你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
若要定义向用户授予特定权限的自定义角色,可以使用 Azure RBAC。 例如,可以定义 一个载入 角色,该角色向用户授予足够的权限以完成 Azure Arc 连接过程并安全地部署 Azure IoT作。
本文包含可在环境中下载和使用的示例列表。 这些自定义角色是列出角色的特定权限和范围的 JSON 文件。
若要详细了解 Azure RBAC 中的自定义角色,请参阅 Azure 自定义角色。
自定义角色示例
以下部分列出了可以下载和使用的示例 Azure IoT Operations 自定义角色:
载入角色
| 自定义角色 | DESCRIPTION |
|---|---|
| 载入 | 这是特权角色。 用户可以完成 Azure Arc 连接过程并安全地部署 Azure IoT作。 |
查看器角色
| 自定义角色 | DESCRIPTION |
|---|---|
| 实例查看器 | 此角色允许用户查看 Azure IoT作实例。 |
| 资产查看器 | 此角色允许用户查看 Azure IoT作实例中的资产。 |
| 资产终结点查看器 | 此角色允许用户在 Azure IoT作实例中查看资产终结点。 |
| 数据流查看器 | 此角色允许用户查看 Azure IoT作实例中的数据流。 |
| 数据流目标查看器 | 此角色允许用户在 Azure IoT作实例中查看数据流目标。 |
| MQ 查看器 | 此角色允许用户在 Azure IoT作实例中查看 MQTT 中转站。 |
| 查看器 | 此角色允许用户查看 Azure IoT作实例。 此角色是 实例查看器、 资产查看器、 资产终结点查看器、 数据流查看器、 数据流目标查看器和 MQ 查看器 角色的组合。 |
管理员角色
| 自定义角色 | DESCRIPTION |
|---|---|
| 实例管理员 | 这是特权角色。 用户可以部署实例。 该角色包括创建和更新实例、代理、身份验证、侦听器、数据流配置文件、数据流终结点、架构注册表和用户分配标识的权限。 该角色还包括删除实例的权限。 |
| 资产管理员 | 用户可以在 Azure IoT作实例中创建和管理资产。 |
| 资产终结点管理员 | 用户可以在 Azure IoT作实例中创建和管理资产终结点。 |
| 数据流管理员 | 用户可以在 Azure IoT作实例中创建和管理数据流。 |
| 数据流目标管理员 | 用户可以在 Azure IoT作实例中创建和管理数据流目标。 |
| MQ 管理员 | 用户可以在 Azure IoT作实例中创建和管理 MQTT 中转站。 |
| 管理员 | 这是特权角色。 用户可以创建和管理 Azure IoT作实例。 此角色是 实例管理员、 资产管理员、 资产终结点管理员、 数据流管理员、 数据流目标管理员和 MQ 管理员 角色的组合。 |
注释
示例 资产终结点管理员 和 数据流目标管理员 角色有权访问 Azure Key Vault 和作体验 Web UI 中的 “管理机密 ”页。 但是,即使这些自定义角色是在订阅级别分配的,用户也只能查看特定资源组中的密钥保管库列表。 对架构注册表的访问也仅限于资源组级别。
重要
目前,当用户尝试访问他们没有权限的资源时,作体验 Web UI 会显示误导性错误消息。 对资源的访问会按预期被阻止。
创建自定义角色定义
准备示例自定义角色之一:
下载要创建的自定义角色的 JSON 文件。 JSON 文件包含角色定义,包括角色的权限和范围。
编辑 JSON 文件,将字段中的
assignableScopes占位符值替换为订阅 ID。 保存更改。
若要使用 Azure 门户将自定义角色添加到 Azure 订阅,请执行以下作:
在 Azure 门户中转到订阅。
选择“访问控制(IAM)”。
选择“ 添加 > 添加自定义角色”。
输入名称(如 载入)和角色的说明。
选择“从 JSON 开始”,然后选择下载的 JSON 文件。 自定义角色名称和说明从文件中填充。
(可选)查看权限和可分配的范围。
若要将自定义角色添加到订阅,请选择 “查看 + 创建 ”,然后选择 “创建”。
配置和使用自定义角色
在订阅中创建自定义角色后,可以将它们分配给用户、组或应用程序。 可以在订阅或资源组级别分配角色。 在资源组级别分配角色可实现最精细的控制。
若要使用 Azure 门户将自定义角色分配给资源组级别的用户:
在 Azure 门户中转到资源组。
选择“访问控制(IAM)”。
选择添加> 添加角色分配。
搜索并选择要分配的自定义角色。 选择“下一步”。
选择要向其分配角色的用户或用户。 可以按姓名或电子邮件地址搜索用户。
选择 “审阅 + 分配 ”以查看角色分配。 如果一切正常,请选择“ 分配”。