你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure IoT作(AIO)提供了两个内置角色,旨在简化和保护 AIO 资源的访问管理:Azure IoT作管理员和 Azure IoT Operations Onboarding。 如果方案需要更精细的访问,则可以 创建自定义 RBAC 角色。
重要
AIO 的内置角色简化了 AIO 资源的访问管理,但不会自动授予所有必需的 Azure 依赖项的权限。 AIO 依赖于多个 Azure 服务,例如 Azure Key Vault、Azure 存储、Azure Arc 等。 始终查看并分配必要的附加角色,以确保用户具有端到端访问权限,以便成功进行 AIO 部署和作。
Azure IoT作管理员角色
Azure IoT作管理员角色提供全面的权限来管理和作所有 Azure IoT作组件。 将此角色分配给需要完全访问权限才能使用 AIO 资源的用户。 为了支持 AIO 的部署和持续管理,用户需要其他权限。 如果用户只需要使用 AIO,则可以单独分配管理员角色。
分配此内置角色时,需要确保还将以下角色分配给用户:
- Azure Edge 硬件中心管理员角色:此角色授予作为边缘订单管理员进行管理和作的权限。 它用于订购和管理 Azure Stack Edge 设备。
- 已启用 Azure Arc 的 Kubernetes 群集用户角色: 此角色用于通过提供写入部署、管理订阅以及处理连接的群集和扩展的权限来管理已启用 Azure Arc 的 Kubernetes 群集。
- Key Vault 管理员角色: 此角色允许用户管理 Azure Key Vault 的各个方面,包括创建、维护、查看和删除密钥、证书和机密。
- Kubernetes 扩展参与者角色: 此角色允许用户管理 Kubernetes 扩展,包括创建、更新和删除扩展。
- 托管标识参与者角色: 此角色允许用户管理托管标识,包括创建、更新和删除用户分配的托管标识。
- 监视参与者角色: 此角色允许用户读取所有监视数据和更新监视设置。
- 资源组参与者角色:此角色授予管理资源组中的资源的权限,包括创建、更新和删除资源。
- 机密存储扩展所有者角色:此角色允许用户管理机密存储扩展,该扩展将机密从 Azure Key Vault 同步到 Kubernetes 群集。
- 存储帐户参与者角色: 此角色允许用户管理存储帐户,包括创建、更新和删除存储帐户,以及管理访问密钥和其他设置。
Azure IoT作载入角色
AIO 载入是一个专用角色,提供部署 Azure IoT作组件所需的权限。
分配此内置角色时,需要确保还将以下角色分配给用户:
- Azure 资源桥部署角色: 此角色用于管理 Azure 资源桥的部署。 它包括读取、写入和删除与资源桥相关的各种资源的权限,例如设备、位置和遥测配置。
- Kubernetes 群集 - Azure Arc 载入角色: 此角色用于将 Kubernetes 群集加入 Azure Arc。
- 存储帐户参与者角色: 此角色允许用户管理存储帐户,包括创建、更新和删除存储帐户,以及管理访问密钥和其他设置。
- 资源组参与者角色:此角色授予管理资源组中的资源的权限,包括创建、更新和删除资源。
- 已启用 Azure Arc 的 Kubernetes 群集用户角色: 此角色用于通过提供写入部署、管理订阅以及处理连接的群集和扩展的权限来管理已启用 Azure Arc 的 Kubernetes 群集。