Azure Batch hizmeti için rol tabanlı erişim denetimi

Azure Batch Hizmeti, Azure Batch hesabına farklı izin düzeyleri sağlayan bir dizi yerleşik Azure rolünü destekler. Azure kaynaklarına bireysel erişimi yönetmeye yönelik bir yetkilendirme sistemi olan Azure rol tabanlı erişim denetimini (Azure RBAC) kullanarak, Batch hesabınızla etkileşim kurması gereken kullanıcılara, hizmet sorumlularına veya diğer kimliklere belirli izinler atayabilirsiniz. Özel kullanım senaryonuzu uyarlayan özel, ayrıntılı izinlerle özel roller de atayabilirsiniz.

Azure RBAC atama

Kullanıcıya, gruba, hizmet sorumlusuna veya yönetilen kimliğe Azure RBAC rolü atamak için bu adımları izleyin. Ayrıntılı adımlar için bkz . Azure portalını kullanarak Azure rolleri atama.

1. Azure portalında, belirli Batch hesabınıza gidin.

   İpucu

   Azure RBAC'yi tüm kaynak grupları, abonelikler veya yönetim grupları için de ayarlayabilirsiniz. Bunu yapmak için istenen kapsam düzeyini seçin ve ardından istenen öğeye gidin. Örneğin, Kaynak gruplarını seçip belirli bir kaynak grubuna gidin.

2. Sol gezinti bölmesinden Erişim denetimi (IAM) öğesini seçin.

3. Erişim denetimi (IAM) sayfasında Rol ataması ekle'yi seçin.

4. Rol ataması ekle sayfasında Rol sekmesini seçin ve ardından Azure Batch'in yerleşik RBAC rollerinden birini seçin.

5. Üyeler sekmesini seçin ve Üyeler'in altında Üyeleri seç'i seçin.

6. Üye seç ekranında bir kullanıcı, grup, hizmet sorumlusu veya yönetilen kimlik arayın ve seçin ve ardından Seç'i seçin.

   Not

   Azure Batch hizmetlerinin kimliğini hizmet sorumlusuyla doğrulamak için bir uygulamayı yapılandırırken, Azure Batch hesabına erişimini ve izinlerini yapılandırmak için burada uygulamanızı arayın ve seçin.

7. Rol ataması ekle sayfasında Gözden geçir ve ata'yı seçin.

Hedef kimlik artık Batch hesabının Erişim denetimi (IAM) sayfasının Rol atamaları sekmesinde görünmelidir.

Azure Batch yerleşik RBAC rolleri

Azure Batch'in yaygın kullanıcı senaryolarını ele almak için önceden tanımlanmış bazı rolleri vardır ve Azure Batch hesabındaki uygun erişim düzeylerinin belirli görevleri için bir kimliğe verimli bir şekilde atanabilmesini sağlar.

Yerleşik rol	Açıklama	Kimlik
Azure Batch Hesabı Katkıda Bulunanı	Batch hesapları, havuzları ve işleri de dahil olmak üzere tüm Batch kaynaklarını yönetmek için tam erişim verir.	29fe4964-1e60-436b-bd3a-77fd4c178b3c
Azure Batch Hesap Okuyucusu	Batch hesabındaki havuzlar ve işler de dahil olmak üzere tüm kaynakları görüntülemenizi sağlar.	11076f67-66f6-4be0-8f6b-f0609fd05cc9
Azure Batch Veri Katkıda Bulunanı	Batch havuzlarını ve işlerini yönetme izinleri verir, ancak hesapları değiştirme izni vermez.	6aaa78f1-f7de-44ca-8722-c64a23943cae
Azure Batch İşi Göndericisi	Batch hesabında işleri göndermenize ve yönetmenize olanak tanır.	48e5e92e-a480-4e71-aa9c-2778f4c13781

