次の方法で共有

IoT 操作用の組み込みの RBAC ロール

Azure IoT Operations (AIO) には、AIO リソースのアクセス管理を簡素化し、セキュリティで保護するように設計された 2 つの組み込みロール (Azure IoT Operations Administrator と Azure IoT Operations Onboarding) が用意されています。 シナリオでより詳細なアクセスが必要な場合は、 カスタム RBAC ロールを作成できます。

Von Bedeutung

AIO の組み込みロールは、AIO リソースのアクセス管理を効率化しますが、必要なすべての Azure 依存関係に対するアクセス許可を自動的に付与することはありません。 AIO は、Azure Key Vault、Azure Storage、Azure Arc など、いくつかの Azure サービスに依存しています。 AIO のデプロイと操作を成功させるために、必要な追加のロールを常に確認して割り当てて、ユーザーがエンド ツー エンドでアクセスできることを確認します。

Azure IoT Operations Administrator ロール

Azure IoT Operations Administrator ロールは、すべての Azure IoT Operations コンポーネントを管理および運用するための包括的なアクセス許可を提供します。 このロールを、AIO リソースを使用するためのフル アクセスが必要なユーザーに割り当てます。 AIO のデプロイと継続的な管理をサポートするには、ユーザーに追加のアクセス許可が必要です。 ユーザーが AIO のみを使用する必要がある場合は、管理者ロールのみを割り当てることができます。

この組み込みロールを割り当てるときは、次のロールもユーザーに割り当てられていることを確認する必要があります。

  • Azure Edge Hardware Center 管理者ロール: このロールは、エッジ注文管理者として管理およびアクションを実行するためのアクセス権を付与します。 これは、Azure Stack Edge デバイスの順序付けと管理に使用されます。
  • Azure Arc 対応 Kubernetes クラスター ユーザー ロール: このロールは、デプロイの作成、サブスクリプションの管理、接続されたクラスターと拡張機能の処理を行うアクセス許可を提供することで、Azure Arc 対応 Kubernetes クラスターを管理するために使用されます。
  • Key Vault 管理者ロール: このロールを使用すると、ユーザーは、キー、証明書、シークレットの作成、保守、表示、削除など、Azure Key Vault のすべての側面を管理できます。
  • Kubernetes 拡張機能共同作成者ロール: このロールを使用すると、ユーザーは拡張機能の作成、更新、削除など、Kubernetes 拡張機能を管理できます。
  • マネージド ID 共同作成者ロール: このロールにより、ユーザーは、ユーザー割り当てマネージド ID の作成、更新、削除など、マネージド ID を管理できます。
  • 監視共同作成者ロール: このロールにより、ユーザーはすべての監視データを読み取り、監視設定を更新できます。
  • リソース グループ共同作成者ロール: このロールは、リソースの作成、更新、削除など、リソース グループ内のリソースを管理するためのアクセス許可を付与します。
  • シークレット ストア拡張機能所有者ロール: このロールにより、ユーザーはシークレット ストア拡張機能を管理できます。これにより、シークレットが Azure Key Vault から Kubernetes クラスターに同期されます。
  • ストレージ アカウント共同作成者ロール: このロールを使用すると、ストレージ アカウントの作成、更新、削除、アクセス キーやその他の設定の管理など、ストレージ アカウントを管理できます。

Azure IoT Operations Onboarding ロール

AIO オンボードは、Azure IoT Operations コンポーネントをデプロイするために必要なアクセス許可を提供する特殊なロールです。

この組み込みロールを割り当てるときは、次のロールもユーザーに割り当てられていることを確認する必要があります。

  • Azure Resource Bridge のデプロイ ロール: このロールは、Azure Resource Bridge のデプロイを管理するために使用されます。 これには、アプライアンス、場所、テレメトリ構成など、Resource Bridge に関連するさまざまなリソースの読み取り、書き込み、削除を行うアクセス許可が含まれます。
  • Kubernetes クラスター – Azure Arc オンボード ロール: このロールは、Kubernetes クラスターを Azure Arc にオンボードするために使用されます。
  • ストレージ アカウント共同作成者ロール: このロールを使用すると、ストレージ アカウントの作成、更新、削除、アクセス キーやその他の設定の管理など、ストレージ アカウントを管理できます。
  • リソース グループ共同作成者ロール: このロールは、リソースの作成、更新、削除など、リソース グループ内のリソースを管理するためのアクセス許可を付与します。
  • Azure Arc 対応 Kubernetes クラスター ユーザー ロール: このロールは、デプロイの作成、サブスクリプションの管理、接続されたクラスターと拡張機能の処理を行うアクセス許可を提供することで、Azure Arc 対応 Kubernetes クラスターを管理するために使用されます。