سرد تعيينات دور Azure باستخدام مدخل Azure

  • مقالة
  • قراءة خلال 5 دقائق

Azure role based access control (Azure RBAC) هو نظام التخويل الذي تستخدمه لإدارة الوصول إلى موارد Azure. لتحديد الموارد التي يمكن للمستخدمين أو المجموعات أو مديري الخدمات أو الهويات المدارة الوصول إليها، يمكنك إدراج تعيينات الأدوار الخاصة بهم. توضح هذه المقالة كيفية سرد تعيينات الأدوار باستخدام مدخل Azure.

ملاحظة

إذا كانت مؤسستك قد قامت بإسناد وظائف الإدارة إلى موفر خدمة خارجي يستخدم Azure Lighthouse، فلن يتم عرض تعيينات الأدوار المسموح بها من قبل موفر الخدمة هذا هنا.

سرد تعيينات الأدوار لمستخدم أو مجموعة

تتمثل إحدى الطرق السريعة لرؤية الأدوار المعينة لمستخدم أو مجموعة في اشتراك في استخدام جزء تعيينات دور Azure .

  1. في مدخل Azure، حدد كافة الخدمات من قائمة مدخل Azure.

  2. حدد Azure Active Directory ثم حدد المستخدمون أو المجموعات.

  3. انقر فوق المستخدم أو المجموعة التي تريد إدراج تعيينات الأدوار لها.

  4. انقر فوق تعيينات دور Azure.

    سترى قائمة بالأدوار المعينة للمستخدم أو المجموعة المحددة في نطاقات مختلفة مثل مجموعة الإدارة أو الاشتراك أو مجموعة الموارد أو المورد. تتضمن هذه القائمة جميع تعيينات الأدوار التي لديك إذن لقراءتها.

    Role assignments for a user

  5. لتغيير الاشتراك، انقر فوق قائمة الاشتراكات .

قائمة مالكي الاشتراك

يمكن للمستخدمين الذين تم تعيينهم لدور المالك للاشتراك إدارة كل شيء في الاشتراك. اتبع هذه الخطوات لإدراج مالكي الاشتراك.

  1. في مدخل Azure، انقر فوق كافة الخدمات ثم فوق الاشتراكات.

  2. انقر على الاشتراك الذي تريد إدراج أصحابه.

  3. انقر فوق ⁧⁩Access control (IAM)⁦⁩⁩.

  4. انقر فوق علامة التبويب تعيينات الدور لعرض كافة تعيينات الأدوار لهذا الاشتراك.

  5. مرر إلى قسم المالكين للاطلاع على جميع المستخدمين الذين تم تعيينهم لدور المالك لهذا الاشتراك.

    Subscription Access control - Role assignments tab

سرد تعيينات الأدوار في نطاق

  1. في مدخل Azure، انقر فوق كافة الخدمات ثم حدد النطاق. على سبيل المثال، يمكنك تحديد مجموعات الإدارة أو الاشتراكات أو مجموعات الموارد أو مورد.

  2. انقر فوق المورد المحدد.

  3. انقر فوق ⁧⁩Access control (IAM)⁦⁩⁩.

  4. انقر فوق علامة التبويب تعيينات الدور لعرض كافة تعيينات الأدوار في هذا النطاق.

    Access control - Role assignments tab

    في علامة التبويب تعيينات الدور، يمكنك معرفة من لديه حق الوصول في هذا النطاق. لاحظ أن بعض الأدوار يتم تحديد نطاقها إلى هذا المورد بينما يتم (توريث) أدوار أخرى من نطاق آخر. يتم تعيين الوصول إما خصيصا لهذا المورد أو موروث من تعيين إلى النطاق الأصل.

سرد تعيينات الأدوار لمستخدم في نطاق

لإدراج حق الوصول لمستخدم أو مجموعة أو أصل خدمة أو هوية مدارة، يمكنك إدراج تعيينات الأدوار الخاصة بهم. اتبع هذه الخطوات لسرد تعيينات الأدوار لمستخدم واحد أو مجموعة أو مدير خدمة أو هوية مدارة في نطاق معين.

  1. في مدخل Azure، انقر فوق كافة الخدمات ثم حدد النطاق. على سبيل المثال، يمكنك تحديد مجموعات الإدارة أو الاشتراكات أو مجموعات الموارد أو مورد.

  2. انقر فوق المورد المحدد.

  3. انقر فوق ⁧⁩Access control (IAM)⁦⁩⁩.

  4. انقر فوق علامة التبويب التحقق من الوصول.

    Resource group access control - Check access tab

  5. في القائمة بحث ، حدد المستخدم أو المجموعة أو أصل الخدمة أو الهوية المدارة التي تريد التحقق من الوصول إليها.

  6. في مربع البحث، أدخل سلسلة للبحث في الدليل عن أسماء العرض أو عناوين البريد الإلكتروني أو معرفات الكائنات.

    Check access select list

  7. انقر فوق أساس الأمان لفتح جزء التعيينات.