İzinler	Azure Batch Hesabı Katkıda Bulunanı	Azure Batch Hesap Okuyucusu	Azure Batch Veri Katkıda Bulunanı	Azure Batch İşi Göndericisi
Batch hesaplarını listeleme veya Batch hesabının özelliklerini görüntüleme	✓	✓	✓
Batch hesabı oluşturma, güncelleştirme veya silme	✓
Batch hesabı için erişim anahtarlarını listeleme	✓
Batch hesabı için erişim anahtarlarını yeniden oluşturma	✓
Batch hesabındaki uygulama ve uygulama paketlerinin özelliklerini listeleme veya görüntüleme	✓	✓	✓	✓
Batch hesabında uygulama ve uygulama paketleri oluşturma, güncelleştirme veya silme	✓		✓
Batch hesabındaki sertifikaların özelliklerini listeleme veya görüntüleme	✓	✓	✓
Batch hesabında sertifika oluşturma, güncelleştirme veya silme	✓		✓
Batch hesabındaki havuzların özelliklerini listeleme veya görüntüleme	✓	✓	✓	✓
Batch hesabında havuz oluşturma, güncelleştirme veya silme	✓		✓
Batch hesabındaki işlerin özelliklerini listeleme veya görüntüleme	✓	✓	✓	✓
Batch hesabında iş oluşturma, güncelleştirme veya silme	✓		✓	✓
Batch hesabında iş zamanlamalarının özelliklerini listeleme veya görüntüleme	✓	✓	✓	✓
Batch hesabında iş zamanlamaları oluşturma, güncelleştirme veya silme	✓		✓	✓

Azure Batch Hesabı Katkıda Bulunanı

Batch hesapları, havuzları ve işleri de dahil olmak üzere tüm Batch kaynaklarını yönetmek için tam erişim verir.

Eylemler	Açıklama
Microsoft.Authorization/*/read	Rolleri ve rol atamalarını okuyun.
Microsoft.Insights/alertRules/*	Klasik ölçüm uyarısı oluşturma ve yönetme.
Microsoft.Resources/deployments/*	Dağıtım oluşturma ve yönetme.
Microsoft.Resources/subscriptions/resourceGroups/read	Kaynak gruplarını alır veya listeler.
Microsoft.Batch/batchAccounts/*
NotActions
none
DataActions
Microsoft.Batch/batchAccounts/*
NotDataActions
none

{
    "assignableScopes": [
        "/"
    ],
    "description": "Grants full access to manage all Batch resources, including Batch accounts, pools and jobs.",
    "id": "/providers/Microsoft.Authorization/roleDefinitions/29fe4964-1e60-436b-bd3a-77fd4c178b3c",
    "permissions": [
        {
            "actions": [
                "Microsoft.Authorization/*/read",
                "Microsoft.Batch/batchAccounts/*",
                "Microsoft.Insights/alertRules/*",
                "Microsoft.Resources/deployments/*",
                "Microsoft.Resources/subscriptions/resourceGroups/read"
            ],
            "dataActions": [
                "Microsoft.Batch/batchAccounts/*"
            ],
            "notActions": [],
            "notDataActions": []
        }
    ],
    "roleName": "Azure Batch Account Contributor",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Batch Hesap Okuyucusu

Batch hesabındaki havuzlar ve işler de dahil olmak üzere tüm kaynakları görüntülemenizi sağlar.

Eylemler	Açıklama
Microsoft.Batch/batchAccounts/read	Batch hesaplarını listeler veya Batch hesabının özelliklerini alır.
Microsoft.Batch/batchAccounts/*/read	Batch hesabındaki tüm kaynakları görüntüleyin.
Microsoft.Resources/subscriptions/resourceGroups/read	Kaynak gruplarını alır veya listeler.
NotActions
none
DataActions
Microsoft.Batch/*/read	Batch hesabındaki tüm kaynakları görüntüleyin.
NotDataActions
none

{
    "assignableScopes": [
        "/"
    ],
    "description": "Lets you view all resources including pools and jobs in the Batch account.",
    "id": "/providers/Microsoft.Authorization/roleDefinitions/11076f67-66f6-4be0-8f6b-f0609fd05cc9",
    "permissions": [
        {
            "actions": [
                "Microsoft.Batch/batchAccounts/read",
                "Microsoft.Batch/batchAccounts/*/read",
                "Microsoft.Resources/subscriptions/resourceGroups/read"
            ],
            "dataActions": [
                "Microsoft.Batch/batchAccounts/*/read"
            ],
            "notActions": [],
            "notDataActions": []
        }
    ],
    "roleName": "Azure Batch Account Reader",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Batch Veri Katkıda Bulunanı

Batch havuzlarını ve işlerini yönetme izinleri verir, ancak hesapları değiştirme izni vermez.

