Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel richtet sich an Plattformtechniker, zentrale IT-Administratoren und andere Administratoren auf höherer Ebene, die Microsoft Dev Box-Bereitstellungen planen und verwalten. Es beschreibt die verschiedenen integrierten Rollen, die Microsoft Dev Box unterstützt, und wie sie Organisationsrollen wie Plattformtechniker und Entwickler-Manager zuordnen, damit Sie das richtige Berechtigungsmodell planen können, bevor Sie Dev Box bereitstellen.
Die rollenbasierte Zugriffssteuerung (Azure role-based access control, RBAC) gibt integrierte Rollen an, die die anzuwendenden Berechtigungen definieren. Anstatt einzelnen Benutzern oder Gruppen präzise Berechtigungen zu gewähren, weisen Sie Rollen zu, die verwandte Berechtigungen zusammen bündeln, damit Sie den Zugriff auf ressourcenübergreifend einheitlich anwenden und überwachen können. Sie weisen einem Benutzer oder einer Gruppe diese Rollendefinition über eine Rollenzuweisung für einen bestimmten Bereich zu. Der Bereich kann eine einzelne Ressource, eine Ressourcengruppe oder das gesamte Abonnement sein. Im nächsten Abschnitt erfahren Sie, welche integrierten Rollen Microsoft Dev Box unterstützt.
Weitere Informationen finden Sie unter Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC)?.
Hinweis
Wenn Sie Änderungen an der Rollenzuweisung vornehmen, kann es ein paar Minuten dauern, bis sich diese Aktualisierungen ausbreiten.
Integrierte Rollen
In diesem Artikel werden die in Azure integrierten Rollen logisch in drei organisatorische Rollentypen gruppiert, die auf ihrem Geltungsbereich basieren:
Rollen für Plattformtechniker: beeinflussen Berechtigungen für Dev Center, Kataloge und Projekte
Dev Manager: Berechtigungen für projektbasierte Ressourcen
Entwicklerrollen: Beeinflussen Berechtigungen für Benutzer
Im Folgenden finden Sie die integrierten Rollen, die von Microsoft Dev Box unterstützt werden:
| Organisatorischer Rollentyp | Integrierte Rolle | BESCHREIBUNG |
|---|---|---|
| Plattformtechniker*in | Besitzer | Gewährt die volle Kontrolle über das Erstellen/Verwalten von Dev Centern, Katalogen und Projekten und erteilt anderen Benutzern die entsprechenden Berechtigungen. Erfahren Sie mehr über die Besitzer-Rolle. |
| Plattformtechniker*in | Mitwirkender | Gewährt die volle Kontrolle zum Erstellen/Verwalten von Dev Centern, Katalogen und Projekten, mit Ausnahme der Zuweisung von Rollen an andere Benutzer. Erfahren Sie mehr über die Mitwirkende-Rolle. |
| Plattformtechniker*in | DevCenter-Besitzer | Gewähren Sie Zugriff auf die Verwaltung aller Microsoft.DevCenter-Ressourcen und des Zugriffs darauf. Erfahren Sie mehr über die Rolle "DevCenter-Besitzer". |
| Dev-Manager | DevCenter-Projektadministrator | Gewährt die Berechtigung, bestimmte Aspekte von Projekten und Dev Boxen zu verwalten. Erfahren Sie mehr über die Rolle DevCenter-Projektadministrator. |
| Entwickler | Dev Box-Benutzer | Gewährt die Berechtigung, Dev Boxen zu erstellen und die volle Kontrolle über die von ihnen erstellten Dev Boxen zu haben. Erfahren Sie mehr über die Rolle Dev Box Benutzer. |
Bereich der Rollenzuweisung
In Azure RBAC ist der Geltungsbereich der Bereich der Ressourcen, für den der Zugriff gilt. Wenn Sie eine Rolle zuweisen, ist es wichtig, den Bereich zu verstehen, damit Sie nur den Zugriff gewähren, der erforderlich ist.
In Azure können Sie auf vier Ebenen einen Bereich angeben: Verwaltungsgruppe, Abonnement, Ressourcengruppe und Ressource. Bereiche sind in einer Beziehung zwischen über- und untergeordneten Elementen strukturiert. Mit jeder Hierarchieebene wird der Bereich spezifischer. Sie können Rollen auf jeder dieser Bereichsebenen zuweisen. Die von Ihnen ausgewählte Ebene bestimmt, wie umfassend die Rolle angewendet wird. Niedrigere Ebenen erben die Rollenberechtigungen von höheren Ebenen. Erfahren Sie mehr über den Bereich für Azure RBAC.
Für Microsoft Dev Box sollten Sie die folgenden Bereiche berücksichtigen:
| `Scope` | BESCHREIBUNG |
|---|---|
| Subscription | Zur Verwaltung der Abrechnung und Sicherheit für alle Azure-Ressourcen und -Dienste. Normalerweise haben nur Techniker der Plattform Zugriff auf Abonnement-Ebene, da diese Rollenzuweisung Zugriff auf alle Ressourcen im Abonnement gewährt. |
| Ressourcengruppe | Ein logischer Container zur Gruppierung von Ressourcen. Die Rollenzuweisung für die Ressourcengruppe gewährt die Berechtigung für die Ressourcengruppe und alle darin enthaltenen Ressourcen, wie z. B. Dev Center, Dev Box-Definitionen, Dev Box-Pools, Projekte und Dev Boxen. |
| Dev Center (Ressource) | Eine Sammlung von Projekten, die ähnliche Einstellungen erfordern. Die Rollenzuweisung für das Dev Center gewährt die Berechtigung für das Dev Center selbst. Für Dev Center zugewiesene Berechtigungen werden nicht an andere Dev Box-Ressourcen vererbt. |
| Projekt (Ressource) | Eine Azure-Ressource, die zur Anwendung gemeinsamer Konfigurationseinstellungen beim Erstellen einer Dev Box verwendet wird. Die Rollenzuweisung für das Projekt gewährt die Berechtigung nur für dieses spezielle Projekt. |
| Dev Box-Pool (Ressource) | Eine Sammlung von Dev Boxen, die Sie gemeinsam verwalten und auf die Sie ähnliche Einstellungen anwenden. Die Rollenzuweisung für den Dev Box-Pool gewährt nur die Berechtigung für diesen speziellen Dev Box-Pool. |
| Dev Box-Definition (Ressource) | Eine Azure-Ressource, die ein Quell-Image und eine Größe angibt, einschließlich der Größe von Compute und Storage. Die Rollenzuweisung für die Dev Box-Definition gewährt nur die Berechtigung für diese spezielle Dev Box-Definition. |
Rollen für gängige Dev Box-Aktivitäten
Die folgende Tabelle zeigt gängige Dev Box-Aktivitäten und die Anforderungen an die Rolle, die ein Benutzer zur Ausführung dieser Aktivität benötigt.
| Aktivität | Rollentyp | Rolle | `Scope` |
|---|---|---|---|
| Erteilt die Berechtigung, eine Ressourcengruppe zu erstellen. | Plattformtechniker*in | Besitzer oder Mitwirkender | Subscription |
| Erteilt die Berechtigung, ein Microsoft Support-Ticket zu senden, einschließlich einer Anfrage zur Kapazität. | Plattformtechniker*in | Besitzer, Mitwirkender, Support-Anfrage-Mitwirkender | Subscription |
| Erteilt die Berechtigung, virtuelle Netzwerke und Subnetze zu erstellen. | Plattformtechniker*in | Mitwirkender von virtuellem Netzwerk | Ressourcengruppe |
| Erteilt die Berechtigung, eine Netzwerkkonnektivität zu erstellen. | Plattformtechniker*in | Besitzer oder Mitwirkender | Ressourcengruppe |
| Erteilt die Berechtigung zur Zuweisung von Rollen an andere Benutzer. | Plattformtechniker*in | Besitzer | Ressourcengruppe |
| Berechtigung zum: - Erstellen / Verwalten von Dev Centern. - Hinzufügen / Entfernen von Netzwerkverbindungen. - Hinzufügen / Entfernen von Azure-Compute-Katalogen. - Erstellen / Verwalten von Dev Box-Definitionen. - Erstellen / Verwalten von Projekten. - Zuordnen / Verwalten von Katalogen zu einem Dev Center oder Projekt (Kataloge auf Projektebene müssen im Dev Center aktiviert sein). - Limit für Dev Boxen konfigurieren. |
Plattformtechniker*in | Mitwirkender | Ressourcengruppe |
| Erteilen Sie berechtigungen zum Erstellen und Verwalten von Dev Box-Ressourcen, ohne zugriff auf andere Ressourcentypen in der Ressourcengruppe zu gewähren.
- Entwicklungszentren - Projekte - Entwicklungsbox-Definitionen - Entwicklungsbox-Pools |
Plattformtechniker*in | DevCenter-Besitzer | Ressourcengruppe |
| Erteilt die Berechtigung zum Hinzufügen oder Entfernen einer Netzwerkkonnektivität für ein Dev Center. | Plattformtechniker*in | Mitwirkender oder DevCenter-Besitzer | Dev Center |
| Erteilt die Berechtigung zum Aktivieren/Deaktivieren von Projektkatalogen. | Dev-Manager | Mitwirkender | Dev Center |
| Erteilt die Berechtigung für:: - Katalog Hinzufügen, Synchronisieren, Entfernen (Kataloge auf Projektebene müssen im Dev Center aktiviert sein). - Erstellen von Dev Box-Pools. - Anhalten, Starten, Löschen von Dev Boxen in Pools. |
Dev-Manager | DevCenter-Projektadministrator | Projekt |
| Erstellen und verwalten Sie Ihre eigenen Dev Boxen in einem Projekt. | Benutzer | Dev Box-Benutzer | Projekt |
| Erstellung und Verwalten von Katalogen in einem GitHub- oder Azure Repos-Repository. | Dev-Manager | Wird nicht durch RBAC gesteuert.
- Dem Benutzer müssen über Azure DevOps oder GitHub-Berechtigungen zugewiesen werden. |
Repository |
Wichtig
Das Abonnement einer Organisation dient der Verwaltung der Abrechnung und der Sicherheit für alle Azure-Ressourcen und -Dienste. Sie können dem Abonnement die Rolle des Besitzers oder Mitwirkenden zuweisen. In der Regel haben nur die Techniker von Platform Zugriff auf das Abonnement, da dies den vollen Zugriff auf alle Ressourcen im Abonnement beinhaltet.
Rollen für Plattformingenieure
Um Benutzern die Berechtigung zum Verwalten von Microsoft Dev Box innerhalb des Abonnements Ihrer Organisation zu erteilen, können Sie sie der Rolle " Besitzer " oder "Mitwirkender " im Bereich der Ressourcengruppe oder der Rolle "DevCenter-Besitzer " im Dev Center-Bereich zuweisen.
Wenn Sie die Rollen "Besitzer" oder "Mitwirkender" verwenden, weisen Sie sie der Ressourcengruppe zu. Die Dev Center, Netzwerkverbindungen, Dev Box-Definitionen, Dev Box-Pools und Projekte innerhalb der Ressourcengruppe erben diese Rollenzuweisungen.
Rolle „Besitzer“
Weisen Sie die Rolle Besitzer zu, um einem Benutzer volle Kontrolle über die Erstellung oder Verwaltung von Dev Box-Ressourcen zu geben und anderen Benutzern Berechtigungen zu erteilen. Wenn ein Benutzer die Rolle Besitzer in der Ressourcengruppe hat, kann er die folgenden Aktivitäten für alle Ressourcen innerhalb der Ressourcengruppe durchführen:
- Plattformtechnikern Rollen zuweisen, damit sie Dev Box-Ressourcen verwalten können.
- Erstellen von Dev Centern, Netzwerkverbindungen, Dev Box-Definitionen, Dev Box-Pools und Projekten.
- Anzeigen, Löschen und Ändern von Einstellungen für alle Dev Center, Netzwerkverbindungen, Dev Box-Definitionen, Dev Box-Pools und Projekte.
- Kataloge zuordnen und entfernen.
Rolle des Mitwirkenden
Weisen Sie die Rolle Mitwirkender zu, um einem Benutzer volle Kontrolle über die Erstellung oder Verwaltung von Dev Centern und Projekten innerhalb einer Ressourcengruppe zu geben. Die Rolle Mitwirkender hat dieselben Berechtigungen wie die Rolle Besitzer, mit Ausnahme von:
- Durchführen von Rollenzuweisungen.
Vorsicht
Wenn Sie der Ressourcengruppe die Rolle Besitzer oder Mitwirkender zuweisen, gelten diese Berechtigungen auch für Ressourcen, die nicht mit Dev Boxen zusammenhängen und in der Ressourcengruppe vorhanden sind.
Rolle "DevCenter-Besitzer"
Sie können die Rolle "DevCenter-Besitzer" entweder im Ressourcengruppenbereich oder im Dev Center-Bereich zuweisen.
Rolle "DevCenter-Besitzer" auf Ressourcen-Gruppen-Ebene
Weisen Sie einer Ressourcengruppe die Rolle "DevCenter-Besitzer" zu, um einem Benutzer die vollständige Kontrolle über Microsoft.DevCenter-Ressourcen zu gewähren, ohne umfassenderen Zugriff auf andere Ressourcen in der Ressourcengruppe zu gewähren.
Wenn ein Benutzer über die Rolle "DevCenter-Besitzer" in einer Ressourcengruppe verfügt, kann er folgende Aktionen ausführen:
- Erstellen, Aktualisieren und Löschen von Dev Centern in dieser Ressourcengruppe.
- Erstellen, Aktualisieren und Löschen von Projekten in dieser Ressourcengruppe.
- Erstellen, Aktualisieren und Löschen von Dev Box-Pools und Dev Box-Definitionen in dieser Ressourcengruppe.
- Verwalten von Katalogen, Netzwerkkonnektivitäten und Katalogen, die den Dev Centern der Ressourcengruppe zugeordnet sind.
- Delegieren Sie die Projektverwaltung, indem Sie die Rollen DevCenter Project-Administrator und DevCenter Dev Box-Benutzer auf Projektebene zuweisen.
Dev Center-Besitzer-Rolle im Dev Center-Bereich
Weisen Sie die Rolle "DevCenter-Besitzer" einem Dev Center zu, um einem Benutzer die vollständige Kontrolle über Microsoft.DevCenter-Ressourcen zu gewähren, ohne umfassenderen Zugriff auf andere Dev Center und deren Ressourcen zu gewähren. Benutzer mit dieser Rolle, die einem Dev Center zugewiesen ist, können keine neuen Dev Center erstellen.
Wenn ein Benutzer über die Rolle "DevCenter-Besitzer" in einem Dev Center verfügt, kann er folgende Aktionen ausführen:
- Erstellen, Aktualisieren und Löschen von Projekten in diesem Dev Center.
- Erstellen, Aktualisieren und Löschen von Dev Box-Pools und Dev Box-Definitionen in diesem Dev Center.
- Verwalten von Katalogen, Netzwerkverbindungen und Compute-Galerien, die diesem Entwicklungszentrum zugeordnet sind.
- Delegieren Sie die Projektverwaltung, indem Sie die Rollen DevCenter Project-Administrator und DevCenter Dev Box-Benutzer auf Projektebene zuweisen.
Rollen für Entwicklermanager
Es gibt eine Dev-Manager-Rolle: DevCenter Projekt-Administrator. Diese Rolle verfügt über eingeschränktere Berechtigungen in den unteren Bereichen als die Rollen der Plattformtechniker. Sie können diese Rolle Dev-Managern zuweisen, um sie in die Lage zu versetzen, administrative Aufgaben für ihr Team auszuführen.
DevCenter-Projektadministrator-Rolle
Weisen Sie den DevCenter Project-Admin zu, um Folgendes zu ermöglichen:
Katalog hinzufügen, Synchronisieren, Entfernen (Kataloge auf Projektebene müssen im Dev Center aktiviert sein).
Erstellen von Dev Box-Pools.
Anhalten, Starten, Löschen von Dev Boxen in Pools.
Rollen für Entwickler
Es gibt eine Entwicklerrolle: Dev Box-Benutzer. Diese Rolle ermöglicht es Entwicklern, ihre eigenen Dev Boxen zu erstellen und zu verwalten.
