Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Para definir funções personalizadas que concedem permissões específicas aos usuários, você pode usar o RBAC do Azure. Este artigo inclui uma lista de exemplos que você pode baixar e usar como referência para criar suas funções personalizadas.
Para saber mais sobre funções personalizadas no RBAC do Azure, consulte as funções personalizadas do Azure.
As operações de IoT do Azure também oferecem funções internas projetadas para simplificar e proteger o gerenciamento de acesso para recursos de Operações de IoT do Azure. Para obter mais informações, consulte funções RBAC internas para operações de IoT.
Exemplos de funções personalizadas
As seções a seguir listam as funções personalizadas de operações de IoT do Azure de exemplo que você pode baixar e usar como referência. Essas funções personalizadas são arquivos JSON que listam as permissões específicas e o escopo da função, que você deve usar como ponto de partida para criar suas próprias funções personalizadas.
Observação
As funções personalizadas a seguir são apenas exemplos. Você precisa examinar e modificar as permissões nos arquivos JSON para atender aos seus requisitos específicos.
Funções de integração
Você pode definir uma função de integração que concede permissões suficientes a um usuário para concluir o processo de conexão do Azure Arc e implantar operações de IoT do Azure com segurança.
| Função personalizada | Descrição |
|---|---|
| de integração | Essa é uma função privilegiada. O usuário pode concluir o processo de conexão do Azure Arc e implantar operações de IoT do Azure com segurança. |
Funções de visualizador
Você pode definir diferentes funções do Visualizador que concedem acesso somente leitura à instância de Operações de IoT do Azure e seus recursos. Essas funções são úteis para usuários que precisam monitorar a instância sem fazer alterações.
| Função personalizada | Descrição |
|---|---|
| Visualizador de instância | Essa função permite que o usuário exiba a instância de Operações de IoT do Azure. |
| Visualizador de ativos | Essa função permite que o usuário exiba os ativos na instância de Operações IoT do Azure. |
| Visualizador de dispositivos | Essa função permite que o usuário visualize os dispositivos na instância Azure IoT Operations. |
| Visualizador de fluxo de dados | Essa função permite que o usuário exiba os fluxos de dados na instância de Operações de IoT do Azure. |
| Visualizador de destino do fluxo de dados | Essa função permite que o usuário exiba os destinos de fluxo de dados na instância de Operações de IoT do Azure. |
| Visualizador de MQ | Essa função permite que o usuário exiba o agente MQTT na instância de Operações de IoT do Azure. |
| Visualizador | Essa função permite que o usuário exiba a instância de Operações de IoT do Azure. Essa função é uma combinação dos papéis de visualizador de Instância, Visualizador de Ativos, Visualizador de Dispositivos, Visualizador de fluxo de dados, Visualizador de destino de fluxo de dados e visualizador MQ . |
Funções de administrador
Você pode definir diferentes funções de Administrador que concedem acesso total à instância de Operações de IoT do Azure e seus recursos. Essas funções são úteis para usuários que precisam gerenciar a instância e seus recursos.
| Função personalizada | Descrição |
|---|---|
| Administrador de instância | Essa é uma função privilegiada. O usuário pode implantar uma instância. A função inclui permissões para criar e atualizar instâncias, agentes, autenticações, ouvintes, perfis de fluxo de dados, pontos de extremidade de fluxo de dados, registros de esquema e identidades atribuídas pelo usuário. A função também inclui permissão para excluir instâncias. |
| Administrador de ativos | O usuário pode criar e gerenciar ativos na instância de Operações de IoT do Azure. |
| Administrador de dispositivo | O usuário pode criar e gerenciar dispositivos na instância Azure IoT Operations. |
| Administrador de fluxo de dados | O usuário pode criar e gerenciar fluxos de dados na instância de Operações de IoT do Azure. |
| Administrador de destino de fluxo de dados | O usuário pode criar e gerenciar destinos de fluxo de dados na instância de Operações de IoT do Azure. |
| Administrador do MQ | O usuário pode criar e gerenciar o agente MQTT na instância de Operações de IoT do Azure. |
| Administrador | Essa é uma função privilegiada. O usuário pode criar e gerenciar a instância de Operações de IoT do Azure. Esse papel é uma combinação dos papéis de administrador de Instância, Administrador de Ativos, Administrador de Dispositivo, Administrador de fluxo de dados, administrador de destino de fluxo de dados e administrador MQ . |
Observação
As funções de administrador do ponto de extremidade de ativos de exemplo e administrador de destino de fluxo de dados têm acesso ao Azure Key Vault e à página Gerenciar segredos na interface do usuário da Web da experiência de operações. No entanto, mesmo que essas funções personalizadas sejam atribuídas no nível da assinatura, os usuários só poderão ver a lista de cofres de chaves do grupo de recursos específico. O acesso aos registros de esquema também é restrito ao nível do grupo de recursos.
Importante
Atualmente, a interface do usuário da Web da experiência de operações exibe uma mensagem de erro enganosa quando um usuário tenta acessar um recurso para o qual não tem permissões. O acesso ao recurso é bloqueado conforme o esperado.
Criar uma definição de função personalizada
Para preparar uma das funções personalizadas de exemplo:
Baixe o arquivo JSON para a função personalizada que você deseja criar. O arquivo JSON contém a definição de função, incluindo as permissões e o escopo da função.
Edite o arquivo JSON para substituir o valor do espaço reservado no
assignableScopescampo pela ID da assinatura. Salve suas alterações.
Para adicionar a função personalizada à sua assinatura do Azure usando o portal do Azure:
Acesse sua assinatura no portal do Azure.
Selecione Controle de acesso (IAM) .
Selecione Adicionar > função personalizada.
Insira um nome, como Integração e uma descrição para a função.
Selecione Iniciar no JSON e selecione o arquivo JSON que você baixou. O nome e a descrição da função personalizada são preenchidos do arquivo.
Opcionalmente, examine as permissões e os escopos atribuíveis.
Para adicionar a função personalizada à sua assinatura, selecione Examinar + criar e , em seguida, Criar.
Configurar e usar uma função personalizada
Depois de criar as funções personalizadas em sua assinatura, você pode atribuí-las a usuários, grupos ou aplicativos. Você pode atribuir funções no nível da assinatura ou do grupo de recursos. Atribuir funções no nível de um grupo de recursos habilita o controle mais granular.
Para atribuir a função personalizada a um usuário no nível do grupo de recursos usando o portal do Azure:
Vá para o grupo de recursos no portal do Azure.
Selecione Controle de acesso (IAM) .
Selecione Adicionar > Adicionar atribuição de função.
Pesquise e selecione a função personalizada que você deseja atribuir. Selecione Próximo.
Selecione o usuário ou os usuários aos quais você deseja atribuir a função. Você pode pesquisar usuários por nome ou endereço de email.
Selecione Examinar + atribuir para examinar a atribuição de função. Se tudo parecer bem, selecione Atribuir.