Szerepköralapú hozzáférés-vezérlés az Azure Batch szolgáltatáshoz
Az Azure Batch Service olyan beépített Azure-szerepköröket támogat, amelyek különböző szintű engedélyeket biztosítanak az Azure Batch-fiókhoz. Az Azure-erőforrásokhoz való egyéni hozzáférés felügyeletére szolgáló azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával adott engedélyeket rendelhet hozzá a Batch-fiókhoz szükséges felhasználókhoz, szolgáltatásnevekhez vagy más identitásokhoz. Egyéni szerepköröket is hozzárendelhet egyéni, részletes engedélyekkel, amelyek alkalmazkodnak az adott használati forgatókönyvhöz.
Feljegyzés
Minden RBAC-szerepkör (beépített és egyéni) a Microsoft Entra-azonosítóval hitelesített felhasználók számára készült, nem pedig a Batch megosztott kulcs hitelesítő adataihoz. A Batch megosztott kulcs hitelesítő adatai teljes körű engedélyt adnak a Batch-fióknak.
Azure RBAC hozzárendelése
Kövesse az alábbi lépéseket egy Azure RBAC-szerepkör felhasználóhoz, csoporthoz, szolgáltatásnévhez vagy felügyelt identitáshoz való hozzárendeléséhez. A részletes lépésekért lásd : Azure-szerepkörök hozzárendelése az Azure Portal használatával.
Az Azure Portalon keresse meg az adott Batch-fiókot.
Tipp.
Az Azure RBAC-t teljes erőforráscsoportokhoz, előfizetésekhez vagy felügyeleti csoportokhoz is beállíthatja. Ehhez válassza ki a kívánt hatókörszintet, majd navigáljon a kívánt elemre. Például válassza ki az Erőforráscsoportokat , majd navigáljon egy adott erőforráscsoportra.
A bal oldali navigációs sávon válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
A Hozzáférés-vezérlés (IAM) lapon válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.
A Szerepkör-hozzárendelés hozzáadása lapon válassza a Szerepkör lapot, majd válasszon egy beépített Azure Batch RBAC-szerepkört.
Válassza a Tagok lapot, és válassza a Tagok kijelölése lehetőséget a Tagok csoportban.
A Tagok kijelölése képernyőn keressen és jelöljön ki egy felhasználót, csoportot, szolgáltatásnevet vagy felügyelt identitást, majd válassza a Kiválasztás lehetőséget.
Feljegyzés
Amikor egy alkalmazást úgy konfigurál, hogy az Azure Batch-szolgáltatásokat szolgáltatásnévvel hitelesítse, keresse meg és válassza ki az alkalmazást, hogy konfigurálja az Azure Batch-fiókhoz való hozzáférését és engedélyeit.
Válassza a Véleményezés + hozzárendelés lehetőséget a Szerepkör-hozzárendelés hozzáadása lapon.
A célidentitásnak most meg kell jelennie a Batch-fiók hozzáférés-vezérlési (IAM) lapjának Szerepkör-hozzárendelések lapján.
Azure Batch beépített RBAC-szerepkörök
Az Azure Batch rendelkezik néhány előre definiált szerepkörsel a gyakori felhasználói forgatókönyvek kezeléséhez, így biztosítva, hogy az Azure Batch-fiók megfelelő hozzáférési szintjei hatékonyan hozzárendelhetők legyenek egy identitáshoz az adott feladatukhoz.
Beépített szerepkör Leírás ID (Azonosító) Azure Batch-fiók közreműködője Teljes hozzáférést biztosít az összes Batch-erőforrás kezeléséhez, beleértve a Batch-fiókokat, készleteket és feladatokat. 29fe4964-1e60-436b-bd3a-77fd4c178b3c Azure Batch-fiókolvasó Lehetővé teszi az összes erőforrás megtekintését, beleértve a készleteket és a feladatokat a Batch-fiókban. 11076f67-66f6-4be0-8f6b-f0609fd05cc9 Azure Batch-adatszolgáltató Engedélyeket ad a Batch-készletek és -feladatok kezeléséhez, de nem módosíthatja a fiókokat. 6aaa78f1-f7de-44ca-8722-c64a23943cae Azure Batch-feladat beküldője Lehetővé teszi feladatok elküldését és kezelését a Batch-fiókban. 48e5e92e-a480-4e71-aa9c-2778f4c13781
Engedélyek Azure Batch-fiók közreműködője Azure Batch-fiókolvasó Azure Batch-adatszolgáltató Azure Batch-feladat beküldője Batch-fiókok listázása vagy egy Batch-fiók tulajdonságainak megtekintése ✓ ✓ ✓ Batch-fiók létrehozása, frissítése vagy törlése ✓ Batch-fiók hozzáférési kulcsainak listázása ✓ Hozzáférési kulcsok újragenerálása Batch-fiókhoz ✓ Alkalmazások és alkalmazáscsomagok tulajdonságainak listázása vagy megtekintése Batch-fiókban ✓ ✓ ✓ ✓ Alkalmazások és alkalmazáscsomagok létrehozása, frissítése vagy törlése Batch-fiókban ✓ ✓ Tanúsítványok tulajdonságainak listázása vagy megtekintése Batch-fiókban ✓ ✓ ✓ Tanúsítványok létrehozása, frissítése vagy törlése Batch-fiókban ✓ ✓ Készletek tulajdonságainak listázása vagy megtekintése Batch-fiókban ✓ ✓ ✓ ✓ Készletek létrehozása, frissítése vagy törlése Batch-fiókban ✓ ✓ Feladatok tulajdonságainak listázása vagy megtekintése Batch-fiókban ✓ ✓ ✓ ✓ Feladatok létrehozása, frissítése vagy törlése Batch-fiókban ✓ ✓ ✓ Feladatütemezések tulajdonságainak listázása vagy megtekintése Batch-fiókban ✓ ✓ ✓ ✓ Feladatütemezések létrehozása, frissítése vagy törlése Batch-fiókban ✓ ✓ ✓
Figyelmeztetés
A Batch-fiók tanúsítványszolgáltatása ki lett vonva.
