Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'agente può analizzare i problemi, eseguire azioni sull'infrastruttura di produzione e accedere ai dati sensibili nell'ambiente in uso. Il controllo di accesso determina chi può richiedere azioni, chi può approvarle e chi può modificare la configurazione dell'agente.
Panoramica del controllo di accesso
Il controllo di accesso funziona su tre livelli.
| Livello | Controlli | Configurato in |
|---|---|---|
| Ruoli utente (questo articolo) | Operazioni che gli utenti possono eseguire con l'agente | Azure IAM sulla risorsa dell'agente |
| Modalità di esecuzione | Indica se l'agente chiede prima di agire | Per piano di risposta e per attività pianificata |
| Autorizzazioni dell'agente | A cosa può accedere l'agente in Azure, inclusi i ruoli di controllo degli accessi in base al ruolo dell'identità gestita e il fallback On-Behalf-Of. | Ruoli RBAC nei gruppi di risorse |
Livello 1: Ruoli utente
L'agente include tre ruoli RBAC integrati di Azure.
| Ruolo | Può fare | Non può farlo |
|---|---|---|
| SRE Agente Lettore | Visualizzare thread, log, eventi imprevisti | Chat, richiedere azioni, modificare qualsiasi elemento |
| Utente standard dell'agente SRE | Chat, eseguire la diagnostica, richiedere azioni | Approvare azioni, eliminare risorse, modificare i connettori |
| Amministratore Agent SRE | Approvare azioni, gestire i connettori, eliminare le risorse | (Accesso completo) |
L'utente che crea l'agente ottiene automaticamente il ruolo amministratore agente SRE .
Chi deve avere quale ruolo
Usare le indicazioni seguenti per assegnare ruoli in base alle responsabilità del team.
| Ruolo | Assegna a |
|---|---|
| SRE Agente Lettore | Revisori, team di conformità, stakeholder che necessitano di visibilità |
| Utente standard dell'agente SRE | Ingegneri L1/L2, primi risponditori, chiunque diagnostica i problemi |
| Amministratore Agent SRE | Responsabili SRE, amministratori cloud, comandanti degli incidenti |
Come il portale applica le autorizzazioni
Il portale controlla le assegnazioni di ruolo di Azure quando si accede all'agente. Il portale applica l'accesso a due livelli.
Livello 1: Nessun accesso all'agente
Quando non si ha l'assegnazione di ruolo agente SRE, nel portale viene visualizzata una schermata Accesso richiesto con un'icona a forma di scudo e un pulsante Vai al controllo di accesso che apre la finestra IAM di Azure. Se si dispone di Proprietario o Collaboratore di Azure nella risorsa, viene visualizzata anche un'offerta banner per l'assegnazione automatica del ruolo di amministratore.
Livello 2: Applicazione back-end
Quando si dispone di un ruolo agente SRE ma si tenta un'azione oltre le autorizzazioni, il back-end blocca l'azione con un errore 403. Il portale potrebbe consentire di passare a una pagina o selezionare un pulsante, ma l'operazione non riesce con un errore di autorizzazione quando raggiunge il server.
Annotazioni
Alcune funzionalità del portale disabilitano in modo proattivo i pulsanti quando non sono disponibili autorizzazioni di scrittura( ad esempio, la gestione dei connettori mostra i pulsanti disabilitati con le descrizioni comando). Tuttavia, questo comportamento non è ancora coerente in tutte le funzionalità. Il back-end applica sempre le autorizzazioni corrette indipendentemente da ciò che viene visualizzato dall'interfaccia utente.
A cosa può accedere ogni ruolo
La tabella seguente riepiloga il livello di accesso per ogni ruolo in aree diverse del portale.
| Area | Lettore | utente Standard | Administrator |
|---|---|---|---|
| Chiacchierare | Visualizzare i thread (sola lettura) | Inviare messaggi, avviare thread | Accesso completo, approvazione delle azioni, eliminazione di thread |
| Canvas dell'agente | Visualizzare agenti personalizzati | Visualizzare agenti personalizzati | Creare, modificare, eliminare agenti personalizzati |
| Knowledge Base | Esplorare i documenti | Carica documenti | Caricare ed eliminare documenti |
| Connettori | Visualizzare i connettori | Visualizzare i connettori | Aggiungere, modificare, eliminare connettori |
| Piani di risposta | Visualizzare i piani | Visualizzare i piani | Creare, modificare, eliminare piani |
| Risorse gestite | Visualizzazione di risorse | Visualizzazione di risorse | Aggiungere, rimuovere risorse |
| Impostazioni | Visualizza impostazioni | Visualizza impostazioni | Modificare le impostazioni, arrestare/eliminare l'agente |
Assegnazione di ruoli
Assegnare ruoli tramite il portale di Azure (Controllo di accesso (IAM)>Aggiungere un'assegnazione di ruolo) o usando l'interfaccia della riga di comando di Azure.
az role assignment create \
--assignee user@company.com \
--role "SRE Agent Administrator" \
--scope <AGENT_RESOURCE_ID>
Sostituire il nome del ruolo con SRE Agent Standard User o SRE Agent Reader in base alle esigenze.
Per trovare l'ID risorsa dell'agente, eseguire il comando seguente:
az resource show \
--resource-group <RESOURCE_GROUP> \
--name <AGENT_NAME> \
--resource-type Microsoft.SREAgent/agents \
--query id -o tsv
Come interagiscono i ruoli
Nell'esempio seguente viene illustrato come i ruoli interagiscono durante un flusso di lavoro di approvazione delle azioni. Un tecnico richiede un'azione, ma solo gli amministratori possono approvarlo.
| Passo | Chi | Action |
|---|---|---|
| 1 | Tecnico (utente standard) | "Risolvere il problema di configurazione" |
| 2 | Agente | Bozza di piano di correzione |
| 3 | Agente | Non è possibile eseguire (richiede l'approvazione dell'amministratore) |
| 4 | Manager (amministratore) | Revisioni e approvazioni |
| 5 | Agente | Esegue la correzione usando l'identità gestita o l'autorizzazione on-behalf-of |
Informazioni su come interagiscono i livelli di controllo di accesso
Questo articolo illustra i ruoli utente che includono chi può eseguire operazioni con l'agente. Per comprendere l'immagine completa del controllo di accesso, vedere:
| Articolo | Pagina | Cosa imparerai |
|---|---|---|
| Modalità di esecuzione | Modalità di esecuzione | In che modo le modalità revisione e autonomo controllano se l'agente chiede prima di agire. Solo gli amministratori possono approvare in modalità revisione |
| Autorizzazioni dell'agente | Autorizzazioni dell'agente | Come l'agente ottiene l'accesso alle risorse di Azure. Include i livelli delle autorizzazioni Lettore e Con privilegi, i ruoli di controllo degli accessi in base al ruolo e il fallback OBO |
| Revisione | Azioni dell'agente di controllo | Esaminare cosa ha fatto l'agente, chi lo ha approvato e quale identità è stata usata |