Inbyggda RBAC-roller för IoT-åtgärder

Azure IoT Operations (AIO) erbjuder två inbyggda roller som är utformade för att förenkla och skydda åtkomsthantering för AIO-resurser: Azure IoT Operations Administrator och Azure IoT Operations Onboarding. Om ditt scenario kräver mer detaljerad åtkomst kan du skapa en anpassad RBAC-roll.

Rollen Azure IoT Operations Administrator

Azure IoT Operations Administrator-rollen ger omfattande behörigheter för att hantera och hantera alla Azure IoT Operations-komponenter. Tilldela den här rollen till användare som behöver fullständig åtkomst för att använda AIO-resurser. För att stödja distribution och löpande hantering av AIO behöver användarna ytterligare behörigheter. Om en användare bara behöver använda AIO kan du tilldela rollen Administratör ensam.

När du tilldelar den här inbyggda rollen måste du se till att följande roller också tilldelas användaren:

• Administratörsroll för Azure Edge Hardware Center: Den här rollen ger åtkomst till att hantera och vidta åtgärder som administratör för gränsordning. Den används för att beställa och hantera Azure Stack Edge-enheter.
• Azure Arc-aktiverad Kubernetes-klusteranvändarroll: Den här rollen används för att hantera Azure Arc-aktiverade Kubernetes-kluster genom att ge behörighet att skriva distributioner, hantera prenumerationer och hantera anslutna kluster och tillägg.
• Rollen Key Vault-administratör: Med den här rollen kan användaren hantera alla aspekter av Azure Key Vaults, inklusive att skapa, underhålla, visa och ta bort nycklar, certifikat och hemligheter.
• Rollen Kubernetes-tilläggsdeltagare: Med den här rollen kan användare hantera Kubernetes-tillägg, inklusive att skapa, uppdatera och ta bort tillägg.
• Rollen Hanterad identitetsdeltagare: Med den här rollen kan användaren hantera hanterade identiteter, inklusive att skapa, uppdatera och ta bort användartilldelade hanterade identiteter.
• Övervaka deltagarrollen: Med den här rollen kan användaren läsa alla övervakningsdata och uppdatera övervakningsinställningarna.
• Resursgruppsdeltagareroll: Den här rollen ger behörighet att hantera resurser i en resursgrupp, inklusive att skapa, uppdatera och ta bort resurser.
• Ägarroll för secrets store-tillägget: Med den här rollen kan användaren hantera tillägget Secrets Store, som synkroniserar hemligheter från Azure Key Vault till Kubernetes-kluster.
• Rollen Lagringskontodeltagare: Med den här rollen kan användaren hantera lagringskonton, inklusive att skapa, uppdatera och ta bort lagringskonton, samt hantera åtkomstnycklar och andra inställningar.

Azure IoT Operations Onboarding-roll

AIO Onboarding är en specialiserad roll som ger de behörigheter som krävs för att distribuera Azure IoT Operations-komponenter.

När du tilldelar den här inbyggda rollen måste du se till att följande roller också tilldelas användaren:

• Distributionsroll för Azure Resource Bridge: Den här rollen används för att hantera distributionen av Azure Resource Bridge. Den innehåller behörighet att läsa, skriva och ta bort olika resurser som är relaterade till Resursbryggor, till exempel installationer, platser och telemetrikonfigurationer.
• Kubernetes-kluster – Azure Arc Onboarding-roll: Den här rollen används för registrering av Kubernetes-kluster till Azure Arc.
• Rollen Lagringskontodeltagare: Med den här rollen kan användaren hantera lagringskonton, inklusive att skapa, uppdatera och ta bort lagringskonton, samt hantera åtkomstnycklar och andra inställningar.
• Resursgruppsdeltagareroll: Den här rollen ger behörighet att hantera resurser i en resursgrupp, inklusive att skapa, uppdatera och ta bort resurser.
• Azure Arc-aktiverad Kubernetes-klusteranvändarroll: Den här rollen används för att hantera Azure Arc-aktiverade Kubernetes-kluster genom att ge behörighet att skriva distributioner, hantera prenumerationer och hantera anslutna kluster och tillägg.