Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Para definir funções personalizadas que concedem permissões específicas aos usuários, você pode usar o RBAC do Azure. Este artigo inclui uma lista de exemplos que você pode baixar e usar como referência para criar suas funções personalizadas.
Para saber mais sobre funções personalizadas no RBAC do Azure, consulte Funções personalizadas do Azure.
As operações do Azure IoT também oferecem funções internas projetadas para simplificar e proteger o gerenciamento de acesso para recursos do Azure IoT Operations. Para obter mais informações, consulte Funções RBAC internas para operações IoT.
Exemplos de funções personalizadas
As seções a seguir listam os exemplos de funções personalizadas do Azure IoT Operations que você pode baixar e usar como referência. Essas funções personalizadas são arquivos JSON que listam as permissões e o escopo específicos para a função, que você deve usar como ponto de partida para criar suas próprias funções personalizadas.
Observação
As seguintes funções personalizadas são apenas exemplos. Você precisa revisar e modificar as permissões nos arquivos JSON para atender às suas necessidades específicas.
Funções de integração
Você pode definir uma função de Integração que conceda permissões suficientes a um usuário para concluir o processo de conexão do Azure Arc e implantar as Operações IoT do Azure com segurança.
| Função personalizada | Descrição |
|---|---|
| de integração | Este é um papel privilegiado. O usuário pode concluir o processo de conexão do Azure Arc e implantar o Azure IoT Operations com segurança. |
Funções de visualizador
Você pode definir diferentes funções de Visualizador que concedem acesso somente leitura à instância de Operações do Azure IoT e seus recursos. Essas funções são úteis para usuários que precisam monitorar a instância sem fazer alterações.
| Função personalizada | Descrição |
|---|---|
| Visualizador de instâncias | Essa função permite que o usuário exiba a instância de Operações IoT do Azure. |
| Visualizador de ativos | Essa função permite que o usuário exiba os ativos na instância de Operações IoT do Azure. |
| Visualizador de dispositivos | Esta função permite ao utilizador visualizar os dispositivos na instância Azure IoT Operations. |
| Visualizador de fluxo de dados | Essa função permite que o usuário exiba os fluxos de dados na instância de Operações IoT do Azure. |
| Visualizador de destino do fluxo de dados | Essa função permite que o usuário exiba os destinos de fluxo de dados na instância de Operações IoT do Azure. |
| Visualizador MQ | Essa função permite que o usuário exiba o agente MQTT na instância de Operações IoT do Azure. |
| Visualizador | Essa função permite que o usuário exiba a instância de Operações IoT do Azure. Esta função é uma combinação dos papéis de visualizador de Instâncias, Visualizador de Ativos, Visualizador de Dispositivos, Visualizador de fluxo de dados, visualizador de destino de fluxo de dados e visualizador MQ . |
Funções de administrador
Você pode definir diferentes funções de Administrador que concedem acesso total à instância de Operações do Azure IoT e seus recursos. Essas funções são úteis para usuários que precisam gerenciar a instância e seus recursos.
| Função personalizada | Descrição |
|---|---|
| Administrador de instância | Este é um papel privilegiado. O usuário pode implantar uma instância. A função inclui permissões para criar e atualizar instâncias, brokers, autenticações, ouvintes, perfis de fluxo de dados, pontos de extremidade de fluxo de dados, registros de esquema e identidades atribuídas ao usuário. A função também inclui permissão para excluir instâncias. |
| Administrador de ativos | O usuário pode criar e gerenciar ativos na instância de Operações do Azure IoT. |
| Administrador de dispositivos | O utilizador pode criar e gerir dispositivos na instância Azure IoT Operations. |
| Administrador de fluxo de dados | O usuário pode criar e gerenciar fluxos de dados na instância de Operações IoT do Azure. |
| Administrador de destino do fluxo de dados | O usuário pode criar e gerenciar destinos de fluxo de dados na instância de Operações do Azure IoT. |
| Administrador MQ | O usuário pode criar e gerenciar o agente MQTT na instância de Operações do Azure IoT. |
| Administrador | Este é um papel privilegiado. O usuário pode criar e gerenciar a instância de Operações IoT do Azure. Esta função é uma combinação dos papéis de administrador de Instância, Administrador de Ativos, Administrador de Dispositivos, Administrador de fluxo de dados, administrador de destino de fluxo de dados e administrador MQ . |
Observação
As funções de exemplo de administrador de ponto de extremidade de ativos e administrador de destino de fluxo de dados têm acesso ao Cofre de Chaves do Azure e à página Gerenciar segredos na interface do usuário da Web da experiência de operações. No entanto, mesmo que essas funções personalizadas sejam atribuídas no nível da assinatura, os usuários só poderão ver a lista de cofres de chaves do grupo de recursos específico. O acesso aos registros de esquema também é restrito ao nível do grupo de recursos.
Importante
Atualmente, a interface do usuário da Web da experiência de operações exibe uma mensagem de erro enganosa quando um usuário tenta acessar um recurso para o qual não tem permissões. O acesso ao recurso é bloqueado conforme o esperado.
Criar uma definição de função personalizada
Para preparar uma das funções personalizadas de exemplo:
Baixe o arquivo JSON para a função personalizada que você deseja criar. O arquivo JSON contém a definição de função, incluindo as permissões e o escopo da função.
Edite o arquivo JSON para substituir o valor de espaço reservado
assignableScopesno campo pelo ID da assinatura. Salve suas alterações.
Para adicionar a função personalizada à sua assinatura do Azure usando o portal do Azure:
Aceda à sua subscrição no portal do Azure.
Selecione Controlo de acesso (IAM) .
Selecione Adicionar > função personalizada.
Insira um nome, como Integração, e uma descrição para a função.
Selecione Iniciar a partir de JSON e, em seguida, selecione o arquivo JSON que você baixou. O nome da função personalizada e a descrição são preenchidos a partir do arquivo.
Opcionalmente, revise as permissões e os escopos atribuíveis.
Para adicionar a função personalizada à sua subscrição, selecione Rever + criar e, em seguida, Criar.
Configurar e usar uma função personalizada
Depois de criar as funções personalizadas em sua assinatura, você pode atribuí-las a usuários, grupos ou aplicativos. Você pode atribuir funções no nível da assinatura ou do grupo de recursos. A atribuição de funções no nível de um grupo de recursos permite o controle mais granular.
Para atribuir a função personalizada a um usuário no nível do grupo de recursos usando o portal do Azure:
Vá para o seu grupo de recursos no portal do Azure.
Selecione Controlo de acesso (IAM) .
Selecione Adicionar > atribuição de função.
Procure e selecione a função personalizada que deseja atribuir. Selecione Seguinte.
Selecione o(s) usuário(s) ao qual você deseja atribuir a função. Você pode pesquisar usuários por nome ou endereço de e-mail.
Selecione Rever + atribuir para rever a atribuição de função. Se tudo estiver bem, selecione Atribuir.