Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Batch obsługuje zestaw wbudowanych ról platformy Azure, które zapewniają różne poziomy uprawnień do konta usługi Azure Batch. Korzystając z kontroli dostępu opartej na rolach (RBAC) platformy Azure, systemu autoryzacji do zarządzania indywidualnym dostępem do zasobów platformy Azure, można przypisać określone uprawnienia do użytkowników, jednostek usługi lub innych tożsamości, które muszą wchodzić w interakcje z kontem usługi Batch. Można również przypisywać role niestandardowe z niestandardowymi, szczegółowymi uprawnieniami, które są dopasowane do określonego scenariusza użycia.
Uwaga
Wszystkie role RBAC (wbudowane i niestandardowe) są przeznaczone dla użytkowników uwierzytelnionych przez Microsoft Entra ID, a nie dla poświadczeń klucza współdzielonego Batch. Poświadczenia klucza współużytkowanego usługi Batch dają pełne uprawnienia do konta tej usługi.
Przypisz Azure RBAC
Wykonaj następujące kroki, aby przypisać rolę RBAC platformy Azure do użytkownika, grupy, jednostki usługi lub tożsamości zarządzanej. Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.
W witrynie Azure Portal przejdź do określonego konta usługi Batch.
Napiwek
Możesz również skonfigurować kontrolę dostępu opartą na rolach platformy Azure dla całych grup zasobów, subskrypcji lub grup zarządzania. Zrób to, wybierając żądany poziom zakresu, a następnie przechodząc do żądanego elementu. Na przykład wybranie Grupy zasobów, a następnie przejście do określonej grupy zasobów.
Wybierz pozycję Kontrola dostępu (IAM) z lewego paska nawigacji.
Na stronie Kontrola dostępu (IAM) wybierz Dodaj przypisanie roli.
Na stronie Dodaj przypisanie roli, wybierz kartę Rola, a następnie wybierz jedną z ról RBAC wbudowanych w Azure Batch.
Wybierz kartę Członkowie i wybierz pozycję Wybierz członków w obszarze Członkowie.
Na ekranie Wybieranie członków wyszukaj i wybierz użytkownika, grupę, jednostkę usługi lub tożsamość zarządzaną, a następnie wybierz pozycję Wybierz.
Uwaga
Podczas konfigurowania aplikacji do uwierzytelniania usług Azure Batch za pomocą jednostki usługi, wyszukaj swoją aplikację w tym miejscu i wybierz ją, aby skonfigurować jej dostęp i uprawnienia do konta usługi Azure Batch.
Wybierz Przejrzyj + przypisz na stronie Dodaj przypisanie roli.
Tożsamość docelowa powinna być teraz wyświetlana na karcie Przypisania ról na stronie Kontrola dostępu (IAM) konta usługi Batch.
Wbudowane role RBAC dla Azure Batch
Usługa Azure Batch ma kilka wstępnie zdefiniowanych ról, aby rozwiązać typowe scenariusze użytkownika, dzięki czemu odpowiednie poziomy dostępu na koncie usługi Azure Batch mogą być efektywnie przypisywane do tożsamości do realizacji ich specyficznych zadań.
Rola wbudowana opis identyfikator Współautor konta usługi Azure Batch Udziela pełnego dostępu do zarządzania wszystkimi zasobami usługi Batch, w tym kontami, pulami i zadaniami usługi Batch. 29fe4964-1e60-436b-bd3a-77fd4c178b3c Czytelnik konta usługi Azure Batch Umożliwia wyświetlenie wszystkich zasobów, w tym pul i zadań na koncie usługi Batch. 11076f67-66f6-4be0-8f6b-f0609fd05cc9 Współautor danych usługi Azure Batch Przyznaje uprawnienia do zarządzania pulami i zadaniami w usłudze Batch, ale nie pozwala na modyfikowanie kont. 6aaa78f1-f7de-44ca-8722-c64a23943cae Przesyłanie zadań w usłudze Azure Batch Umożliwia przesyłanie zadań i zarządzanie nimi na koncie usługi Batch. 48e5e92e-a480-4e71-aa9c-2778f4c13781
Uprawnienia Współautor konta usługi Azure Batch Czytelnik konta usługi Azure Batch Współautor danych usługi Azure Batch Przesyłanie zadań w usłudze Azure Batch Wyświetlanie listy kont usługi Batch lub wyświetlanie właściwości konta usługi Batch ✓ ✓ ✓ Tworzenie, aktualizowanie lub usuwanie konta usługi Batch ✓ Lista kluczy dostępu dla konta usługi Batch ✓ Ponowne generowanie kluczy dostępu dla konta usługi Batch ✓ Wyświetlanie lub wyświetlanie właściwości aplikacji i pakietów aplikacji na koncie usługi Batch ✓ ✓ ✓ ✓ Tworzenie, aktualizowanie lub usuwanie aplikacji i pakietów aplikacji na koncie usługi Batch ✓ ✓ Lista lub wyświetlanie właściwości certyfikatów na koncie Batch ✓ ✓ ✓ Tworzenie, aktualizowanie lub usuwanie certyfikatów na koncie usługi Batch ✓ ✓ Wyświetlanie lub wypisywanie właściwości pul na koncie usługi Batch ✓ ✓ ✓ ✓ Tworzenie, aktualizowanie lub usuwanie pul na koncie usługi Batch ✓ ✓ Wyświetl lub sprawdź właściwości zadań na koncie usługi Batch ✓ ✓ ✓ ✓ Tworzenie, aktualizowanie lub usuwanie zadań na koncie usługi Batch ✓ ✓ ✓ Wyświetlanie lub lista właściwości harmonogramów zadań na koncie Batch ✓ ✓ ✓ ✓ Tworzenie, aktualizowanie lub usuwanie harmonogramów zadań na koncie usługi Batch ✓ ✓ ✓
Ostrzeżenie
Funkcja certyfikatu konta usługi Batch została wycofana.
