通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

配置对 Azure 部署环境资源的访问

本文介绍如何为项目管理员分配内置的 DevCenter 项目管理员角色,以及如何为开发人员分配部署环境用户角色。 在项目级别或特定环境类型范围内分配角色以控制访问权限。

以下内置角色通常用于 Azure 部署环境:

角色 Description
DevCenter 项目管理员 部署环境项目的完整项目级管理。 项目管理员可以管理项目设置、环境类型,以及跨项目中的所有环境执行管理作。
部署环境用户 允许用户在项目中创建、启动、停止和管理自己的环境。 适用于需要预配和使用环境的开发人员。
部署环境读取器 对环境和项目资源的只读访问权限。 使用此角色可授予用户或服务主体在不修改权限的情况下查看环境。

可以创建多个与开发人员中心关联的项目,以符合每个团队的要求。 通过使用内置的 DevCenter 项目管理员角色,可以将项目管理委托给团队成员。 DevCenter Project Admin 用户可以配置项目环境类型,使开发人员能够创建各种类型的环境。 它们还可以将设置应用于每个环境类型。

先决条件

  • 必须具有一个 Azure 帐户,该帐户有权在项目上创建角色分配。
  • 你必须有一个开发人员中心和至少一个项目。

所需的权限

若要创建角色分配,需要有权在目标资源上创建角色分配。 具体而言:

  • 所需的权限操作:

    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/read (用于验证)
    • Microsoft.Authorization/roleDefinitions/read(列出可用角色)

  • 建议使用包含这些操作的内置角色:

    • 所有者
    • 用户访问管理员

如果组织使用自定义角色,请确保该角色包括指定范围的 Microsoft.Authorization/roleAssignments/write。

为开发团队主管授予权限

在项目级别或一个或多个环境类型范围将 DevCenter 项目管理员角色分配给团队主管。 项目级分配授予该项目中所有环境类型的管理员权限;环境类型分配仅将管理员权限限制为所选环境类型。

分配项目级角色

将项目级别的 DevCenter 项目管理员角色分配给管理项目、其环境类型和其中环境的团队主管。

  1. 登录到 Azure 门户 并转到 Azure 部署环境。

  2. 在左侧菜单中,选择“ 项目”,然后选择要管理的项目。

  3. 在左侧菜单中选择 “访问控制”(IAM )。

  4. 选择添加>添加角色分配

  5. “添加角色分配 ”窗格中,设置以下内容:

    设置 价值
    Role 选择 DevCenter 项目管理员
    将访问权限分配到 选择“用户、组或服务主体”
    成员 选择要授予管理访问权限的用户或组。

  6. 选择“保存”

    “添加角色分配”窗格的屏幕截图,其中选择了“DevCenter 项目管理员”。

分配环境类型级角色

在环境类型范围内分配角色,以便团队主管只能管理该类型的环境。

  1. 在项目中,选择 “环境类型”。

  2. 选择环境类型旁边的省略号(...),然后选择 访问控制

  3. 选择添加>添加角色分配

  4. DevCenter Project Admin 分配给所需的用户或组,然后选择“ 保存”。

    “环境类型”页的屏幕截图,其中显示了如何将 DevCenter Project Admin 分配到特定环境类型。

为开发人员授予权限

将 DevCenter 部署环境用户角色或 DevCenter 部署环境读取者角色分配给开发人员,可在项目级别或一个或多个环境类型的范围内进行。 项目级分配授予该项目中所有环境类型的权限;环境类型分配仅将权限限制为所选环境类型。

在项目级别分配角色

将 DevCenter 部署环境用户角色分配给需要创建和管理自己的环境的开发人员。

将 DevCenter 部署环境读取者角色分配给需要查看特定环境类型的环境的开发人员。

  1. 登录到 Azure 门户 并转到 Azure 部署环境。

  2. 在左侧菜单中,选择“ 项目”,然后选择开发人员需要访问的项目。

  3. 在左侧菜单中选择 “访问控制”(IAM )。

  4. 选择“添加角色分配”。

  5. “添加角色分配 ”窗格中,设置以下内容:

    设置 价值
    Role 选择 部署环境用户
    将访问权限分配到 选择“用户、组或服务主体”
    成员 选择要授予访问权限的用户或组。

  6. 选择“保存”

    “添加角色分配”窗格的屏幕截图,其中选择了“部署环境用户”。

为特定环境类型分配角色

将 DevCenter 部署环境用户角色分配给需要创建和管理特定环境类型的环境的开发人员。

将 DevCenter 部署环境读取者角色分配给需要查看特定环境类型的环境的开发人员。

  1. 在项目中,选择 “环境类型”。

  2. 选择环境类型旁边的省略号(...),然后选择 访问控制

  3. 选择添加>添加角色分配

  4. 部署环境用户 分配给所需的用户或组,然后选择“ 保存”。

    “环境类型”页的屏幕截图,其中显示了如何将部署环境用户分配到特定环境类型。

注释

只有具有 部署环境用户 角色、 DevCenter 项目管理员 角色或具有适当权限的内置角色的用户才能创建环境。 具有 部署环境读取者 角色的用户可以查看其他人创建自己的环境和环境。

Troubleshooting

  • 角色分配传播最多可能需要一分钟。刷新门户页面。
  • 如果收到授权错误,请确认帐户在项目范围或父级范围内具有 Microsoft.Authorization/roleAssignments/write 权限。
  • 首选将角色分配给组而不是个人,以便更轻松地进行生命周期管理。
  • 如果未显示角色,请确认你正在查看正确的范围(项目与环境类型),并且该角色定义存在于订阅中。

清理资源

如果创建了不再需要的测试角色分配:

  1. 在项目的 访问控制(IAM) 窗格中,找到角色分配。
  2. 选择 “删除 ”并确认。

相关内容