你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
正确分配权限是成功在 Azure Chaos Studio 中配置试验的重要组成部分。 混沌试验使用托管标识和基于角色的访问控制来获取必要的权限,以在试验目标上注入错误。 可以使用 Azure 内置角色或自定义角色为试验的托管标识分配适当的权限。 在 Azure 门户中创建或编辑试验时,可以使用 Chaos Studio 的自动角色分配功能轻松分配、检查或更新试验托管标识的访问权限。
在试验创建时的权限分配
在 Azure 门户中创建试验时,可以选择使用 Azure 内置角色、新的自定义角色或在“权限”选项卡的“试验权限”部分中选择退出自动角色分配的试验权限:
试验部署将发生以下情况,具体取决于选择分配试验权限的选项:
- “使用 Azure 内置角色”:如果试验的托管标识尚未有权注入所选故障,Chaos Studio 将使用一个或多个 Azure 内置角色,根据 试验中的故障和目标对试验中的一个或多个 Azure 内置角色执行角色分配。
- “使用新的自定义角色”:如果试验的托管标识尚未具有注入所选错误的权限,Chaos Studio 将使用基于 试验中的故障和目标自定义角色对试验的托管标识执行角色定义和角色分配。
- “手动分配试验权限”:试验部署时不会发生角色定义或角色分配。 创建试验的托管标识后,需要为其分配适当的权限。
如果选择使用 Azure 内置角色或自定义角色分配试验权限,你将在“查看 + 创建”选项卡的“权限”部分中获取建议的权限部署摘要:
检查和更新试验权限
你可以检查试验是否具有足够的权限,以便随时在位于试验概述页的“设置”下拉列表中的“试验权限”选项卡中运行。 如果你的试验没有足够的权限来运行,系统会显示其托管标识中缺少的特定 Azure 资源管理器操作,以及每个操作在试验中映射到的目标:
可以通过使用 Azure 内置角色或自定义角色直接在 “试验权限” 选项卡中向其托管标识分配必要的权限来修正试验:
注释
若要成功执行角色分配,必须获取或已获得分配给你的 基于角色的访问控制管理员 Azure 内置角色。
后续步骤
了解如何在 Chaos Studio 中分配试验权限后,即可: