Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Varje agent har en användartilldelad hanterad identitet (UAMI) som skapas automatiskt tillsammans med den. Din agent använder denna UAMI för att autentisera och interagera med dina Azure-resurser. Den agerar åt dig utan att du behöver hantera hemligheter eller autentiseringsuppgifter.
Behörighetsnivåer
När agenten skapas väljer du en behörighetsnivå som avgör vilka RBAC-roller som tilldelas till UAMI för de resursgrupper du väljer.
| Nivå | Vad den ger | Passar bäst för |
|---|---|---|
| Reader | Kärnövervakningsroller + resurstypsspecifika läsarroller | Skrivskyddad diagnostik. Agenten uppmanar till tillfällig höjning (via OBO) när den behöver vidta åtgärder. |
| Privilegierat | Kärnövervakningsroller + resurstypsspecifika deltagarroller | Fullständig driftåtkomst. Agenten kan vidta godkända åtgärder direkt. |
Förkonfigurerade roller (alltid tilldelade)
Oavsett vilken nivå du väljer tilldelas alltid följande roller.
| Befattning | Scope | Vad den tillåter |
|---|---|---|
| Reader | Resursgrupp | Visa resurser och egenskaper |
| Log Analytics-läsare | Resursgrupp | Frågeloggar och arbetsytor |
| Övervakningsläsare | Resursgrupp | Få åtkomst till mått och övervakningsdata |
| Övervakningsdeltagare | Subscription | Bekräfta och stäng Azure Monitor-aviseringar och uppdateringsövervakningsinställningar |
Anmärkning
Tilldela rollen "Monitoring Contributor" på prenumerationsnivå vid skapandet av agenten så att din agent kan hantera Azure Monitor-aviseringslivscykeln (bekräfta, stänga) direkt utan ytterligare konfiguration.
Om du väljer Privilegierad får agenten ytterligare deltagarroller baserat på de resurstyper som identifieras i dina hanterade resursgrupper (till exempel Container App-deltagare om resursgruppen innehåller Azure Container Apps-resurser).
Standardtillstånd
Om du inte tilldelar resursgrupper när du skapar en agent har den hanterade identiteten inga behörigheter. Du måste uttryckligen bevilja åtkomst för att agenten ska kunna göra något.
Bevilja åtkomst till resurser
Tilldela resursgrupper till din agent och bevilja sedan RBAC-roller till den hanterade identiteten.
# Grant Reader access to a resource group (view resources, query logs)
az role assignment create \
--assignee <AGENT_MANAGED_IDENTITY_ID> \
--role Reader \
--scope /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP_NAME>
# Grant Reader access to entire subscription (for broader visibility)
az role assignment create \
--assignee <AGENT_MANAGED_IDENTITY_ID> \
--role Reader \
--scope /subscriptions/<SUBSCRIPTION_ID>
# Grant Contributor access to a resource group (modify resources)
az role assignment create \
--assignee <AGENT_MANAGED_IDENTITY_ID> \
--role Contributor \
--scope /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP_NAME>
Tips/Råd
För skrivskyddad åtkomst mellan flera resursgrupper tilldelar du Läsare på prenumerationsnivå i stället för resursgrupp efter resursgrupp. För skrivåtkomst tilldelar du specifika roller på resursgruppsnivå. Om du vill hitta agentens hanterade identitets-ID går du till agentportalen (Inställningar>Azure-inställningar>Gå till Identitet). Du kan också hitta den direkt i Azure-portalen genom att gå till containerappresursen, välja Identitet och kopiera objekt-ID:t (huvudnamn).
Ändra behörigheter
Du kan justera UAMI:s behörigheter när som helst genom att uppdatera IAM-inställningarna för de hanterade resursgrupperna.
- Bevilja mer åtkomst: Lägg till rolltilldelningar i resursgruppens IAM-inställningar.
- Lägg till en resursgrupp: Om du lägger till en resursgrupp i agentens omfång tilldelar du automatiskt UAMI:s roller till den.
- Ta bort en resursgrupp: Om du tar bort en resursgrupp återkallas all åtkomst till den.
Anmärkning
Du kan inte ta bort enskilda behörigheter, bara hela resursgrupper.
Behörighetsflöde
När din agent behöver utföra en åtgärd följer den ett specifikt behörighetsflöde.
Det här flödet gäller allt agenten gör, inklusive interaktiv chatt, incidenttrådar, schemalagda körningar och autonoma åtgärder.
Å OBO:s vägnar
När den hanterade identiteten saknar behörighet för en åtgärd kan agenten tillfälligt använda dina behörigheter via på uppdrag av-flödet. Den här situationen är särskilt vanlig om du väljer behörighetsnivån Läsare . Agenten har läsbehörighet men behöver dina autentiseringsuppgifter för att kunna utföra skrivåtgärder.
Varning
Endast användare med rollen SRE-agentadministratör kan auktorisera OBO-begäranden. Standardanvändare kan inte ge OBO-auktorisering. Personliga Microsoft-konton kan inte auktorisera OBO oavsett roll. Endast arbets- eller skolkonton (Microsoft Entra ID) stöder tokenutbyte åt dig. Mer information finns i Användarroller och behörigheter.
Exempel
Du ber agenten att skala en containerapp, men den hanterade identiteten har inte skrivbehörighet.
Agenten uppmanar dig att auktorisera med dina autentiseringsuppgifter för att slutföra åtgärden. Dina behörigheter behålls inte, i stället återgår agenten till att använda sin hanterade identitet när åtgärden har slutförts.
När du använder OBO
| Scenario | Vad händer |
|---|---|
| Läsarnivåagenten måste agera | Agenten har läsbehörigheter men användaren ber den att starta om en tjänst. Agenten begär administratörsauktorisering. |
| Autonom incidenthantering | Agenten utlöses för att korrigera, men den hanterade identiteten har bara Reader. Agenten begär administratörsauktorisering. |
| Engångsprivilegierad åtgärd | Interaktiva sessioner där en administratör har behörigheter som agenten inte har. |
| Personlig kontoanvändare | OBO-auktorisering är inte tillgängligt. En administratör med ett arbets- eller skolkonto måste auktorisera i stället. |
Relaterat innehåll
| Resource | Varför det spelar roll |
|---|---|
| Användarroller och behörigheter | Vad användarna kan göra med agenten |
| Körningslägen | Så hanterar agenten godkännanden |
| Revisionsagentens åtgärder | Granska vad agenten gjorde med sina behörigheter |