Aggiungere o rimuovere assegnazioni di ruolo usando RBAC di Azure e il portale di AzureAdd or remove role assignments using Azure RBAC and the Azure portal

Il controllo degli accessi in base al ruolo (RBAC) di Azure è il sistema di autorizzazione usato per gestire l'accesso alle risorse di Azure.Azure role-based access control (RBAC) is the authorization system you use to manage access to Azure resources. Per concedere l'accesso, assegnare i ruoli a utenti, gruppi, entità servizio o identità gestite in un ambito specifico.To grant access, you assign roles to users, groups, service principals, or managed identities at a particular scope. questo articolo descrive come assegnare i ruoli usando il portale di Azure.Il controllo degli accessi in base al ruolo (RBAC) di Azure è il sistema di autorizzazione usato per gestire l'accesso alle risorse di Azure.Azure role-based access control (RBAC) is the authorization system you use to manage access to Azure resources. Per concedere l'accesso, assegnare i ruoli a utenti, gruppi, entità servizio o identità gestite in un ambito specifico.To grant access, you assign roles to users, groups, service principals, or managed identities at a particular scope. This article describes how to assign roles using the Azure portal.

Se è necessario assegnare ruoli di amministratore in Azure Active Directory, vedere visualizzare e assegnare ruoli di amministratore in Azure Active Directory.If you need to assign administrator roles in Azure Active Directory, see View and assign administrator roles in Azure Active Directory.

PrerequisitiPrerequisites

Per aggiungere o rimuovere assegnazioni di ruolo, è necessario disporre di:To add or remove role assignments, you must have:

Panoramica di controllo di accesso (IAM)Overview of Access control (IAM)

Il controllo di accesso (IAM) è il pannello usato per assegnare i ruoli.Access control (IAM) is the blade that you use to assign roles. È noto anche come gestione delle identità e degli accessi e viene visualizzato in diverse posizioni nel portale di Azure.It's also known as identity and access management and appears in several locations in the Azure portal. Di seguito viene riportato un esempio del pannello Controllo di accesso (IAM) per una sottoscrizione.The following shows an example of the Access control (IAM) blade for a subscription.

Pannello Controllo di accesso (IAM) per una sottoscrizione

Per essere il più efficace con il pannello controllo di accesso (IAM), consente di rispondere alle tre domande seguenti quando si tenta di assegnare un ruolo:To be the most effective with the Access control (IAM) blade, it helps if you can answer the following three questions when you are trying to assign a role:

  1. Chi deve accedere?Who needs access?

    Che fa riferimento a un utente, un gruppo, un'entità servizio o un'identità gestita.Who refers to a user, group, service principal, or managed identity. Questa operazione è detta anche entità di sicurezza.This is also called a security principal.

  2. Quale ruolo è necessario?What role do they need?

    Le autorizzazioni vengono raggruppate in ruoli.Permissions are grouped together into roles. È possibile scegliere da un elenco di diversi ruoli predefiniti oppure usare ruoli personalizzati.You can select from a list of several built-in roles or you use your own custom roles.

  3. Dove è necessario accedere?Where do they need access?

    Dove si riferisce al set di risorse a cui viene applicato l'accesso.Where refers to the set of resources that the access applies to. Dove può essere un gruppo di gestione, una sottoscrizione, un gruppo di risorse o una singola risorsa, ad esempio un account di archiviazione.Where can be a management group, subscription, resource group, or a single resource such as a storage account. Questa operazione viene definita ambito.This is called the scope.

Aggiungi un'assegnazione di ruoloAdd a role assignment

Attenersi alla procedura seguente per assegnare un ruolo a ambiti diversi.Follow these steps to assign a role at different scopes.

  1. Nella portale di Azure fare clic su tutti i servizi e quindi selezionare l'ambito.In the Azure portal, click All services and then select the scope. È possibile ad esempio selezionare Gruppi di gestione, Sottoscrizioni, Gruppi di risorse o una risorsa.For example, you can select Management groups, Subscriptions, Resource groups, or a resource.

  2. Fare clic sulla risorsa specifica.Click the specific resource.

  3. Fare clic su Controllo di accesso (IAM) .Click Access control (IAM).

  4. Fare clic sulla scheda Assegnazioni di ruolo per visualizzare tutte le assegnazioni di ruolo in questo ambito.Click the Role assignments tab to view all the role assignments at this scope.