Eylemler	Açıklama
Microsoft.Authorization/*/read	Rolleri ve rol atamalarını okuyun.
Microsoft.Batch/batchAccounts/read	Batch hesaplarını listeler veya Batch hesabının özelliklerini alır.
Microsoft.Batch/batchAccounts/applications/*	Batch hesabında uygulama ve uygulama paketleri oluşturma ve yönetme.
Microsoft.Batch/batchAccounts/certificates/*	Batch hesabında sertifika oluşturma ve yönetme.
Microsoft.Batch/batchAccounts/certificateOperationResults/*	Batch hesabında uzun süre çalışan bir sertifika işleminin sonuçlarını alır.
Microsoft.Batch/pools/*	Batch hesabında havuzlar oluşturun ve yönetin.
Microsoft.Batch/poolOperationResults/*	Batch hesabında uzun süre çalışan bir havuz işleminin sonuçlarını alır.
Microsoft.Batch/locations/*/read	Verilen konumda Batch hesabı işlem sonucunu/Batch kotasını/desteklenen VM boyutunu alın.
Microsoft.Insights/alertRules/*	Klasik ölçüm uyarısı oluşturma ve yönetme.
Microsoft.Resources/deployments/*	Dağıtım oluşturma ve yönetme.
Microsoft.Resources/subscriptions/resourceGroups/read	Kaynak gruplarını alır veya listeler.
NotActions
none
DataActions
Microsoft.Batch/batchAccounts/jobSchedules/*	Batch hesabında iş zamanlamaları oluşturun ve yönetin.
Microsoft.Batch/batchAccounts/jobs/*	Batch hesabında iş oluşturma ve yönetme.
NotDataActions
none

{
    "assignableScopes": [
        "/"
    ],
    "description": "Grants permissions to manage Batch pools and jobs but not to modify accounts.",
    "id": "/providers/Microsoft.Authorization/roleDefinitions/6aaa78f1-f7de-44ca-8722-c64a23943cae",
    "permissions": [
        {
            "actions": [
                "Microsoft.Authorization/*/read",
                "Microsoft.Batch/batchAccounts/read",
                "Microsoft.Batch/batchAccounts/applications/*",
                "Microsoft.Batch/batchAccounts/certificates/*",
                "Microsoft.Batch/batchAccounts/certificateOperationResults/*",
                "Microsoft.Batch/batchAccounts/pools/*",
                "Microsoft.Batch/batchAccounts/poolOperationResults/*",
                "Microsoft.Batch/locations/*/read",
                "Microsoft.Insights/alertRules/*",
                "Microsoft.Resources/deployments/*",
                "Microsoft.Resources/subscriptions/resourceGroups/read"
            ],
            "dataActions": [
                "Microsoft.Batch/batchAccounts/jobSchedules/*",
                "Microsoft.Batch/batchAccounts/jobs/*"
            ],
            "notActions": [],
            "notDataActions": []
        }
    ],
    "roleName": "Azure Batch Data Contributor",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Batch İşi Göndericisi

Batch hesabında işleri göndermenize ve yönetmenize olanak tanır.

Eylemler	Açıklama
Microsoft.Batch/batchAccounts/applications/read	Uygulamaları listeler veya bir uygulamanın özelliklerini alır.
Microsoft.Batch/batchAccounts/applications/versions/read	Uygulama paketinin özelliklerini alır.
Microsoft.Batch/pools/read	Batch hesabındaki havuzları listeler veya havuzun özelliklerini alır.
Microsoft.Insights/alertRules/*	Klasik ölçüm uyarısı oluşturma ve yönetme.
Microsoft.Resources/subscriptions/resourceGroups/read	Kaynak gruplarını alır veya listeler.
NotActions
none
DataActions
Microsoft.Batch/batchAccounts/jobSchedules/*	Batch hesabında iş zamanlamaları oluşturun ve yönetin.
Microsoft.Batch/batchAccounts/jobs/*	Batch hesabında iş oluşturma ve yönetme.
NotDataActions
none

