你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

分配自定义角色

  • 项目

本操作指南介绍如何将服务操作员的自定义角色分配给 Azure 操作员 Service Manager 发布服务器资源。 部署站点网络服务需要此角色中的权限。

先决条件

  • 必须已通过 “创建自定义角色”创建自定义角色。 本文假定你已将自定义角色命名为“自定义角色 - AOSM 服务操作员对发布服务器的访问权限”。

  • 若要执行本文中的任务,需要在所选作用域中使用“所有者”或“用户访问管理员istrator”角色。

  • 必须标识要执行服务操作员角色并部署站点网络服务的用户。

选择分配自定义角色的范围

需要向其分配自定义角色的发布者资源包括:

  • 网络函数定义版本(NFDV)。

  • 网络服务设计版本(NSDV)。

  • 网络服务设计(NSD)的配置组架构(CGS)。

必须决定是要单独向每个资源分配自定义角色,还是将自定义角色分配给父资源(如发布者资源组)。

应用于父资源会授予对所有子资源的访问权限。 例如,应用于整个发布者资源组可让操作员访问:

  • 所有网络函数定义组和版本。

  • 所有网络服务设计组和版本。

  • 所有配置组架构。

自定义角色权限限制对此处所示权限列表的访问权限:

  • Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/use/操作

  • Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/read

  • Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/use/操作

  • Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/read

  • Microsoft.HybridNetwork/Publishers/ConfigurationGroupSchemas/read

注意

不要提供对这些发布者资源中的任何一个的写入或删除访问权限。

分配自定义角色

  1. 访问Azure 门户并打开所选范围(发布者资源组或单个资源)。

  2. 在此项的侧菜单中,选择访问控制(IAM)。

  3. 选择 “添加角色分配”。

    Screenshot showing the publisher resource group access control page.

  4. 在“作业函数角色”下,在列表中找到自定义角色,然后继续执行“下一步”。

    Screenshot showing the add role assignment screen.

  5. 选择 “用户”、“组或服务主体”,然后选择 “+ 选择成员 ”,然后找到并选择要具有访问权限的用户。 选择“选择”。

    Screenshot showing the select members screen.

  6. 选择“查看并分配”

重复角色分配

针对所有所选范围重复本文中的任务。