Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo è destinato a tecnici della piattaforma, amministratori IT centrali e altri amministratori di livello superiore che pianificano e gestiscono le distribuzioni di Microsoft Dev Box. Descrive i diversi ruoli predefiniti supportati da Microsoft Dev Box e il relativo mapping ai ruoli aziendali, ad esempio il tecnico della piattaforma e il responsabile di sviluppo, in modo da poter pianificare il modello di autorizzazioni corretto prima di implementare Dev Box.
Il controllo degli accessi in base al ruolo di Azure specifica i ruoli predefiniti che definiscono le autorizzazioni da applicare. Anziché concedere autorizzazioni granulari direttamente a singoli utenti o gruppi, assegnare ruoli che raggruppano le autorizzazioni correlate in modo da poter applicare e controllare l'accesso in modo coerente tra le risorse. È possibile assegnare a un utente o un gruppo questa definizione di ruolo tramite un'assegnazione di ruolo per un ambito particolare. L'ambito può essere una singola risorsa, un gruppo di risorse o una sottoscrizione. Nella sezione successiva, si apprenderà quali ruoli predefiniti sono supportati da Microsoft Dev Box.
Per altre informazioni, vedere Che cos'è il controllo degli accessi in base al ruolo (RBAC) di Azure?
Note
Quando si apportano modifiche all'assegnazione di ruolo, la propagazione di questi aggiornamenti può richiedere alcuni minuti.
Ruoli predefiniti
In questo articolo, i ruoli predefiniti di Azure vengono raggruppati logicamente in tre tipi di ruolo organizzativo, in base all'ambito di influenza:
Ruoli del tecnico della piattaforma: influenzare le autorizzazioni per i dev center, i cataloghi e i progetti
Dev Manager: influenzare le autorizzazioni per le risorse basate su progetto
Ruoli sviluppatore: influenzare le autorizzazioni per gli utenti
Di seguito sono riportati i ruoli predefiniti supportati da Microsoft Dev Box:
| Tipo di ruolo organizzativo | Ruolo predefinito | Descrizione |
|---|---|---|
| Tecnico di piattaforma | Proprietario | Concedere il controllo completo per creare/gestire dev center, cataloghi e progetti, nonché concedere autorizzazioni ad altri utenti. Altre informazioni sul ruolo Proprietario. |
| Tecnico di piattaforma | Collaboratore | Concedere il controllo completo per creare/gestire dev center, cataloghi e progetti, ad eccezione dell'assegnazione di ruoli ad altri utenti. Altre informazioni sul ruolo Collaboratore. |
| Tecnico di piattaforma | Proprietario di DevCenter | Fornire l'accesso per gestire tutte le risorse di Microsoft.DevCenter e accedervi. Altre informazioni sul ruolo proprietario di DevCenter. |
| Responsabile dello Sviluppo | Amministratore del progetto DevCenter | Concedere l'autorizzazione a gestire determinati aspetti dei progetti e delle dev box. Altre informazioni sul ruolo DevCenter Project Admin. |
| Sviluppatore | Utente Dev Box | Concedere l'autorizzazione a creare dev box e avere il pieno controllo sulle dev box che create. Altre informazioni sul ruolo Utente Dev Box. |
Ambito dell'assegnazione dei ruoli
In RBAC di Azure, l'ambito è l'insieme di risorse a cui si applica l'accesso. Quando si assegna un ruolo, è importante comprendere l'ambito in modo da concedere solo l'accesso necessario.
In Azure è possibile specificare un ambito su quattro livelli: gruppo di gestione, sottoscrizione, gruppo di risorse e risorsa. Gli ambiti sono strutturati in una relazione padre-figlio. Ogni livello di gerarchia rende più specifico l'ambito. È possibile assegnare ruoli su uno qualsiasi di questi livelli di ambito. Il livello selezionato determina la portata dell'applicazione del ruolo. I livelli inferiori ereditano le autorizzazioni del ruolo da quelli superiori. Altre informazioni sull'ambito RBAC di Azure.