Dev Box-Benutzerrolle
Weisen Sie die Rolle Dev Box-Benutzer zu, um Benutzern die Berechtigung zu erteilen, Dev Boxen zu erstellen und die volle Kontrolle über die von ihnen erstellten Dev Boxen zu haben. Entwickler können für jede Dev Box, die sie erstellen, die folgenden Aktionen durchführen:
- Erstellen
- Starten / Anhalten
- Neu starten
- Geplantes Herunterfahren verzögern
- Löschen
Identitäts- und Zugriffsverwaltung (IAM)
Die Seite Zugriffssteuerung (IAM) im Azure-Portal dient zur Konfiguration der rollenbasierten Zugriffssteuerung von Azure auf Microsoft Dev Box-Ressourcen. Sie können integrierte Rollen für Einzelpersonen und Gruppen in Active Directory verwenden. Der folgende Screenshot zeigt die Active Directory-Integration (Azure RBAC) mithilfe der Zugriffssteuerung (IAM) im Azure-Portal:
Ausführliche Informationen finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.
Dev Center, Ressourcengruppe und Projektstruktur
Ihre Organisation sollte im Vorfeld Zeit investieren, um die Platzierung Ihrer Dev Center sowie die Struktur der Ressourcengruppen und Projekte zu planen.
Dev Center: Organisieren Sie Dev Center nach der Menge der Projekte, die Sie gemeinsam verwalten möchten, indem Sie ähnliche Einstellungen anwenden und ähnliche Vorlagen bereitstellen.
Organisationen können ein oder mehrere Dev Center verwenden. In der Regel hat jede Unterorganisation innerhalb der Organisation ihr eigenes Dev Center. Sie können in den folgenden Fällen mehrere Dev Center erstellen:
Wenn bestimmte Konfigurationen für eine Teilmenge von Projekten verfügbar sein sollen.
Wenn verschiedene Teams die Dev Center-Ressource in Azure besitzen und verwalten müssen.
Projekte: Jedem Entwicklerteam oder jeder Gruppe von Personen, die an einer App oder einem Produkt arbeiten, wird ein Projekt zugeordnet.
Die Planung ist besonders wichtig, wenn Sie der Ressourcengruppe Rollen zuweisen, da sie auch Berechtigungen für alle Ressourcen in der Ressourcengruppe, einschließlich Dev Center, Netzwerkverbindungen, Dev Box-Definitionen, Dev Box-Pools und Projekte, zuweist.
So stellen Sie sicher, dass Benutzern nur Berechtigungen für die entsprechenden Ressourcen erteilt werden:
Erstellen Sie Ressourcengruppen, die nur Dev Box-Ressourcen enthalten.
Organisieren Sie Projekte nach den erforderlichen Dev Box-Definitionen und Dev Box-Pools und den Entwicklern, die darauf Zugriff haben sollen. Beachten Sie, dass Dev Box-Pools den Ort für die Erstellung von Dev Boxen bestimmen. Entwickler sollten Dev Boxen an einem Ort erstellen, der sich in ihrer Nähe befindet, um die Latenzzeit so gering wie möglich zu halten.
So können Sie beispielsweise separate Projekte für verschiedene Entwicklerteams erstellen, um die Ressourcen der einzelnen Teams zu isolieren. Entwickler-Manager in einem Projekt können dann der Rolle Projekt-Admin zugewiesen werden, die ihnen nur Zugriff auf die Ressourcen ihres Teams gewährt.
Wichtig
Planen Sie die Struktur im Voraus, denn es ist nicht möglich, Dev Box-Ressourcen wie Projekte in eine andere Ressourcengruppe zu verschieben, nachdem sie erstellt wurden.
Protokollstruktur
Microsoft Dev Box verwendet Kataloge, um Entwicklern die Bereitstellung von Anpassungen für De- Boxen zu ermöglichen. Dazu verwenden sie einen Katalog von Aufgaben und eine Anpassungsdatei, um Software zu installieren, Erweiterungen hinzuzufügen, Repositories zu klonen und vieles mehr.
Microsoft Dev Box speichert Kataloge entweder in einem GitHub-Repository oder einem Azure DevOps Services Repository. Sie können einen Katalog einem Dev Center oder einem Projekt zuordnen.
Sie können einen oder mehrere Kataloge Ihrem Dev Center zuordnen und alle Anpassungen auf dieser Ebene verwalten. Um den Zugriff der Entwickler auf Anpassungen genauer zu regeln, können Sie Kataloge auf Projektebene zuordnen. Bei der Planung, wo Sie Kataloge zuordnen, sollten Sie die Anforderungen der einzelnen Entwicklerteams berücksichtigen.