Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Din agent kan undersöka problem, vidta åtgärder för produktionsinfrastruktur och komma åt känsliga data i hela miljön. Åtkomstkontroll avgör vem som kan begära åtgärder, vem som kan godkänna dem och vem som kan ändra agentens konfiguration.
Översikt över åtkomstkontroll
Åtkomstkontroll fungerar i tre lager:
| Skikt | Kontroller | Konfigurerad på |
|---|---|---|
| Användarroller (den här sidan) | Vad användarna kan göra med agenten | Azure IAM på agentresursen |
| Körningslägen | Om agenten frågar innan den agerar | Per svarsplan och per schemalagd aktivitet |
| Agentbehörigheter | Vad agenten kan komma åt på Azure | RBAC-roller i resursgrupper |
Tre inbyggda roller
| Befattning | Kan göra | Går inte |
|---|---|---|
| SRE-agentläsare | Visa trådar, loggar, incidenter | Chatta, begära åtgärder, ändra vad som helst |
| Standardanvändare för SRE-agent | Chatta, köra diagnostik, begära åtgärder | Godkänn åtgärder, ta bort resurser, ändra kopplingar |
| SRE-agentadministratör | Godkänna åtgärder, hantera anslutningsappar, ta bort resurser | — |
Användaren som skapar agenten får automatiskt rollen SRE-agentadministratör .
Vem ska ha vilken roll?
| Befattning | Ge till |
|---|---|
| SRE-agentläsare | Granskare, efterlevnadsteam, intressenter som behöver insyn |
| Standardanvändare för SRE-agent | L1/L2-tekniker, räddningspersonal, alla som diagnostiserar problem |
| SRE-agentadministratör | SRE-chefer, molnadministratörer, incidentansvariga |
Så här framtvingar portalen behörigheter
Portalen kontrollerar dina Azure rolltilldelningar när du kommer åt agenten. Åtkomst implementeras på två nivåer.
Ingen agentåtkomst
När du inte har någon SRE Agent-rolltilldelning visar portalen en Åtkomst krävs-skärm med en sköldikon och en Gå till åtkomstkontroll-knapp som öppnar Azure IAM-bladet. Om du har Azure ägare eller deltagare på resursen visas även ett banderollserbjudande för automatisk tilldelning av administratörsrollen.
Serverdelsframtvingande
När du har en SRE-agentroll men försöker utföra en åtgärd utöver dina behörigheter blockerar serverdelen åtgärden med ett 403-fel. Med portalen kan du navigera till en sida eller välja en knapp, men åtgärden misslyckas med ett behörighetsfel när den når servern.
Anmärkning
Vissa portalfunktioner inaktiverar proaktivt knappar när du saknar skrivbehörighet. Detta är dock ännu inte konsekvent för alla funktioner – serverdelen tillämpar alltid rätt behörigheter oavsett vad användargränssnittet visar.
Vad varje roll kan komma åt
| Område | Reader | Standardanvändare | Administrator |
|---|---|---|---|
| Chatt | Visa trådar (skrivskyddad) | Skicka meddelanden, starta trådar | Fullständig åtkomst + godkänna åtgärder, ta bort trådar |
| Agentcanvas | Visa anpassade agenter | Visa anpassade agenter | Skapa, redigera, ta bort anpassade agenter |
| Kunskapsbas | Bläddra bland dokument | Ladda upp dokument | Ladda upp och ta bort dokument |
| Anslutningar | Visa anslutningar | Visa anslutningar | Lägg till, redigera, ta bort anslutningar |
| Svarsplaner | Visa planer | Visa planer | Skapa, redigera, ta bort planer |
| Hanterade resurser | Visa resurser | Visa resurser | Lägg till, ta bort resurser |
| Settings | Visa inställningar | Visa inställningar | Ändra inställningar, stoppa/ta bort agent |
Tilldela roller
Tilldela roller via Azure-portalen (Access-kontroll (IAM)>Lägg till rolltilldelning) eller Azure CLI:
az role assignment create \
--assignee user@company.com \
--role "SRE Agent Administrator" \
--scope <agent-resource-id>
Ersätt rollnamnet med SRE Agent Standard User eller SRE Agent Reader efter behov.
Så här fungerar roller tillsammans
| Steg | Vem | Action |
|---|---|---|
| 1 | Tekniker (standardanvändare) | "Åtgärda konfigurationsproblemet" |
| 2 | Handläggare | Utkastar åtgärdsplan |
| 3 | Handläggare | Det går inte att köra (behöver administratörsgodkännande) |
| 4 | Chef (administratör) | Granskar och godkänner |
| 5 | Handläggare | Kör korrigering med hanterad identitet |
Relaterat innehåll
- Körningslägen
- Agentbehörigheter
- Agentidentitet
- Revisionsagentens åtgärder