Aggiungere o rimuovere assegnazioni di ruolo di Azure usando il portale di AzureAdd or remove Azure role assignments using the Azure portal

Il controllo degli accessi in base al ruolo di Azure è il sistema di autorizzazione che si usa per gestire l'accesso alle risorse di Azure.Azure role-based access control (Azure RBAC) is the authorization system you use to manage access to Azure resources. Per concedere l'accesso, assegnare ruoli a utenti, gruppi, entità servizio o identità gestite in un ambito specifico.To grant access, you assign roles to users, groups, service principals, or managed identities at a particular scope. Questo articolo descrive come assegnare i ruoli usando il portale di Azure.Il controllo degli accessi in base al ruolo di Azure è il sistema di autorizzazione che si usa per gestire l'accesso alle risorse di Azure.Azure role-based access control (Azure RBAC) is the authorization system you use to manage access to Azure resources. Per concedere l'accesso, assegnare ruoli a utenti, gruppi, entità servizio o identità gestite in un ambito specifico.To grant access, you assign roles to users, groups, service principals, or managed identities at a particular scope. This article describes how to assign roles using the Azure portal.

Se è necessario assegnare ruoli di amministratore in Azure Active Directory, vedere visualizzare e assegnare ruoli di amministratore in Azure Active Directory.If you need to assign administrator roles in Azure Active Directory, see View and assign administrator roles in Azure Active Directory.

PrerequisitiPrerequisites

Per aggiungere o rimuovere assegnazioni di ruolo, è necessario disporre di:To add or remove role assignments, you must have:

Controllo di accesso (IAM)Access control (IAM)

Il controllo di accesso (IAM) è la pagina che in genere si usa per assegnare i ruoli per concedere l'accesso alle risorse di Azure.Access control (IAM) is the page that you typically use to assign roles to grant access to Azure resources. È noto anche come gestione delle identità e degli accessi e viene visualizzato in diverse posizioni nel portale di Azure.It's also known as identity and access management and appears in several locations in the Azure portal. Di seguito viene illustrato un esempio della pagina controllo di accesso (IAM) per una sottoscrizione.The following shows an example of the Access control (IAM) page for a subscription.

Pagina controllo di accesso (IAM) per una sottoscrizione

Per essere il più efficace con la pagina controllo di accesso (IAM), consente di eseguire la procedura seguente per assegnare un ruolo.To be the most effective with the Access control (IAM) page, it helps to follow these steps to assign a role.

  1. Determinare chi necessita di accesso.Determine who needs access. È possibile assegnare un ruolo a un utente, un gruppo, un'entità servizio o un'identità gestita.You can assign a role to a user, group, service principal, or managed identity.

  2. Trovare il ruolo appropriato.Find the appropriate role. Le autorizzazioni vengono raggruppate in ruoli.Permissions are grouped together into roles. È possibile scegliere da un elenco di diversi ruoli predefiniti di Azure oppure usare ruoli personalizzati.You can select from a list of several Azure built-in roles or you can use your own custom roles.

  3. Identificare l'ambito necessario.Identify the needed scope. Azure offre quattro livelli di ambito: gruppo di gestione, sottoscrizione, gruppo di risorsee risorsa.Azure provides four levels of scope: management group, subscription, resource group, and resource. Per altre informazioni sull'ambito, vedere Informazioni sull'ambito.For more information about scope, see Understand scope.

  4. Eseguire i passaggi in una delle sezioni seguenti per assegnare un ruolo.Perform the steps in one of the following sections to assign a role.

Aggiungi un'assegnazione di ruoloAdd a role assignment

In controllo degli accessi in base al ruolo di Azure per concedere l'accesso a una risorsa di Azure è necessario aggiungere un'assegnazione di ruoloIn Azure RBAC, to grant access to an Azure resource, you add a role assignment. Per assegnare un ruolo, seguire questa procedura.Follow these steps to assign a role.

  1. Nella portale di Azure fare clic su tutti i servizi e quindi selezionare l'ambito a cui si vuole concedere l'accesso.In the Azure portal, click All services and then select the scope that you want to grant access to. È possibile ad esempio selezionare Gruppi di gestione, Sottoscrizioni, Gruppi di risorse o una risorsa.For example, you can select Management groups, Subscriptions, Resource groups, or a resource.

