Microsoft Planet Computer Pro için erişimi yönetme

Bu makale, Microsoft Entra ID'de kimlikleri nasıl yöneteceğinizi ve Microsoft Planetary Computer Pro için rol tabanlı erişim denetimi (RBAC) nasıl yapılandıracağınızı gösterir. Bu işlem, kullanıcının Microsoft Entra kimliklerine belirli GeoCatalog kaynak erişim izinleri atamasına olanak tanır.

Önkoşullar

Kullanıcı oluşturma ve yönetme

Microsoft Entra ID oluşturma, davet etme ve silme nasıl yapılır makalesini izleyerek kullanıcı listenizi oluşturun ve yönetin. Kullanıcılarınız oluşturulduktan sonra, bir veya daha fazla RBAC rolü atamasıyla GeoCatalog kaynağına erişmek için onlara uygun izinler vermeniz gerekir.

Planet Computer Pro, Azure yerleşik rollerine ek olarak iki GeoCatalog kaynağına özgü rol tanımlar:

Rol Açıklama RBAC Yönetimine izin veriliyor mu?
GeoCatalog Yöneticisi Kullanıcının GeoCatalog içindeki verileri okumasına, yazmasına ve silmesine izin verir Hayı
GeoCatalog Okuyucusu Kullanıcının yalnızca GeoCatalogs verilerini okumasına izin verir. Hayı
Sahibi RBAC'yi yönetme özelliği de dahil olmak üzere tüm kaynaklara tam erişim sağlayan Azure yerleşik rolü. Evet
Kullanıcı Erişimi Yöneticisi Azure kaynaklarına kullanıcı erişiminin yönetilmesine olanak tanıyan Azure yerleşik rolü. Evet
Rol Tabanlı Erişim Denetimi Yöneticisi RBAC atamalarının ve izinlerinin yönetimine izin veren Azure yerleşik rolü. Evet

Uyarı

Sahip aynı zamanda bir GeoCatalog Yöneticisidir.

Kimlik doğrulaması ve yetkilendirmeye genel bakış

Bir kimliğin RBAC aracılığıyla yetkilendirilebilmesi için önce Microsoft Entra ID kimlik doğrulaması yapması gerekir. Kimlik doğrulama yöntemi, GeoCatalog'unuza erişen kimliğin türüne bağlıdır:

Kimlik türü Kimlik doğrulama yöntemi Ardından ile yetkilendirin
Kullanıcı (portal, CLI, Explorer) Etkileşimli oturum açma (az login veya tarayıcı OAuth2) Bu makalede atanan RBAC rolleri
Yönetilen kimlik (Azure'da uygulamalar) Azure altyapısı aracılığıyla otomatik belirteç Bu makalede atanan RBAC rolleri
Hizmet sorumlusu (Azure dışındaki uygulamalar) Entra uygulama kaydı aracılığıyla istemci parolası/sertifikası Bu makalede atanan RBAC rolleri

Tüm GeoCatalog denetim düzlemi ve veri düzlemi işlemleri, user_impersonation kapsamına sahip geçerli bir OAuth2 bearer belirteci gerektirir. Senaryo başına ayrıntılı kurulum için bkz. Uygulama kimlik doğrulamasını yapılandırma. Azure RBAC kavramları hakkında daha fazla bilgi için bkz. rol tabanlı erişim denetimine genel bakış Azure.

Kullanıcıya rol tabanlı erişim denetimi atama

Azure portalını kullanarak Planetary Computer Pro kullanıcılarına RBAC rolleri atayabilirsiniz. Bu bölümde, GeoCatalog Yönetici rolünü bir veya daha fazla kullanıcıya atamak için GeoCatalogErişim Denetimi (IAM) denetimlerinin nasıl kullanılacağı gösterilmektedir.

  1. Azure portalında sol kenar çubuğundaki GeoCatalog kaynağı Erişim denetimi (IAM) sekmenize gidin:

    RBAC'yi yapılandırmak için Azure portalındaki IAM dikey penceresinin ekran görüntüsü.

  2. Rol Ataması Ekle'yi> seçin.

  3. İş işlevi rolleri listesinden GeoCatalog Yöneticisi'ni seçin ve ardından sayfanın en altındaki İleri düğmesini seçin:

    Azure portalında RBAC rol atama seçeneklerini gösteren ekran görüntüsü.

  4. Kullanıcı, grup veya hizmet sorumlusunun radyo düğmesini seçin:

    Azure portalında RBAC rol ataması sırasında üyeler bölümünü gösteren ekran görüntüsü.

  5. Üyeleri seç'i seçin

  6. Sağ tarafta görüntülenen Üye seç bölmesinde kullanıcıyı arayın. Seçili Üyeler listesine eklemek için listeden bir ad veya kimlik seçin. Bu rolün atandığı her kullanıcı için bu adımı yineleyin.

  7. Bu rolü atamanız gereken tüm kullanıcılar seçildiğinde, bölmeyi kapatmak için bölmenin altındaki Seç düğmesini kullanın.

  8. Sayfanın alt kısmındaki İleri'yi seçin.

  9. Bilgileri doğrulayın, ardından incele + ata seçerek ödevi tamamlayın.

Artık seçilen kullanıcılar Azure portalı veya API'ler aracılığıyla GeoCatalog kaynağına erişebilir.

Azure CLI kullanarak rol atama

ARM denetim düzlemi API'sini (Microsoft.Authorization/roleAssignments ) çağıran Azure CLI kullanarak RBAC rolleri de atayabilirsiniz.

Rol atama

# Define variables
SUBSCRIPTION_ID="{your-subscription-id}"
RESOURCE_GROUP="{your-resource-group}"
GEOCATALOG_NAME="{your-geocatalog-name}"
ASSIGNEE_OBJECT_ID="{user-or-service-principal-object-id}"

# GeoCatalog Administrator role definition ID
ROLE_DEFINITION_ID="$(az role definition list --name "GeoCatalog Administrator" --query "[0].id" -o tsv)"

# Assign the role scoped to the GeoCatalog resource
az role assignment create \
  --assignee-object-id "$ASSIGNEE_OBJECT_ID" \
  --role "$ROLE_DEFINITION_ID" \
  --scope "/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.Orbital/geoCatalogs/$GEOCATALOG_NAME"

Rol atamasını kaldırma

az role assignment delete \
  --assignee "$ASSIGNEE_OBJECT_ID" \
  --role "GeoCatalog Administrator" \
  --scope "/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.Orbital/geoCatalogs/$GEOCATALOG_NAME"

GeoCatalog için rol atamalarını listeleme

az role assignment list \
  --scope "/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.Orbital/geoCatalogs/$GEOCATALOG_NAME" \
  --output table