Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'agente può analizzare i problemi, eseguire azioni sull'infrastruttura di produzione e accedere ai dati sensibili nell'ambiente in uso. Il controllo di accesso determina chi può richiedere azioni, chi può approvarle e chi può modificare la configurazione dell'agente.
Panoramica del controllo di accesso
Il controllo di accesso funziona su tre livelli:
| Livello | Controlli | Configurato in |
|---|---|---|
| Ruoli utente (questa pagina) | Operazioni che gli utenti possono eseguire con l'agente | Azure IAM nella risorsa agente |
| Modalità di esecuzione | Indica se l'agente chiede prima di agire | Per piano di risposta e per attività pianificata |
| Autorizzazioni dell'agente | A cosa l'agente può accedere su Azure | Ruoli RBAC nei gruppi di risorse |
Tre ruoli predefiniti
| Ruolo | Può fare | Non può farlo |
|---|---|---|
| SRE Agente Lettore | Visualizzare thread, log, eventi imprevisti | Chat, richiedere azioni, modificare qualsiasi elemento |
| Utente standard dell'agente SRE | Chat, eseguire la diagnostica, richiedere azioni | Approvare azioni, eliminare risorse, modificare i connettori |
| Amministratore Agent SRE | Approvare azioni, gestire i connettori, eliminare le risorse | - |
L'utente che crea l'agente riceve automaticamente il ruolo amministratore agente SRE .
Chi dovrebbe avere quale ruolo?
| Ruolo | Assegna a |
|---|---|
| SRE Agente Lettore | Revisori, team di conformità, stakeholder che necessitano di visibilità |
| Utente standard dell'agente SRE | Ingegneri L1/L2, primi risponditori, chiunque diagnostica i problemi |
| Amministratore Agent SRE | Responsabili SRE, amministratori cloud, comandanti degli incidenti |
Come il portale applica le autorizzazioni
Il portale controlla le assegnazioni di ruolo Azure quando si accede all'agente. L'accesso viene applicato a due livelli.
Nessun accesso all'agente
Quando non si dispone di un'assegnazione di ruolo agente SRE, nel portale viene visualizzata una schermata Accesso richiesto con un'icona di scudo e un pulsante Vai a Controllo accessi che apre il pannello IAM di Azure. Se nella risorsa è presente Azure Proprietario o Collaboratore, viene visualizzato anche un banner che consente di assegnare automaticamente il ruolo di amministratore.
Applicazione back-end
Quando si dispone di un ruolo agente SRE ma si tenta un'azione oltre le autorizzazioni, il back-end blocca l'azione con un errore 403. Il portale potrebbe consentire di passare a una pagina o selezionare un pulsante, ma l'operazione non riesce con un errore di autorizzazione quando raggiunge il server.
Annotazioni
Alcune funzionalità del portale disabilitano in modo proattivo i pulsanti quando non sono disponibili autorizzazioni di scrittura. Tuttavia, questo non è ancora coerente in tutte le funzionalità. Il back-end applica sempre le autorizzazioni corrette indipendentemente da ciò che viene visualizzato dall'interfaccia utente.
A cosa può accedere ogni ruolo
| Area | Lettore | utente Standard | Administrator |
|---|---|---|---|
| Chiacchierare | Visualizzare i thread (sola lettura) | Inviare messaggi, avviare thread | Accesso completo e approvazione di azioni, eliminazione di thread |
| Canvas dell'agente | Visualizzare agenti personalizzati | Visualizzare agenti personalizzati | Creare, modificare, eliminare agenti personalizzati |
| Knowledge Base | Esplorare i documenti | Carica documenti | Caricare e eliminare documenti |
| Connettori | Visualizzare i connettori | Visualizzare i connettori | Aggiungere, modificare, eliminare connettori |
| Piani di risposta | Visualizzare i piani | Visualizzare i piani | Creare, modificare, eliminare piani |
| Risorse gestite | Visualizzazione di risorse | Visualizzazione di risorse | Aggiungere, rimuovere risorse |
| Impostazioni | Visualizza impostazioni | Visualizza impostazioni | Modificare le impostazioni, arrestare/eliminare l'agente |
Assegnazione di ruoli
Assegnare ruoli tramite il portale di Azure (Access control (IAM)>Aggiungi assegnazione di ruolo) o Azure CLI:
az role assignment create \
--assignee user@company.com \
--role "SRE Agent Administrator" \
--scope <agent-resource-id>
Sostituire il nome del ruolo con SRE Agent Standard User o SRE Agent Reader in base alle esigenze.
Come interagiscono i ruoli
| Passo | Chi | Action |
|---|---|---|
| 1 | Tecnico (utente standard) | "Risolvere il problema di configurazione" |
| 2 | Agente | Bozza di piano di correzione |
| 3 | Agente | Non è possibile eseguire (richiede l'approvazione dell'amministratore) |
| 4 | Manager (amministratore) | Revisioni e approvazioni |
| 5 | Agente | Esegue la correzione usando l'identità gestita |