  2. Fare clic sulla risorsa specifica per tale ambito.Click the specific resource for that scope.

  3. Fare clic su Controllo di accesso (IAM) .Click Access control (IAM).

  4. Fare clic sulla scheda assegnazioni di ruolo per visualizzare le assegnazioni di ruolo in questo ambito.Click the Role assignments tab to view the role assignments at this scope.

    Scheda controllo di accesso (IAM) e assegnazioni di ruolo

  5. Fare clic su Aggiungi > Aggiungi assegnazione ruolo.Click Add > Add role assignment.

    Se non si dispone delle autorizzazioni per assegnare ruoli, l'opzione Aggiungi assegnazione di ruolo verrà disabilitata.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Menu Aggiungi assegnazione di ruolo

    Viene visualizzato il riquadro Aggiungi assegnazione di ruolo.The Add role assignment pane opens.

    Riquadro Aggiungi assegnazione di ruolo

  6. Nell'elenco a discesa Ruolo selezionare un ruolo, ad esempio Collaboratore Macchina virtuale.In the Role drop-down list, select a role such as Virtual Machine Contributor.

  7. Nell'elenco Seleziona selezionare un utente, gruppo, entità servizio o identità gestita.In the Select list, select a user, group, service principal, or managed identity. Se l'entità di sicurezza non è visualizzata nell'elenco, è possibile digitare nella casella Selezione per cercare nella directory i nomi visualizzati, gli indirizzi e-mail e gli identificatori di oggetto.If you don't see the security principal in the list, you can type in the Select box to search the directory for display names, email addresses, and object identifiers.

  8. Fare clic su Salva per assegnare un ruolo.Click Save to assign the role.

    Dopo qualche istante, all'entità di sicurezza verrà assegnato il ruolo per l'ambito selezionato.After a few moments, the security principal is assigned the role at the selected scope.

    Aggiunta dell'assegnazione di ruolo salvata

Assegnare un utente come amministratore di una sottoscrizioneAssign a user as an administrator of a subscription

Per rendere un utente amministratore per una sottoscrizione di Azure, assegnargli il ruolo di Proprietario nell'ambito della sottoscrizione.To make a user an administrator of an Azure subscription, assign them the Owner role at the subscription scope. Il ruolo proprietario concede all'utente l'accesso completo a tutte le risorse nella sottoscrizione, inclusa l'autorizzazione per concedere l'accesso ad altri utenti.The Owner role gives the user full access to all resources in the subscription, including the permission to grant access to others. Questi passaggi sono gli stessi di qualsiasi altra assegnazione di ruoli.These steps are the same as any other role assignment.

  1. Nel portale di Azure fare clic su Tutti i servizi e quindi Sottoscrizioni.In the Azure portal, click All services and then Subscriptions.

  2. Fare clic sulla sottoscrizione in cui si intende concedere l'accesso.Click the subscription where you want to grant access.

  3. Fare clic su Controllo di accesso (IAM) .Click Access control (IAM).

  4. Fare clic sulla scheda assegnazioni di ruolo per visualizzare le assegnazioni di ruolo per la sottoscrizione.Click the Role assignments tab to view the role assignments for this subscription.

    Scheda controllo di accesso (IAM) e assegnazioni di ruolo

  5. Fare clic su Aggiungi > Aggiungi assegnazione ruolo.Click Add > Add role assignment.

    Se non si dispone delle autorizzazioni per assegnare ruoli, l'opzione Aggiungi assegnazione di ruolo verrà disabilitata.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Menu Aggiungi assegnazione ruolo per una sottoscrizione

    Viene visualizzato il riquadro Aggiungi assegnazione di ruolo.The Add role assignment pane opens.

    Riquadro Aggiungi assegnazione ruolo per una sottoscrizione

  6. Nell’elenco a discesa Ruolo, selezionare il ruolo Proprietario.In the Role drop-down list, select the Owner role.

  7. Nell'elenco Selezione, selezionare un utente.In the Select list, select a user. Se nell'elenco l'utente non è visualizzato, è possibile digitare nella casella Selezione per cercare nella directory i nomi visualizzati e gli indirizzi e-mail.If you don't see the user in the list, you can type in the Select box to search the directory for display names and email addresses.