Współautor konta usługi Azure Batch
Udziela pełnego dostępu do zarządzania wszystkimi zasobami usługi Batch, w tym kontami, pulami i zadaniami usługi Batch.
Akcje opis Microsoft.Authorization/*/read Odczytywanie ról i przypisania ról. Microsoft.Insights/alertRules/* Tworzenie alertu dotyczącego metryk klasycznych i zarządzanie nimi. Microsoft.Resources/deployments/* Tworzenie wdrożenia i zarządzanie nim. Microsoft.Resources/subscriptions/resourceGroups/read Pobiera lub wyświetla listę grup zasobów. Microsoft.Batch/* NotActions żaden DataActions Microsoft.Batch/* NotDataActions żaden
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all Batch resources, including Batch accounts, pools and jobs.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/29fe4964-1e60-436b-bd3a-77fd4c178b3c",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Batch/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/*"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Account Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Czytelnik konta usługi Azure Batch
Umożliwia wyświetlenie wszystkich zasobów, w tym pul i zadań na koncie usługi Batch.
Akcje opis Microsoft.Batch/*/read Wyświetl wszystkie zasoby na koncie usługi Batch. Microsoft.Resources/subscriptions/resourceGroups/read Pobiera lub wyświetla listę grup zasobów. NotActions żaden DataActions Microsoft.Batch/*/read Wyświetl wszystkie zasoby na koncie usługi Batch. NotDataActions żaden
{
"assignableScopes": [
"/"
],
"description": "Lets you view all resources including pools and jobs in the Batch account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/11076f67-66f6-4be0-8f6b-f0609fd05cc9",
"permissions": [
{
"actions": [
"Microsoft.Batch/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/*/read"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Account Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor danych usługi Azure Batch
Przyznaje uprawnienia do zarządzania pulami i zadaniami w usłudze Batch, ale nie pozwala na modyfikowanie kont.
Akcje opis Microsoft.Authorization/*/read Odczytywanie ról i przypisania ról. Microsoft.Batch/batchAccounts/read Wyświetla listę kont usługi Batch lub pobiera właściwości konta usługi Batch. Microsoft.Batch/batchAccounts/applications/* Tworzenie aplikacji i pakietów aplikacji oraz zarządzanie nimi na koncie usługi Batch. Microsoft.Batch/batchAccounts/certificates/* Tworzenie certyfikatów na koncie usługi Batch i zarządzanie nimi. (Ostrzeżenie: funkcja certyfikatu została wycofana) Microsoft.Batch/batchAccounts/certificateOperationResults/* Pobiera wyniki długotrwałej operacji certyfikatu na koncie Batch. (Ostrzeżenie: funkcja certyfikatu została wycofana) Microsoft.Batch/pools/* Tworzenie pul na koncie usługi Batch i zarządzanie nimi. Microsoft.Batch/poolOperationResults/* Pobiera wyniki długotrwałej operacji puli na koncie usługi Batch. Microsoft.Batch/locations/*/read Pobierz wynik operacji konta Batch, limit przydziału Batch oraz obsługiwany rozmiar maszyny wirtualnej w danej lokalizacji. Microsoft.Insights/alertRules/* Tworzenie alertu dotyczącego metryk klasycznych i zarządzanie nimi. Microsoft.Resources/deployments/* Tworzenie wdrożenia i zarządzanie nim. Microsoft.Resources/subscriptions/resourceGroups/read Pobiera lub wyświetla listę grup zasobów. NotActions żaden DataActions Microsoft.Batch/batchAccounts/jobSchedules/* Tworzenie harmonogramów zadań i zarządzanie nimi na koncie usługi Batch. Microsoft.Batch/batchAccounts/jobs/* Tworzenie zadań i zarządzanie nimi na koncie usługi Batch. NotDataActions żaden
{
"assignableScopes": [
"/"
],
"description": "Grants permissions to manage Batch pools and jobs but not to modify accounts.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6aaa78f1-f7de-44ca-8722-c64a23943cae",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Batch/batchAccounts/read",
"Microsoft.Batch/batchAccounts/applications/*",
"Microsoft.Batch/batchAccounts/certificates/*",
"Microsoft.Batch/batchAccounts/certificateOperationResults/*",
"Microsoft.Batch/batchAccounts/pools/*",
"Microsoft.Batch/batchAccounts/poolOperationResults/*",
"Microsoft.Batch/locations/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/batchAccounts/jobSchedules/*",
"Microsoft.Batch/batchAccounts/jobs/*"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Data Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Przesyłanie zadań w usłudze Azure Batch
Umożliwia przesyłanie zadań i zarządzanie nimi na koncie usługi Batch.
