瞭解 Azure Quantum 工作區的角色型存取
瞭解可用來管理 Azure Quantum 工作區存取權的不同安全性主體和角色。
Azure 角色型存取控制
Azure 角色型訪問控制 (Azure RBAC) 是您用來管理 Azure 資源存取權的授權系統,例如工作區。 若要授與存取權,您可以將角色指派給安全性主體。
安全性主體
安全性主體是代表使用者、群組、服務主體或受控識別的物件。
| 安全性主體 | 定義 |
|---|---|
| User | 登入 Azure 以建立、管理及使用資源的用戶帳戶。 |
| 群組 | 使用者群組。 用來管理需要相同資源存取權和許可權的使用者。 |
| 服務主體 | 需要存取資源之應用程式、服務或平臺的使用者身分識別。 |
| 受控識別 | Azure Active Directory (Azure AD) 中的自動受控識別,可讓應用程式在聯機到支援 Azure AD 驗證的資源時使用。 |
角色
當您授與安全性主體的存取權時,您會指派 內建角色 或建立 自定義角色。 最常使用的內建角色是 擁有者、 參與者和 讀者。
| 角色 | 存取層級 |
|---|---|
| 擁有者 | 授與管理所有資源的完整存取權,包括在 Azure RBAC 中指派角色的能力。 |
| 參與者 | 授與管理所有資源的完整存取權,但不允許您在 Azure RBAC 中指派角色。 |
| 讀取者 | 檢視所有資源,但不允許您進行任何變更。 |
範圍
角色會指派在特定範圍。 「範圍」是要套用存取權的一組資源。 範圍會採用父子式關聯性的結構。 階層的每個層級都會讓範圍更為明確。 角色套用範圍依您選取的層級而定。 較低層級會繼承較高層級的角色權限。 您可以在四個範圍層級指派角色:管理群組、訂用帳戶、資源群組或資源。
| 影響範圍 | 描述 |
|---|---|
| 管理群組 | 協助您管理多個訂用帳戶的存取、原則和合規性。 管理群組中的所有訂用帳戶都會自動繼承套用至管理群組的條件。 如果您的組織有多個訂用帳戶,您可能需要管理群組。 |
| 訂用帳戶 | 以邏輯方式將 用戶帳戶 與其建立的資源產生關聯。 用戶帳戶是使用者身分識別和一或多個訂用帳戶。 「訂用帳戶」代表一組 Azure 資源。 發票會在訂用帳戶範圍產生。 您必須擁有具有作用中訂用帳戶的帳戶,才能建立 Azure 資源。 如需訂用帳戶選項,請參閱 建立 Azure Quantum 工作區。 |
| 資源群組 | 保存 Azure 解決方案相關資源的容器。 資源群組包含您想要以群組形式管理的資源。 例如,在 Azure Quantum 中執行應用程式需要下列資源:
|
| 資源 | 您可以建立的服務實例,例如工作區或記憶體帳戶。 |
注意
由於存取範圍可以限定於 Azure 中的多個層級,因此使用者在每個層級上可能有不同的角色。 例如,具有工作區擁有者存取權的人員,可能沒有該工作區所屬資源群組的擁有者存取權。
建立工作區的角色需求
當您 建立新的工作區時,請先選取訂用帳戶、資源群組和記憶體帳戶,以與工作區產生關聯。 建立工作區的能力取決於您擁有的存取層級,從訂用帳戶範圍開始。 若要檢視各種資源的授權,請參閱 檢查您的角色指派。
訂用帳戶擁有者
訂用帳戶擁有者可以使用 [快速建立] 或 [進階建立] 選項來建立工作區。 您可以選擇存在於訂用帳戶下的資源群組和記憶體帳戶,或建立新的資源群組和儲存體帳戶。 您也可以將 角色 指派給其他使用者。
訂用帳戶參與者
訂用帳戶參與者可以使用 [ 進階建立 ] 選項來建立工作區。
若要建立新的記憶體帳戶,您必須選取您擁有的現有資源群組。
若要選取現有的記憶體帳戶,您必須是記憶體帳戶的擁有者。 您也必須選取記憶體帳戶所屬的現有資源群組。
訂用帳戶參與者無法將角色指派給其他人。
訂用帳戶讀取者
訂用帳戶讀取者無法建立工作區。 您可以檢視在訂用帳戶下建立的所有資源,但無法進行任何變更或指派角色。
檢查您的角色指派
檢查您的訂用帳戶
若要查看訂用帳戶和相關聯角色的清單:
- 登入 Azure 入口網站。
- 在 [Azure 服務] 標題下,選取 [訂用帳戶]。 如果在這裡看不到 [訂用帳戶],請使用搜尋方塊來尋找它。
- 搜尋方塊旁的 [訂用帳戶] 篩選條件可能預設為 [訂用帳戶 = 全域篩選]。 若要查看所有訂用帳戶的清單,請選取 [訂用帳戶] 篩選,並 取消選取 [只選取在 ... 中選取的訂用帳戶]箱。 接著選取套用。 篩選條件應該會顯示 [訂用帳戶= 全部]。
檢查您的資源
若要檢查您或其他用戶對於特定資源的角色指派,請參閱 檢查使用者對 Azure 資源的存取權。
指派角色
若要將新使用者新增至工作區,您必須是工作區的擁有者。 若要將 10 個或更少使用者的存取權授與工作區,請參閱 共用 Azure Quantum 工作區的存取權。 若要將存取權授與超過10位使用者,請參閱 將群組新增至您的 Azure Quantum 工作區。
若要在任何範圍指派任何資源的角色,包括訂用帳戶層級,請參閱使用 Azure 入口網站 指派 Azure 角色。
疑難排解
在 Azure 中建立資源時 (例如工作區),您不會直接成為資源的擁有者。 您的角色繼承自您在該訂用帳戶中被授權的最高範圍角色。
新角色指派有時最多可能需要一小時的時間,才能在堆疊上的快取許可權上生效。
如需常見問題的解決方案,請參閱 針對 Azure Quantum:建立 Azure Quantum 工作區進行疑難解答。