  8. Fare clic su Salva per assegnare un ruolo.Click Save to assign the role.

    Dopo qualche istante, all’utente viene assegnato il ruolo di Proprietario per l'ambito della sottoscrizione.After a few moments, the user is assigned the Owner role at the subscription scope.

Aggiungere un'assegnazione di ruolo per un'identità gestita (anteprima)Add a role assignment for a managed identity (Preview)

È possibile aggiungere assegnazioni di ruolo per un'identità gestita usando la pagina controllo di accesso (IAM) come descritto in precedenza in questo articolo.You can add role assignments for a managed identity by using the Access control (IAM) page as described earlier in this article. Quando si usa la pagina controllo di accesso (IAM), si inizia con l'ambito e quindi si seleziona l'identità e il ruolo gestiti.When you use the Access control (IAM) page, you start with the scope and then select the managed identity and role. In questa sezione viene descritto un modo alternativo per aggiungere assegnazioni di ruolo per un'identità gestita.This section describes an alternate way to add role assignments for a managed identity. Utilizzando questa procedura, si inizia con l'identità gestita e quindi si selezionano l'ambito e il ruolo.Using these steps, you start with the managed identity and then select the scope and role.

Importante

L'aggiunta di un'assegnazione di ruolo per un'identità gestita usando questi passaggi alternativi è attualmente in anteprima.Adding a role assignment for a managed identity using these alternate steps is currently in preview. Questa versione di anteprima viene messa a disposizione senza contratto di servizio e non è consigliata per i carichi di lavoro di produzione.This preview version is provided without a service level agreement, and it's not recommended for production workloads. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate.Certain features might not be supported or might have constrained capabilities. Per altre informazioni, vedere Condizioni supplementari per l'utilizzo delle anteprime di Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Identità gestita assegnata dal sistemaSystem-assigned managed identity

Seguire questa procedura per assegnare un ruolo a un'identità gestita assegnata dal sistema iniziando con l'identità gestita.Follow these steps to assign a role to a system-assigned managed identity by starting with the managed identity.

  1. Nella portale di Azure aprire un'identità gestita assegnata dal sistema.In the Azure portal, open a system-assigned managed identity.

  2. Nel menu a sinistra fare clic su Identity.In the left menu, click Identity.

    Identità gestita assegnata dal sistema

  3. In autorizzazionifare clic su assegnazioni di ruolo di Azure.Under Permissions, click Azure role assignments.

    Se i ruoli sono già stati assegnati all'identità gestita assegnata dal sistema selezionata, viene visualizzato l'elenco di assegnazioni di ruolo.If roles are already assigned to the selected system-assigned managed identity, you see the list of role assignments. Questo elenco include tutte le assegnazioni di ruolo per le quali si dispone dell'autorizzazione di lettura.This list includes all role assignments you have permission to read.

    Assegnazioni di ruolo per un'identità gestita assegnata dal sistema

  4. Per modificare la sottoscrizione, fare clic sull'elenco sottoscrizione .To change the subscription, click the Subscription list.

  5. Fare clic su Aggiungi assegnazione ruolo (anteprima).Click Add role assignment (Preview).

  6. Usare gli elenchi a discesa per selezionare il set di risorse a cui si applica l'assegnazione di ruolo, ad esempio sottoscrizione, gruppo di risorseo risorsa.Use the drop-down lists to select the set of resources that the role assignment applies to such as Subscription, Resource group, or resource.

    Se non si dispone delle autorizzazioni di scrittura per l'assegnazione di ruolo per l'ambito selezionato, verrà visualizzato un messaggio inline.If you don't have role assignment write permissions for the selected scope, an inline message will be displayed.

  7. Nell'elenco a discesa Ruolo selezionare un ruolo, ad esempio Collaboratore Macchina virtuale.In the Role drop-down list, select a role such as Virtual Machine Contributor.

    Riquadro Aggiungi assegnazione ruolo per identità gestita assegnata dal sistema

  8. Fare clic su Salva per assegnare un ruolo.Click Save to assign the role.

    Dopo alcuni istanti, l'identità gestita viene assegnata al ruolo nell'ambito selezionato.After a few moments, the managed identity is assigned the role at the selected scope.

Identità gestita assegnata dall'utenteUser-assigned managed identity

Seguire questa procedura per assegnare un ruolo a un'identità gestita assegnata dall'utente iniziando con l'identità gestita.Follow these steps to assign a role to a user-assigned managed identity by starting with the managed identity.

