使用 Azure 基于角色的访问控制共享 Azure 仪表板

配置仪表板后,可将其发布,并与组织中的其他用户共享。 共享仪表板时,可以使用 Azure 基于角色的访问控制 (Azure RBAC) 将角色分配给单个用户或一组用户,从而控制谁可以查看该仪表板。 可以选择一个只允许他们查看已发布的仪表板的角色,或者选择一个还允许他们修改该仪表板的角色。

提示

仪表板中的各个磁贴会根据其显示的资源强制实施自身的访问控制要求。 可以大范围地共享任何仪表板,即使特定图块上的某些数据不一定对所有用户都可见。

了解仪表板的访问控制

从访问控制角度来看,仪表板与其他资源(例如虚拟机或存储帐户)没有什么不同。 已发布的仪表板作为 Azure 资源实现。 每个仪表板作为可管理的项存在,包含在订阅中的资源组内。

Azure RBAC 允许将用户分配到四个不同范围级别的角色:管理组、订阅、资源组或资源。 Azure RBAC 权限从更高级别继承到单个资源。 在许多情况下,你可能已将用户分配到订阅的角色,这些角色将授予他们访问已发布的仪表板的权限。

例如,具有所有者参与者角色的用户可以在该订阅中列出、查看、创建、修改或删除仪表板。 具有包含Microsoft.Portal/Dashboards/Write权限的自定义角色的用户也可以执行这些任务。

具有订阅的读者角色(或拥有Microsoft.Portal/Dashboards/Read权限的自定义角色)的用户可以列出和查看该订阅中的仪表板,但不能修改或删除它们。 这些用户能够自行创建仪表板的专用副本。 他们可以在本地编辑已发布的仪表板以供自己使用(例如排查问题时),但无法将这些更改发布回到服务器。

若要将仪表板访问权限扩展为超出订阅级别授予的权限,可将权限分配到各个仪表板,或分配到包含多个仪表板的资源组。 例如,如果一组用户应在整个订阅中拥有有限的权限,但他们需要能够编辑某个特定的仪表板,则可以为这些用户分配一个仅对该仪表板拥有更多权限的不同角色(例如参与者)。

重要

由于仪表板中的单个磁贴可以强制实施自己的访问控制要求,因此某些有权查看或编辑仪表板的用户可能无法在特定磁贴中查看信息。 若要确保用户可以查看特定磁贴中的数据,请确保他们对该磁贴访问的基础资源具有适当的权限。

发布仪表板

若要共享仪表板访问权限,必须先发布该仪表板。 执行此操作时,组织中的其他用户将能够根据其 Azure RBAC 角色访问和修改该仪表板。

  1. 在仪表板中,选择“共享” 。

    显示 Azure 门户仪表板的“共享”选项的屏幕截图。

  2. 在“共享 + 访问控制”中选择“发布”。

    显示如何发布 Azure 门户仪表板的屏幕截图。

    默认情况下,共享操作会将仪表板发布到名为 dashboards 的资源组。 若要选择不同的资源组,请清除该复选框。

  3. 若要向仪表板添加可选标记,请输入一个或多个名称/值对。

  4. 选择“发布” 。

仪表板现已发布。 如果从订阅继承的权限合适,则不需要执行更多的操作。 否则,请继续阅读以了解如何扩展特定用户或组的访问权限。

向仪表板分配访问权限

对于已发布的每个仪表板,可将 Azure RBAC 内置角色分配到用户组(或单个用户)。 这样他们就可以在仪表板上使用该角色,即使他们的订阅级权限通常不允许这样做。

  1. 发布仪表板后,选择“管理共享”,然后选择“访问控制”。

  2. 在“访问控制”中选择“角色分配”,以查看已为其分配此仪表板的角色的现有用户。

  3. 若要添加新用户或组,请选择“添加” ,然后选择“添加角色分配” 。

    显示如何为 Azure 门户仪表板添加角色分配的屏幕截图。

  4. 选择要授予的角色,例如“参与者”或“读者”,然后选择“下一步”。

  5. 选择“选择成员”,然后选择一个或多个 Microsoft Entra 组和/或用户。 如果在列表中没有看到要查找的用户或组,请使用搜索框。 完成后,选择“选择”。

  6. 选择“审阅和分配”以完成分配。

提示

如上所述,仪表板中的单个磁贴可以根据自身显示的资源强制实施自己的访问控制要求。 如果用户需要查看特定磁贴的数据,请确保他们对该磁贴访问的基础资源具有适当的权限。

后续步骤