Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ihr Agent kann Probleme untersuchen, Maßnahmen für die Produktionsinfrastruktur ergreifen und auf vertrauliche Daten in Ihrer gesamten Umgebung zugreifen. Die Zugriffssteuerung bestimmt, wer Aktionen anfordern kann, wer sie genehmigen kann und wer die Konfiguration des Agents ändern kann.
Übersicht über die Zugriffssteuerung
Die Zugriffssteuerung funktioniert auf drei Ebenen:
| Ebene | Bedienelemente | Konfiguriert bei |
|---|---|---|
| Benutzerrollen (diese Seite) | Was Benutzer mit dem Agent tun können | Azure IAM für die Agentressource |
| Ausführungsmodi | Ob der Agent vor dem Handeln fragt | Pro Antwortplan und pro geplanter Vorgang |
| Agentberechtigungen | Worauf der Agent auf Azure zugreifen kann | RBAC-Rollen auf Ressourcengruppen |
Drei integrierte Rollen
| Rolle | Möglich | Nicht machbar |
|---|---|---|
| SRE Agent Reader | Anzeigen von Threads, Protokollen, Vorfällen | Chat, Aktionen anfordern, alles ändern |
| SRE-Agent Standardbenutzer | Chat, Diagnose ausführen, Anforderungsaktionen | Genehmigen von Aktionen, Löschen von Ressourcen, Ändern von Connectors |
| SRE-Agent-Administrator | Genehmigen von Aktionen, Verwalten von Connectors, Löschen von Ressourcen | — |
Der Benutzer, der den Agent erstellt, erhält automatisch die Rolle des SRE-Agent-Administrators .
Wer sollte welche Rolle haben?
| Rolle | Geben Sie |
|---|---|
| SRE Agent Reader | Auditoren, Complianceteams, Projektbeteiligte, die Sichtbarkeit benötigen |
| SRE-Agent Standardbenutzer | L1/L2 Ingenieure, Erste Antwortende, alle, die Probleme diagnostizieren |
| SRE-Agent-Administrator | SRE-Manager, Cloud-Administratoren, Vorfallbefehleführer |
So erzwingt das Portal Berechtigungen
Das Portal überprüft Ihre Azure Rollenzuweisungen, wenn Sie auf den Agent zugreifen. Der Zugriff wird auf zwei Ebenen erzwungen.
Kein Agentzugriff
Wenn Sie keine SRE-Agent-Rollenzuweisung haben, zeigt das Portal einen Bildschirm Zugriff benötigt mit einem Schildsymbol und einer Schaltfläche Gehe zu Zugriffskontrolle an, mit der der Azure IAM-Bereich geöffnet wird. Wenn Sie Azure-Besitzer oder -Mitwirkender für die Ressource sind, sehen Sie auch ein Banner, das anbietet, die Administratorrolle automatisch zuzuweisen.
Back-End-Erzwingung
Wenn Sie über eine SRE-Agent-Rolle verfügen, aber eine Aktion über Ihre Berechtigungen hinaus versuchen, blockiert das Back-End die Aktion mit einem 403-Fehler. Das Portal ermöglicht es Ihnen möglicherweise, zu einer Seite zu navigieren oder eine Schaltfläche auszuwählen, aber der Vorgang schlägt mit einem Berechtigungsfehler fehl, wenn er den Server erreicht.
Hinweis
Einige Portalfeatures deaktivieren proaktiv Schaltflächen, wenn Sie keine Schreibberechtigungen besitzen. Dies ist jedoch noch nicht für alle Features konsistent – das Back-End erzwingt immer die richtigen Berechtigungen, unabhängig davon, was die Benutzeroberfläche anzeigt.
Welchen Zugriff jede Rolle hat
| Fläche | Reader | Standard-Benutzer | Administrator |
|---|---|---|---|
| Chat | Threads anzeigen (nur Lesezugriff) | Nachrichten senden, Threads starten | Vollzugriff + Genehmigen von Aktionen, Threads löschen |
| Agent Canvas | Anzeigen von benutzerdefinierten Agenten | Anzeigen von benutzerdefinierten Agenten | Erstellen, Bearbeiten, Löschen von benutzerdefinierten Agents |
| Wissensdatenbank | Durchsuchen von Dokumenten | Hochladen von Dokumenten | Hochladen und Löschen von Dokumenten |
| Verbinder | Anzeigen von Verbindern | Anzeigen von Verbindern | Hinzufügen, Bearbeiten, Löschen von Konnektoren |
| Antwortpläne | Anzeigen von Plänen | Anzeigen von Plänen | Erstellen, Bearbeiten, Löschen von Plänen |
| Verwaltete Ressourcen | Ressourcen anzeigen | Ressourcen anzeigen | Hinzufügen, Entfernen von Ressourcen |
| Einstellungen | Einstellungen anzeigen | Einstellungen anzeigen | Ändern von Einstellungen, Stoppen/Löschen eines Agenten |
Zuweisen von Rollen
Zuweisen von Rollen über das Azure-Portal (Access control (IAM)>Add role assignment) oder Azure CLI:
az role assignment create \
--assignee user@company.com \
--role "SRE Agent Administrator" \
--scope <agent-resource-id>
Ersetzen Sie den Rollennamen durch SRE Agent Standard User oder SRE Agent Reader nach Bedarf.
Wie Rollen zusammenarbeiten
| Schritt | Wer | Action |
|---|---|---|
| 1 | Techniker (Standardbenutzer) | "Beheben des Konfigurationsproblems" |
| 2 | Agent | Entwurf eines Wartungsplans |
| 3 | Agent | Kann nicht ausgeführt werden (erfordert Administratorgenehmigung) |
| 4 | Manager (Administrator) | Überprüft und genehmigt |
| 5 | Agent | Führt Korrektur mithilfe der verwalteten Identität aus. |