  1. Nella portale di Azure aprire un'identità gestita assegnata dall'utente.In the Azure portal, open a user-assigned managed identity.

  2. Nel menu a sinistra fare clic su assegnazioni di ruolo di Azure.In the left menu, click Azure role assignments.

    Se i ruoli sono già stati assegnati all'identità gestita assegnata dall'utente selezionata, viene visualizzato l'elenco di assegnazioni di ruolo.If roles are already assigned to the selected user-assigned managed identity, you see the list of role assignments. Questo elenco include tutte le assegnazioni di ruolo per le quali si dispone dell'autorizzazione di lettura.This list includes all role assignments you have permission to read.

    Assegnazioni di ruolo per un'identità gestita assegnata dall'utente

  3. Per modificare la sottoscrizione, fare clic sull'elenco sottoscrizione .To change the subscription, click the Subscription list.

  4. Fare clic su Aggiungi assegnazione ruolo (anteprima).Click Add role assignment (Preview).

  5. Usare gli elenchi a discesa per selezionare il set di risorse a cui si applica l'assegnazione di ruolo, ad esempio sottoscrizione, gruppo di risorseo risorsa.Use the drop-down lists to select the set of resources that the role assignment applies to such as Subscription, Resource group, or resource.

    Se non si dispone delle autorizzazioni di scrittura per l'assegnazione di ruolo per l'ambito selezionato, verrà visualizzato un messaggio inline.If you don't have role assignment write permissions for the selected scope, an inline message will be displayed.

  6. Nell'elenco a discesa Ruolo selezionare un ruolo, ad esempio Collaboratore Macchina virtuale.In the Role drop-down list, select a role such as Virtual Machine Contributor.

    Riquadro Aggiungi assegnazione ruolo per un'identità gestita assegnata dall'utente

  7. Fare clic su Salva per assegnare un ruolo.Click Save to assign the role.

    Dopo alcuni istanti, l'identità gestita viene assegnata al ruolo nell'ambito selezionato.After a few moments, the managed identity is assigned the role at the selected scope.

Rimuovere un'assegnazione di ruoloRemove a role assignment

In controllo degli accessi in base al ruolo di Azure è possibile rimuovere un'assegnazione di ruolo.In Azure RBAC, to remove access from an Azure resource, you remove a role assignment. Per rimuovere un'assegnazione di ruolo, attenersi alla seguente procedura.Follow these steps to remove a role assignment.

  1. Aprire Controllo di accesso (IAM) sull'ambito, come gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa, in cui si intende rimuovere l'accesso.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to remove access.

  2. Fare clic sulla scheda Assegnazioni di ruolo per visualizzare tutte le assegnazioni di ruolo in questa sottoscrizione.Click the Role assignments tab to view all the role assignments for this subscription.

  3. Nell'elenco delle assegnazioni di ruolo aggiungere un segno di spunta accanto all'entità di sicurezza con l'assegnazione di ruolo che si vuole rimuovere.In the list of role assignments, add a checkmark next to the security principal with the role assignment you want to remove.

    Assegnazione di ruolo selezionata per la rimozione

  4. Scegliere Rimuovi.Click Remove.

    Messaggio di rimozione assegnazione di ruolo

  5. Nella finestra con il messaggio di rimozione dell'assegnazione di ruolo fare clic su .In the remove role assignment message that appears, click Yes.

    Se viene visualizzato un messaggio in cui non è possibile rimuovere le assegnazioni di ruolo ereditate, si sta tentando di rimuovere un'assegnazione di ruolo in un ambito figlio.If you see a message that inherited role assignments cannot be removed, you are trying to remove a role assignment at a child scope. È necessario aprire il controllo di accesso (IAM) nell'ambito in cui è stato assegnato il ruolo e riprovare.You should open Access control (IAM) at the scope where the role was assigned and try again. Un modo rapido per aprire il controllo di accesso (IAM) nell'ambito corretto consiste nell'esaminare la colonna ambito e fare clic sul collegamento accanto a (ereditato).A quick way to open Access control (IAM) at the correct scope is to look at the Scope column and click the link next to (Inherited).

    Rimuovere un messaggio di assegnazione di ruolo per le assegnazioni di ruolo ereditate

Passaggi successiviNext steps