Azure Batch-fiók közreműködője
Teljes hozzáférést biztosít az összes Batch-erőforrás kezeléséhez, beleértve a Batch-fiókokat, készleteket és feladatokat.
Műveletek Leírás Microsoft.Authorization/*/read Olvassa el a szerepeket és szerepkiosztásokat. Microsoft.Insights/alertRules/* Klasszikus metrikariasztás létrehozása és kezelése. Microsoft.Resources/deployments/* Üzembe helyezés létrehozása és kezelése. Microsoft.Resources/subscriptions/resourceGroups/read Lekéri vagy listázza az erőforráscsoportokat. Microsoft.Batch/batchAccounts/* NotActions none DataActions Microsoft.Batch/batchAccounts/* NotDataActions none
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all Batch resources, including Batch accounts, pools and jobs.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/29fe4964-1e60-436b-bd3a-77fd4c178b3c",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Batch/batchAccounts/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/batchAccounts/*"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Account Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Batch-fiókolvasó
Lehetővé teszi az összes erőforrás megtekintését, beleértve a készleteket és a feladatokat a Batch-fiókban.
Műveletek Leírás Microsoft.Batch/batchAccounts/read Felsorolja a Batch-fiókokat, vagy lekéri egy Batch-fiók tulajdonságait. Microsoft.Batch/batchAccounts/*/read Az összes erőforrás megtekintése a Batch-fiókban. Microsoft.Resources/subscriptions/resourceGroups/read Lekéri vagy listázza az erőforráscsoportokat. NotActions none DataActions Microsoft.Batch/*/read Az összes erőforrás megtekintése a Batch-fiókban. NotDataActions none
{
"assignableScopes": [
"/"
],
"description": "Lets you view all resources including pools and jobs in the Batch account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/11076f67-66f6-4be0-8f6b-f0609fd05cc9",
"permissions": [
{
"actions": [
"Microsoft.Batch/batchAccounts/read",
"Microsoft.Batch/batchAccounts/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/batchAccounts/*/read"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Account Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Batch-adatszolgáltató
Engedélyeket ad a Batch-készletek és -feladatok kezeléséhez, de nem módosíthatja a fiókokat.
Műveletek Leírás Microsoft.Authorization/*/read Olvassa el a szerepeket és szerepkiosztásokat. Microsoft.Batch/batchAccounts/read Felsorolja a Batch-fiókokat, vagy lekéri egy Batch-fiók tulajdonságait. Microsoft.Batch/batchAccounts/applications/* Alkalmazások és alkalmazáscsomagok létrehozása és kezelése Batch-fiókban. Microsoft.Batch/batchAccounts/certificates/* Tanúsítványok létrehozása és kezelése Batch-fiókban. Microsoft.Batch/batchAccounts/certificateOperationResults/* Lekéri egy Batch-fiók hosszú ideig futó tanúsítványműveletének eredményeit. Microsoft.Batch/pools/* Készletek létrehozása és kezelése Batch-fiókban. Microsoft.Batch/poolOperationResults/* Lekéri egy Batch-fiók hosszú ideig futó készletműveletének eredményeit. Microsoft.Batch/locations/*/read Batch-fiókművelet eredményének/Batch-kvóta/támogatott virtuális gép méretének lekérése az adott helyen. Microsoft.Insights/alertRules/* Klasszikus metrikariasztás létrehozása és kezelése. Microsoft.Resources/deployments/* Üzembe helyezés létrehozása és kezelése. Microsoft.Resources/subscriptions/resourceGroups/read Lekéri vagy listázza az erőforráscsoportokat. NotActions none DataActions Microsoft.Batch/batchAccounts/jobSchedules/* Feladatütemezések létrehozása és kezelése Batch-fiókban. Microsoft.Batch/batchAccounts/jobs/* Feladatok létrehozása és kezelése Batch-fiókban. NotDataActions none
{
"assignableScopes": [
"/"
],
"description": "Grants permissions to manage Batch pools and jobs but not to modify accounts.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6aaa78f1-f7de-44ca-8722-c64a23943cae",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Batch/batchAccounts/read",
"Microsoft.Batch/batchAccounts/applications/*",
"Microsoft.Batch/batchAccounts/certificates/*",
"Microsoft.Batch/batchAccounts/certificateOperationResults/*",
"Microsoft.Batch/batchAccounts/pools/*",
"Microsoft.Batch/batchAccounts/poolOperationResults/*",
"Microsoft.Batch/locations/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/batchAccounts/jobSchedules/*",
"Microsoft.Batch/batchAccounts/jobs/*"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Data Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Batch-feladat beküldője
Lehetővé teszi feladatok elküldését és kezelését a Batch-fiókban.