Per Microsoft Dev Box, prendere in considerazione gli ambiti seguenti:
| Ambito | Descrizione |
|---|---|
| Subscription | Utilizzato per gestire la fatturazione e la sicurezza di tutte le risorse e i servizi Azure. In genere, solo i tecnici della piattaforma dispongono di un accesso a livello di sottoscrizione, poiché tale ruolo consente l'accesso a tutte le risorse della sottoscrizione. |
| Gruppo di risorse | Un container logico per raggruppare le risorse. L'assegnazione dei ruoli al gruppo di risorse concede l'autorizzazione al gruppo di risorse e a tutte le risorse al suo interno, quali dev center, definizioni di dev box, pool di dev box, progetti e dev box. |
| Dev center (risorsa) | Una raccolta di progetti che richiedono impostazioni simili. L'assegnazione del ruolo per il dev center concede l'autorizzazione al dev center stesso. Le autorizzazioni assegnate per i centri dev non vengono ereditate da altre risorse della dev box. |
| Progetto (risorsa) | Una risorsa di Azure usata per applicare impostazioni di configurazione comuni quando si crea una dev box. L'assegnazione del ruolo per il progetto concede l'autorizzazione solo a tale progetto specifico. |
| Pool di dev box (risorsa) | Una raccolta di dev box gestite insieme e a cui si applicano impostazioni simili. L'assegnazione dei ruoli per il pool di dev box concede l'autorizzazione solo a quel pool specifico. |
| Definizione della devo box (risorsa) | Una risorsa Azure che specifica un'immagine di origine e le dimensioni, comprese le dimensioni di calcolo e di archiviazione. L'assegnazione dei ruoli per la definizione della dev box concede l'autorizzazione solo a quella specifica definizione della dev box. |
Ruoli per le attività comuni di dev box
La tabella seguente illustra le attività comuni di dev box e il ruolo necessario affinché un utente possa svolgere tale attività.
| Attività | Tipo di ruolo | Ruolo | Ambito |
|---|---|---|---|
| Concedere l’autorizzazione per creare un gruppo di risorse. | Tecnico di piattaforma | Proprietario o Collaboratore | Subscription |
| Concedere l'autorizzazione a inviare un ticket di assistenza Microsoft, anche per richiedere capacità. | Tecnico di piattaforma | Proprietario, Collaboratore, Collaboratore richieste di supporto | Subscription |
| Concedere l'autorizzazione per creare reti virtuali e subnet. | Tecnico di piattaforma | Collaboratore di rete | Gruppo di risorse |
| Concedere l'autorizzazione per creare una connessione di rete. | Tecnico di piattaforma | Proprietario o Collaboratore | Gruppo di risorse |
| Concedere l'autorizzazione per assegnare ruoli ad altri utenti. | Tecnico di piattaforma | Proprietario | Gruppo di risorse |
| Concedere l'autorizzazione a: - Creare/gestire centri dev. - Aggiungere/Rimuovere connessioni di rete. - Aggiungere/Rimuovere raccolte di calcolo di Azure. - Creare/Gestire definizioni della dev box. - Creare/Gestire progetti. - Allegare/Gestire il catalogo a un dev center o a un progetto (i cataloghi a livello di progetto devono essere abilitati nel dev center). - Configurare i limiti della dev box. |
Tecnico di piattaforma | Collaboratore | Gruppo di risorse |
| Concedere l'autorizzazione per creare e gestire le risorse di Dev Box senza concedere l'accesso ad altri tipi di risorse nel gruppo di risorse.
- Centri di sviluppo - Progetti - Definizioni di box di sviluppo - Pool di box di sviluppo |
Tecnico di piattaforma | Proprietario di DevCenter | Gruppo di risorse |
| Concedere l'autorizzazione per aggiungere o rimuovere una connessione di rete per un dev center. | Tecnico di piattaforma | Collaboratore o Proprietario di DevCenter | Dev Center |
| Concedere l'autorizzazione per abilitare/disabilitare i cataloghi di progetti. | Responsabile Sviluppo | Collaboratore | Dev Center |
| Concedere l'autorizzazione a: - Aggiungere, sincronizzare, rimuovere il catalogo (i cataloghi a livello di progetto devono essere abilitati nel dev center). - Creare pool di dev box. - Arrestare, avviare, eliminare le dev box nei pool. |
Responsabile Sviluppo | Amministratore del progetto DevCenter | Progetto |
| Creare e gestire le dev box in un progetto. | Utente | Utente Dev Box | Progetto |
| Creare e gestire cataloghi in un repository GitHub o Azure Repos. | Responsabile dello Sviluppo | Non disciplinato dal controllo degli accessi in base al ruolo.