    في هذا الجزء، يمكنك الاطلاع على إمكانية الوصول إلى أساس الأمان المحدد في هذا النطاق، والذي تم توريثه لهذا النطاق. لم يتم سرد التعيينات في نطاقات تابعة. توجد التعيينات التالية:

    • تعيينات الدور المضافة مع Azure RBAC.
    • تعيينات الرفض المضافة باستخدام مخططات Azure أو التطبيقات المدارة من Azure.
    • تعيينات مسؤول الخدمة الكلاسيكي أو المسؤول المشارك لعمليات النشر الكلاسيكية.

    assignments pane

سرد تعيينات الأدوار لهوية مدارة

يمكنك سرد تعيينات الأدوار للهويات المدارة المعينة من قبل النظام والمعينة من قبل المستخدم في نطاق معين باستخدام الشفرة النصلية للتحكم في الوصول (IAM) كما هو موضح سابقا. يصف هذا القسم كيفية سرد تعيينات الأدوار للهوية المدارة فقط.

الهوية المُدارة التي يُعيّنها النظام

  1. في مدخل Azure، افتح هوية مدارة معينة من قبل النظام.

  2. في القائمة اليمنى، انقر على الهوية.

    System-assigned managed identity

  3. ضمن أذونات، انقر فوق تعيينات دور Azure.

    سترى قائمة بالأدوار المعينة للهوية المدارة المعينة من قبل النظام المحدد في نطاقات مختلفة مثل مجموعة الإدارة أو الاشتراك أو مجموعة الموارد أو المورد. تتضمن هذه القائمة جميع تعيينات الأدوار التي لديك إذن لقراءتها.

    Role assignments for a system-assigned managed identity

  4. لتغيير الاشتراك، انقر فوق قائمة الاشتراك .

الهوية المُدارة التي يعيّنها المُستخدم

  1. في مدخل Azure، افتح هوية مدارة معينة من قبل المستخدم.

  2. انقر فوق تعيينات دور Azure.

    سترى قائمة بالأدوار المعينة للهوية المدارة المعينة من قبل المستخدم المحدد في نطاقات مختلفة مثل مجموعة الإدارة أو الاشتراك أو مجموعة الموارد أو المورد. تتضمن هذه القائمة جميع تعيينات الأدوار التي لديك إذن لقراءتها.

    Screenshot that shows role assignments for a user-assigned managed identity.

  3. لتغيير الاشتراك، انقر فوق قائمة الاشتراك .

سرد عدد تعيينات الأدوار

يمكنك الحصول على ما يصل إلى 2000 تعيين دور في كل اشتراك. يتضمن هذا الحد تعيينات الأدوار في الاشتراك ومجموعة الموارد ونطاقات الموارد. لمساعدتك في تعقب هذا الحد، تتضمن علامة التبويب تعيينات الدور مخططا يسرد عدد تعيينات الأدوار للاشتراك الحالي.

يتم حاليًا زيادة حد تعيينات الأدوار للاشتراك. للحصول على مزيدٍ من المعلومات، راجع استكشاف أخطاء Azure RBAC وإصلاحها.

Access control - Number of role assignments chart

إذا كنت تقترب من الحد الأقصى للعدد وحاولت إضافة المزيد من تعيينات الأدوار، فسترى تحذيرا في جزء إضافة تعيين دور . للحصول على الطرق التي يمكنك من خلالها تقليل عدد تعيينات الأدوار، راجع استكشاف أخطاء Azure RBAC وإصلاحها.

Access control - Add role assignment warning

تَنزيل تعيينات الدور

يمكنك تنزيل تعيينات الأدوار في نطاق بتنسيقات CSV أو JSON. قد يكون هذا مفيدا إذا كنت بحاجة إلى فحص القائمة في جدول بيانات أو إجراء مخزون عند ترحيل اشتراك.

عند تنزيل تعيينات الأدوار، يجب أن تضع في اعتبارك المعايير التالية:

  • إذا لم يكن لديك أذونات لقراءة الدليل، مثل دور "قراء الدليل"، فستكون أعمدة DisplayName وSignInName وObjectType فارغة.
  • لا يتم تضمين تعيينات الأدوار التي تم حذف مبدأ الأمان الخاص بها.
  • لا يتم تضمين الوصول الممنوح للمسؤولين الكلاسيكيين.

اتبع هذه الخطوات لتنزيل تعيينات الأدوار في نطاق.

  1. في مدخل Azure، انقر فوق كافة الخدمات ، ثم حدد النطاق الذي تريد تنزيل تعيينات الأدوار فيه. على سبيل المثال، يمكنك تحديد مجموعات الإدارة أو الاشتراكات أو مجموعات الموارد أو مورد.

  2. انقر فوق المورد المحدد.

  3. انقر فوق ⁧⁩Access control (IAM)⁦⁩⁩.

  4. انقر فوق تنزيل تعيينات الأدوار لفتح جزء تنزيل تعيينات الأدوار.

    Access control - Download role assignments

  5. استخدم خانات الاختيار لتحديد تعيينات الأدوار التي تريد تضمينها في الملف الذي تم تنزيله.

    • الموروثة - قم بتضمين تعيينات الأدوار الموروثة للنطاق الحالي.
    • في النطاق الحالي - قم بتضمين تعيينات الأدوار للنطاق الحالي.
    • الأطفال - قم بتضمين مهام الأدوار على مستويات أقل من النطاق الحالي. تم تعطيل خانة الاختيار هذه لنطاق مجموعة الإدارة.

  6. حدد تنسيق الملف، والذي يمكن أن يكون قيما مفصولة بفواصل (CSV) أو تدوين كائن جافا سكريبت (JSON).

  7. حدد اسم الملف.

  8. انقر فوق ابدأ لبدء التنزيل.

    فيما يلي أمثلة على الإخراج لكل تنسيق ملف.

    Download role assignments as CSV

    Screenshot of the downloaded role assignments as in JSON format.

الخطوات التالية