Műveletek Leírás Microsoft.Batch/batchAccounts/applications/read Megjeleníti az alkalmazásokat, vagy lekéri egy alkalmazás tulajdonságait. Microsoft.Batch/batchAccounts/applications/versions/read Lekéri egy alkalmazáscsomag tulajdonságait. Microsoft.Batch/készletek/olvasás Egy Batch-fiók készleteinek listázása vagy egy készlet tulajdonságainak lekérése. Microsoft.Insights/alertRules/* Klasszikus metrikariasztás létrehozása és kezelése. Microsoft.Resources/subscriptions/resourceGroups/read Lekéri vagy listázza az erőforráscsoportokat. NotActions none DataActions Microsoft.Batch/batchAccounts/jobSchedules/* Feladatütemezések létrehozása és kezelése Batch-fiókban. Microsoft.Batch/batchAccounts/jobs/* Feladatok létrehozása és kezelése Batch-fiókban. NotDataActions none
{
"assignableScopes": [
"/"
],
"description": "Lets you submit and manage jobs in the Batch account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/48e5e92e-a480-4e71-aa9c-2778f4c13781",
"permissions": [
{
"actions": [
"Microsoft.Batch/batchAccounts/applications/read",
"Microsoft.Batch/batchAccounts/applications/versions/read",
"Microsoft.Batch/batchAccounts/pools/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/batchAccounts/jobSchedules/*",
"Microsoft.Batch/batchAccounts/jobs/*"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Job Submitter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Egyéni szerepkör hozzárendelése
Ha az Azure Batch beépített szerepkörei nem felelnek meg az igényeinek, az Egyéni Azure-szerepkörök használatával részletes engedélyt adhat egy felhasználónak a feladatok, feladatok és egyebek beküldéséhez. Egyéni szerepkörrel engedélyeket adhat vagy tilthat le a Microsoft Entra-azonosítóhoz a következő Azure Batch RBAC-műveletekhez.
- Microsoft.Batch/batchAccounts/pools/write
- Microsoft.Batch/batchAccounts/pools/delete
- Microsoft.Batch/batchAccounts/pools/read
- Microsoft.Batch/batchAccounts/jobSchedules/write
- Microsoft.Batch/batchAccounts/jobSchedules/delete
- Microsoft.Batch/batchAccounts/jobSchedules/read
- Microsoft.Batch/batchAccounts/jobs/write
- Microsoft.Batch/batchAccounts/jobs/delete
- Microsoft.Batch/batchAccounts/jobs/read
- Microsoft.Batch/batchAccounts/certificates/write
- Microsoft.Batch/batchAccounts/certificates/delete
- Microsoft.Batch/batchAccounts/certificates/read
- Microsoft.Batch/batchAccounts/applications/write
- Microsoft.Batch/batchAccounts/applications/delete
- Microsoft.Batch/batchAccounts/applications/read
- Microsoft.Batch/batchAccounts/applications/versions/write
- Microsoft.Batch/batchAccounts/applications/versions/delete
- Microsoft.Batch/batchAccounts/applications/versions/read
- Microsoft.Batch/batchAccounts/read, bármilyen olvasási művelethez
- Microsoft.Batch/batchAccounts/listKeys/action, bármilyen művelethez
Tipp.
Az automatikus készletet használó feladatok készletszintű írási engedélyeket igényelnek.
Feljegyzés
Bizonyos szerepkör-hozzárendeléseket meg kell adni a actions mezőben, míg másokat a dataActions mezőben kell megadni. Meg kell vizsgálnia mindkettőt actions , és dataActions meg kell ismernie a szerepkörhöz rendelt képességek teljes körét. További információ: Azure-erőforrás-szolgáltatói műveletek.
Az alábbi példa egy Egyéni Azure Batch-szerepkördefiníciót mutat be:
{
"properties":{
"roleName":"Azure Batch Custom Job Submitter",
"type":"CustomRole",
"description":"Allows a user to submit autopool jobs to Azure Batch",
"assignableScopes":[
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
],
"permissions":[
{
"actions":[
"Microsoft.Batch/*/read",
"Microsoft.Batch/batchAccounts/pools/write",
"Microsoft.Batch/batchAccounts/pools/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Insights/alertRules/*"
],
"notActions":[
],
"dataActions":[
"Microsoft.Batch/batchAccounts/jobs/*",
"Microsoft.Batch/batchAccounts/jobSchedules/*"
],
"notDataActions":[
]
}
]
}
}