- All'utente devono essere assegnate autorizzazioni tramite Azure DevOps o GitHub. |
Repository |
Importante
La sottoscrizione di un'organizzazione viene usata per gestire la fatturazione e la sicurezza di tutte le risorse e i servizi di Azure. È possibile assegnare il ruolo Proprietario o Collaboratore nella sottoscrizione. In genere, solo i tecnici della piattaforma dispongono di un accesso a livello di sottoscrizione, poiché consente l'accesso completo a tutte le risorse della sottoscrizione.
Ruoli per i tecnici della piattaforma
Per concedere agli utenti l'autorizzazione per gestire Microsoft Dev Box all'interno della sottoscrizione dell'organizzazione, è possibile assegnargli il ruolo Proprietario o Collaboratore nell'ambito del gruppo di risorse o il ruolo Proprietario di DevCenter nell'ambito del dev center.
Quando si usano i ruoli Proprietario o Collaboratore, assegnarli al gruppo di risorse. I dev center, le connessioni di rete, le definizioni delle dev box, i pool delle dev box e i progetti all'interno del gruppo di risorse ereditano queste assegnazioni di ruolo.
Ruolo di proprietario
Assegnare il ruolo di proprietario per conferire a un utente il controllo completo sulla creazione o la gestione delle risorse Dev Box e concedere autorizzazioni ad altri utenti. Quando un utente ha il ruolo Proprietario nel gruppo di risorse, può eseguire le attività seguenti in tutte le risorse all'interno del gruppo di risorse:
- Assegnare ruoli ai tecnici della piattaforma, in modo che possano gestire le risorse Dev Box.
- Creare dev center, connessioni di rete, definizioni della dev box, pool delle dev box e progetti.
- Visualizzare, eliminare e modificare le impostazioni per tutti i dev center, le connessioni di rete, le definizioni della dev box, i pool di dev box e i progetti.
- Allegare e rimuovere cataloghi.
Ruolo Collaboratore
Assegnare il ruolo Collaboratore per concedere a un utente il controllo completo sulla creazione o la gestione di dev center e progetti all'interno di un gruppo di risorse. Il ruolo Collaboratore ha le stesse autorizzazioni del ruolo Proprietario, tranne per:
- Esecuzione di assegnazioni di ruolo.
Attenzione
Quando si assegna il ruolo Proprietario o Collaboratore nel gruppo di risorse, queste autorizzazioni si applicano anche a risorse non correlate alle dev box esistenti nel gruppo di risorse.
Ruolo proprietario di DevCenter
È possibile assegnare il ruolo proprietario di DevCenter nell'ambito del gruppo di risorse o nell'ambito del dev center.
Ruolo proprietario di DevCenter nell'ambito del gruppo di risorse
Assegnare il ruolo proprietario di DevCenter a un gruppo di risorse per concedere a un utente il controllo completo sulle risorse di Microsoft.DevCenter senza concedere l'accesso più ampio ad altre risorse nel gruppo di risorse.
Quando un utente ha il ruolo proprietario di DevCenter in un gruppo di risorse, può:
- Creare, aggiornare ed eliminare i centri di sviluppo in tale gruppo di risorse.
- Creare, aggiornare ed eliminare progetti in tale gruppo di risorse.
- Creare, aggiornare ed eliminare pool di dev box e definizioni di dev box in quel gruppo di risorse.
- Gestire cataloghi, connessioni di rete e raccolte di calcolo collegate ai centri di sviluppo nel gruppo di risorse.
- Delegare l'amministrazione del progetto assegnando i ruoli di amministratore del progetto DevCenter e DevCenter Dev Box User a livello di progetto.
Ruolo di Proprietario di DevCenter nell'ambito del centro di sviluppo
Assegnare il ruolo proprietario di DevCenter a un dev center per concedere a un utente il controllo completo sulle risorse di Microsoft.DevCenter senza concedere l'accesso più ampio ad altri centri di sviluppo e alle relative risorse. Gli utenti con questo ruolo assegnato a un dev center non possono creare nuovi dev center.
Quando un utente ha il ruolo proprietario di DevCenter in un dev center, può:
- Creare, aggiornare ed eliminare progetti in tale dev center.
- Creare, aggiornare ed eliminare pool di dev box e definizioni di dev box in tale dev center.
- Gestire cataloghi, connessioni di rete e raccolte di calcolo collegate a tale dev center.
- Delegare l'amministrazione del progetto assegnando i ruoli di amministratore del progetto DevCenter e DevCenter Dev Box User a livello di progetto.
Ruoli per i responsabili di sviluppo
È presente un ruolo di responsabile dev: DevCenter Project Admin. Questo ruolo ha autorizzazioni più limitate a livelli inferiori rispetto ai ruoli di tecnico della piattaforma. È possibile assegnare questo ruolo ai dev manager per consentire loro di eseguire attività amministrative per il proprio team.