Akcje opis Microsoft.Batch/batchAccounts/applications/read Wyświetla listę aplikacji lub pobiera właściwości aplikacji. Microsoft.Batch/batchAccounts/aplikacje/wersje/odczyt Pobiera właściwości pakietu aplikacji. Microsoft.Batch/pools/read Wyświetla listę pul na koncie usługi Batch lub pobiera właściwości puli. Microsoft.Insights/alertRules/* Tworzenie alertu dotyczącego metryk klasycznych i zarządzanie nimi. Microsoft.Resources/subscriptions/resourceGroups/read Pobiera lub wyświetla listę grup zasobów. NotActions żaden DataActions Microsoft.Batch/batchAccounts/jobSchedules/* Tworzenie harmonogramów zadań i zarządzanie nimi na koncie usługi Batch. Microsoft.Batch/batchAccounts/jobs/* Tworzenie zadań i zarządzanie nimi na koncie usługi Batch. NotDataActions żaden
{
"assignableScopes": [
"/"
],
"description": "Lets you submit and manage jobs in the Batch account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/48e5e92e-a480-4e71-aa9c-2778f4c13781",
"permissions": [
{
"actions": [
"Microsoft.Batch/batchAccounts/applications/read",
"Microsoft.Batch/batchAccounts/applications/versions/read",
"Microsoft.Batch/batchAccounts/pools/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"dataActions": [
"Microsoft.Batch/batchAccounts/jobSchedules/*",
"Microsoft.Batch/batchAccounts/jobs/*"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Azure Batch Job Submitter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Przypisz rolę niestandardową
Jeśli wbudowane role usługi Azure Batch nie spełniają Twoich potrzeb, role niestandardowe platformy Azure mogą być użyte do zapewnienia użytkownikowi szczegółowych uprawnień do przesyłania procesów roboczych, zadań i innych funkcji. Możesz użyć roli niestandardowej, aby udzielić lub odmówić uprawnień Microsoft Entra ID dla następujących operacji Azure Batch RBAC.
- Microsoft.Batch/kontaBatch/pule/zapisz
- Microsoft.Batch/batchAccounts/pools/delete
- Microsoft.Batch/batchAccounts/pools/read
- Microsoft.Batch/batchAccounts/jobSchedules/write
- Microsoft.Batch/batchAccounts/jobSchedules/delete
- Odczyt harmonogramu zadań w Microsoft.Batch/kontach wsadowych
- Microsoft.Batch/batchAccounts/zadania/pisać
- Microsoft.Batch/batchAccounts/jobs/delete
- Microsoft.Batch/batchAccounts/jobs/read
- Microsoft.Batch/batchAccounts/certificates/write
- Microsoft.Batch/batchAccounts/certificates/delete (Ostrzeżenie: funkcja certyfikatu została wycofana)
- Microsoft.Batch/batchAccounts/certificates/read (Ostrzeżenie: funkcja certyfikatu została wycofana)
- Microsoft.Batch/batchAccounts/applications/write
- Microsoft.Batch/batchAccounts/applications/delete
- Microsoft.Batch/batchAccounts/applications/read
- Microsoft.Batch/batchAccounts/applications/versions/zapisz
- Microsoft.Batch/batchAccounts/aplikacje/wersje/usunąć
- Microsoft.Batch/batchAccounts/applications/versions/read
- Microsoft.Batch/batchAccounts/read, dla dowolnej operacji odczytu
- Microsoft.Batch/batchAccounts/listKeys/action, dla dowolnej operacji
Napiwek
Zadania korzystające z autopool wymagają uprawnień do zapisu na poziomie puli.
Uwaga
Niektóre przypisania ról muszą być określone w actions polu, podczas gdy inne muszą być określone w dataActions polu. Należy zbadać zarówno actions, jak i dataActions, aby zrozumieć pełny zakres możliwości przypisanych do roli. Aby uzyskać więcej informacji, zobacz Operacje dostawcy zasobów platformy Azure.
W poniższym przykładzie przedstawiono definicję roli niestandardowej usługi Azure Batch:
{
"properties":{
"roleName":"Azure Batch Custom Job Submitter",
"type":"CustomRole",
"description":"Allows a user to submit autopool jobs to Azure Batch",
"assignableScopes":[
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
],
"permissions":[
{
"actions":[
"Microsoft.Batch/*/read",
"Microsoft.Batch/batchAccounts/pools/write",
"Microsoft.Batch/batchAccounts/pools/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Insights/alertRules/*"
],
"notActions":[
],
"dataActions":[
"Microsoft.Batch/batchAccounts/jobs/*",
"Microsoft.Batch/batchAccounts/jobSchedules/*"
],
"notDataActions":[
]
}
]
}
}