{
    "assignableScopes": [
        "/"
    ],
    "description": "Lets you submit and manage jobs in the Batch account.",
    "id": "/providers/Microsoft.Authorization/roleDefinitions/48e5e92e-a480-4e71-aa9c-2778f4c13781",
    "permissions": [
        {
            "actions": [
                "Microsoft.Batch/batchAccounts/applications/read",
                "Microsoft.Batch/batchAccounts/applications/versions/read",
                "Microsoft.Batch/batchAccounts/pools/read",
                "Microsoft.Insights/alertRules/*",
                "Microsoft.Resources/subscriptions/resourceGroups/read"
            ],
            "dataActions": [
                "Microsoft.Batch/batchAccounts/jobSchedules/*",
                "Microsoft.Batch/batchAccounts/jobs/*"
            ],
            "notActions": [],
            "notDataActions": []
        }
    ],
    "roleName": "Azure Batch Job Submitter",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions"
}

Özel bir rolü atama

Azure Batch yerleşik rolleri gereksinimlerinizi karşılamıyorsa, azure özel rolleri bir kullanıcıya işleri, görevleri ve daha fazlasını göndermek için ayrıntılı izin vermek için kullanılabilir. Aşağıdaki Azure Batch RBAC işlemleri için Bir Microsoft Entra Kimliğine izin vermek veya reddetmek için özel bir rol kullanabilirsiniz.

• Microsoft.Batch/batchAccounts/pools/write
• Microsoft.Batch/batchAccounts/pools/delete
• Microsoft.Batch/batchAccounts/pools/read
• Microsoft.Batch/batchAccounts/jobSchedules/write
• Microsoft.Batch/batchAccounts/jobSchedules/delete
• Microsoft.Batch/batchAccounts/jobSchedules/read
• Microsoft.Batch/batchAccounts/jobs/write
• Microsoft.Batch/batchAccounts/jobs/delete
• Microsoft.Batch/batchAccounts/jobs/read
• Microsoft.Batch/batchAccounts/certificates/write
• Microsoft.Batch/batchAccounts/certificates/delete
• Microsoft.Batch/batchAccounts/certificates/read
• Microsoft.Batch/batchAccounts/applications/write
• Microsoft.Batch/batchAccounts/applications/delete
• Microsoft.Batch/batchAccounts/applications/read
• Microsoft.Batch/batchAccounts/applications/versions/write
• Microsoft.Batch/batchAccounts/applications/versions/delete
• Microsoft.Batch/batchAccounts/applications/versions/read
• Herhangi bir okuma işlemi için Microsoft.Batch/batchAccounts/read
• Herhangi bir işlem için Microsoft.Batch/batchAccounts/listKeys/action

Aşağıdaki örnekte Azure Batch özel rol tanımı gösterilmektedir:

{
 "properties":{
    "roleName":"Azure Batch Custom Job Submitter",
    "type":"CustomRole",
    "description":"Allows a user to submit autopool jobs to Azure Batch",
    "assignableScopes":[
      "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
    ],
    "permissions":[
      {
        "actions":[
          "Microsoft.Batch/*/read",
          "Microsoft.Batch/batchAccounts/pools/write",
          "Microsoft.Batch/batchAccounts/pools/delete",
          "Microsoft.Authorization/*/read",
          "Microsoft.Resources/subscriptions/resourceGroups/read",
          "Microsoft.Support/*",
          "Microsoft.Insights/alertRules/*"
        ],
        "notActions":[

        ],
        "dataActions":[
          "Microsoft.Batch/batchAccounts/jobs/*",
          "Microsoft.Batch/batchAccounts/jobSchedules/*"
        ],
        "notDataActions":[

        ]
      }
    ]
  }
}

Sonraki adımlar

• Azure portalında Batch hesabı oluşturma
• Microsoft Entra Id ile Batch Management çözümlerinin kimliğini doğrulama
• Microsoft Entra ID ile Azure Batch hizmetlerinin kimliğini doğrulama