Ruolo DevCenter Project Admin
Assegnare il ruolo di DevCenter Project Admin per abilitare:
Aggiungere, sincronizzare, rimuovere il catalogo (i cataloghi a livello di progetto devono essere abilitati nel dev center).
Creare pool di dev box.
Arrestare, avviare, eliminare le dev box nei pool.
Ruoli per sviluppatori
Esiste un ruolo sviluppatore: Dev Box User. Questo ruolo consente agli sviluppatori di creare e gestire le proprie dev box.
Ruolo utente di Dev Box
Assegnare il ruolo Dev Box User per concedere agli utenti l'autorizzazione per creare le dev box e avere il controllo completo sulle dev box create. Gli sviluppatori possono eseguire le azioni seguenti in qualsiasi dev box creata:
- Create
- Avvio/arresto
- Riavvia
- Ritardare l'arresto pianificato
- Delete
Gestione delle identità e degli accessi (IAM)
Il riquadro Controllo di accesso (IAM) nel portale di Azure viene usato per configurare il controllo degli accessi in base al ruolo nelle risorse di Microsoft Dev Box. È possibile usare ruoli predefiniti per individui e gruppi in Active Directory. La schermata seguente mostra l'integrazione di Active Directory (RBAC di Azure) tramite il controllo di accesso (IAM) nel portale di Azure:
Per la procedura dettagliata, vedere Assegnare ruoli di Azure usando il portale di Azure.
Dev Center, gruppo di risorse e struttura del progetto
L'organizzazione dovrebbe investire in anticipo per pianificare il posizionamento dei dev center e la struttura dei gruppi di risorse e dei progetti.
Dev center: organizzare i dev center in base all'insieme di progetti che si desidera gestire insieme, applicare impostazioni simili e fornire modelli simili.
Le organizzazioni possono usare uno o più dev center. In genere, ogni sotto-organizzazione all'interno dell'organizzazione ha un proprio dev center. Si può prendere in considerazione la creazione di più dev center nei casi seguenti:
Se si desidera che siano disponibili configurazioni specifiche per un subset di progetti.
Se team differenti devono essere proprietari e gestire la risorsa Dev Center in Azure.
Progetti: associati a ogni team di sviluppo o gruppo di persone che lavorano su un'app o un prodotto.
La pianificazione è particolarmente importante quando si assegnano ruoli al gruppo di risorse, poiché applica anche le autorizzazioni a tutte le risorse del gruppo, inclusi i dev center, le connessioni di rete, le definizioni delle dev box, i pool di dev box e i progetti.
Per accertarsi che agli utenti venga concessa solo l'autorizzazione per le risorse appropriate:
Creare gruppi di risorse che contengono solo risorse Dev Box.
Organizzare i progetti in base alla definizione delle dev box e dei pool di dev box richiesti e agli sviluppatori che dovrebbero avere accesso. È importante notare che i pool di dev box determinano la posizione di creazione della dev box. Gli sviluppatori devono creare dev box in una posizione vicino a loro per ottenere la latenza minima.
Ad esempio, è possibile creare progetti separati per team di sviluppo diversi per isolare le risorse di ogni team. I Dev Manager in un progetto possono quindi essere assegnati al ruolo di amministratore di progetto, che garantisce loro solo l'accesso alle risorse del team.
Importante
Si consiglia di pianificare la struttura in anticipo poiché non è possibile spostare le risorse Dev Box, come i progetti, in un gruppo di risorse diverso dopo la loro creazione.
Struttura del catalogo
Microsoft Dev Box utilizza cataloghi per consentire agli sviluppatori di implementare personalizzazioni per le dev box utilizzando un catalogo di attività e un file di personalizzazione per installare software, aggiungere estensioni, clonare repository e altro ancora.
Microsoft Dev Box archivia i cataloghi in un repository GitHub o in un repository di Azure DevOps Services. È possibile collegare un catalogo a un dev center o a un progetto.
È possibile allegare uno o più cataloghi al dev center e gestire tutte le personalizzazioni a tale livello. Per offrire maggiore granularità nel modo in cui gli sviluppatori accedono alle personalizzazioni, è possibile allegare cataloghi a livello di progetto. Nella pianificazione della posizione in cui allegare i cataloghi, è necessario considerare le esigenze di ogni team di sviluppo.