你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
创建和分配用户分配的托管标识
本操作指南的内容:
- 为站点网络服务创建用户分配的托管标识(UAMI)。
- 分配该用户分配的托管标识权限。
用户分配的托管标识和所需权限的要求取决于网络服务设计(NSD),并且必须由网络服务设计器与你通信。
先决条件
必须已通过 “创建自定义角色”创建自定义角色。 本文假定你已将自定义角色命名为“自定义角色 - AOSM 服务操作员对发布服务器的访问权限”。
网络服务设计器必须告知托管标识需要哪些其他权限,以及 SNS 使用的网络函数定义版本(NFDV)。
若要执行此任务,需要在所选发布服务器的网络函数定义版本资源上具有“所有者”或“用户访问管理员istrator”角色。 还必须具有具有“所有者”或“用户访问管理员istrator”角色分配的资源组,才能创建托管标识并为其分配权限。
创建用户分配的托管标识
创建用户分配的托管标识。 有关详细信息,请参阅 为 SNS 创建用户分配的托管标识。
分配自定义角色
将自定义角色分配给用户分配的托管标识。
选择分配自定义角色的范围
需要向其分配自定义角色的发布者资源包括:
- 网络函数定义版本(s)
必须决定是要单独将自定义角色分配给此 NFDV,还是将自定义角色分配给父资源,例如发布者资源组或网络函数定义组。
应用于父资源会授予对所有子资源的访问权限。 例如,应用于整个发布者资源组可提供托管标识访问权限:
所有网络函数定义组和版本。
所有网络服务设计组和版本。
所有配置组架构。
自定义角色权限限制对此处所示权限列表的访问权限:
Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/use/操作
Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/read
Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/use/操作
Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/read
Microsoft.HybridNetwork/Publishers/ConfigurationGroupSchemas/read
注意
不要提供对这些发布者资源中的任何一个的写入或删除访问权限。
分配自定义角色
访问Azure 门户并打开所选范围;发布者资源组或网络函数定义版本。
在此项的侧菜单中,选择访问控制(IAM)。
选择 “添加角色分配”。
在“作业函数角色”下,在列表中找到自定义角色,然后继续执行“下一步”。
选择 “托管标识”,然后选择 “+ 选择成员 ”,然后找到并选择新的托管标识。 选择“选择”。
选择“查看并分配”。
重复角色分配
对所有所选作用域重复角色分配任务。
将托管标识操作员角色分配给托管标识本身
转到Azure 门户并搜索托管标识。
从托管标识列表中选择 identity-for-nginx-sns。
在侧菜单上,选择访问控制(IAM)。
选择 “添加角色分配 ”,然后选择 “托管标识操作员 ”角色。
选择托管标识操作员角色。
选择“托管标识” 。
选择“+ 选择 成员 ”并导航到用户分配的托管标识,然后继续执行分配。
完成本文中概述的所有任务可确保站点网络服务(SNS)具有在指定 Azure 环境中有效运行所需的权限。
向托管标识分配其他所需权限
重复此过程,将任何其他权限分配给网络服务设计器标识的托管标识。