактированию панели мониторинга могут не видеть информацию в определенных плитках. Чтобы пользователи могли просматривать данные на определенной плитке, убедитесь, что у них есть соответствующие разрешения для базовых ресурсов, к которым обращается эта плитка.

Публикация панели мониторинга

Чтобы предоставить доступ к панели мониторинга, необходимо сначала опубликовать ее. При этом другие пользователи в вашей организации смогут получать доступ к панели мониторинга и изменять ее на основе ролей Azure RBAC.

  1. На панели мониторинга выберите Общий доступ.

    Снимок экрана: параметр

  2. В окне Общий доступ + управление доступом нажмите кнопку Опубликовать.

    Снимок экрана: публикация панели мониторинга портал Azure.

    По умолчанию включение общего доступа публикует панель мониторинга в группе ресурсов с именем панели мониторинга. Чтобы выбрать другую группу ресурсов, снимите флажок.

  3. Чтобы добавить необязательные теги на панель мониторинга, введите одну или несколько пар "имя-значение".

  4. Выберите Опубликовать.

Панель мониторинга опубликована. Если необходимы разрешения, наследуемые пользователями от подписки, вам не нужно ничего больше делать. В противном случае ознакомьтесь с сведениями о том, как расширить доступ к определенным пользователям или группам.

Назначение доступа к панели мониторинга

Для каждой опубликованной панели мониторинга можно назначить встроенные роли Azure RBAC группам пользователей (или отдельным пользователям). Это позволяет им использовать эту роль на панели мониторинга, даже если разрешения на уровне подписки обычно не разрешают его.

  1. После публикации панели мониторинга выберите "Управление общим доступом", а затем выберите элемент управления доступом.

    Снимок экрана: параметр управления доступом для панели мониторинга портал Azure.

  2. В контроль доступа выберите назначения ролей, чтобы просмотреть существующих пользователей, которые уже назначены роли для этой панели мониторинга.

  3. Чтобы добавить нового пользователя или группу, нажмите кнопку Добавить и выберите пункт Добавить назначение ролей.

    Снимок экрана: добавление назначения ролей для панели мониторинга портал Azure.

  4. Выберите роль, которую вы хотите предоставить, например участник или читатель, и нажмите кнопку "Далее".

  5. Выберите "Выбрать участников", а затем выберите одну или несколько групп Microsoft Entra и (или) пользователей. Если пользователя или группы нет в списке, используйте поле поиска. По завершении нажмите кнопку "Выбрать".

  6. Выберите Просмотреть и назначить, чтобы завершить назначение.

Совет

Как отмечалось выше, отдельные плитки на панели мониторинга могут применять собственные требования к управлению доступом на основе ресурсов, отображаемых плиткой. Если пользователям нужно просмотреть данные для определенной плитки, убедитесь, что у них есть соответствующие разрешения для базовых ресурсов, к которым обращается эта плитка.

Следующие шаги