  5. Fare clic su Aggiungi > Aggiungi assegnazione di ruolo per aprire il riquadro Aggiungi assegnazione di ruolo.Click Add > Add role assignment to open the Add role assignment pane.

    Se non si dispone delle autorizzazioni per assegnare ruoli, l'opzione Aggiungi assegnazione di ruolo verrà disabilitata.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Menu Aggiungi

    Riquadro Aggiungi assegnazione di ruolo

  6. Nell'elenco a discesa Ruolo selezionare un ruolo, ad esempio Collaboratore Macchina virtuale.In the Role drop-down list, select a role such as Virtual Machine Contributor.

  7. Nell'elenco Seleziona selezionare un utente, gruppo, entità servizio o identità gestita.In the Select list, select a user, group, service principal, or managed identity. Se l'entità di sicurezza non è visualizzata nell'elenco, è possibile digitare nella casella Selezione per cercare nella directory i nomi visualizzati, gli indirizzi e-mail e gli identificatori di oggetto.If you don't see the security principal in the list, you can type in the Select box to search the directory for display names, email addresses, and object identifiers.

  8. Fare clic su Salva per assegnare un ruolo.Click Save to assign the role.

    Dopo qualche istante, all'entità di sicurezza verrà assegnato il ruolo per l'ambito selezionato.After a few moments, the security principal is assigned the role at the selected scope.

Assegnare un utente come amministratore di una sottoscrizioneAssign a user as an administrator of a subscription

Per rendere un utente amministratore per una sottoscrizione di Azure, assegnargli il ruolo di Proprietario nell'ambito della sottoscrizione.To make a user an administrator of an Azure subscription, assign them the Owner role at the subscription scope. Il ruolo proprietario concede all'utente l'accesso completo a tutte le risorse nella sottoscrizione, inclusa l'autorizzazione per concedere l'accesso ad altri utenti.The Owner role gives the user full access to all resources in the subscription, including the permission to grant access to others. Questi passaggi sono gli stessi di qualsiasi altra assegnazione di ruoli.These steps are the same as any other role assignment.

  1. Nel portale di Azure fare clic su Tutti i servizi e quindi Sottoscrizioni.In the Azure portal, click All services and then Subscriptions.

  2. Fare clic sulla sottoscrizione in cui si desidera aggiungere un'assegnazione di ruolo.Click the subscription where you want to add a role assignment.

  3. Fare clic su Controllo di accesso (IAM) .Click Access control (IAM).

  4. Fare clic sulla scheda Assegnazioni di ruolo per visualizzare tutte le assegnazioni di ruolo in questa sottoscrizione.Click the Role assignments tab to view all the role assignments for this subscription.

  5. Fare clic su Aggiungi > Aggiungi assegnazione di ruolo per aprire il riquadro Aggiungi assegnazione di ruolo.Click Add > Add role assignment to open the Add role assignment pane.

    Se non si dispone delle autorizzazioni per assegnare ruoli, l'opzione Aggiungi assegnazione di ruolo verrà disabilitata.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Menu Aggiungi

    Riquadro Aggiungi assegnazione di ruolo

  6. Nell’elenco a discesa Ruolo, selezionare il ruolo Proprietario.In the Role drop-down list, select the Owner role.

  7. Nell'elenco Selezione, selezionare un utente.In the Select list, select a user. Se nell'elenco l'utente non è visualizzato, è possibile digitare nella casella Selezione per cercare nella directory i nomi visualizzati e gli indirizzi e-mail.If you don't see the user in the list, you can type in the Select box to search the directory for display names and email addresses.

  8. Fare clic su Salva per assegnare un ruolo.Click Save to assign the role.

    Dopo qualche istante, all’utente viene assegnato il ruolo di Proprietario per l'ambito della sottoscrizione.After a few moments, the user is assigned the Owner role at the subscription scope.

Rimuovere un'assegnazione di ruoloRemove a role assignment

Per rimuovere un accesso mediante il controllo degli accessi in base al ruolo, si rimuove un'assegnazione di ruolo.In RBAC, to remove access, you remove a role assignment. Per rimuovere un'assegnazione di ruolo, attenersi alla seguente procedura.Follow these steps to remove a role assignment.

  1. Aprire Controllo di accesso (IAM) sull'ambito, come gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa, in cui si intende rimuovere l'accesso.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to remove access.

  2. Fare clic sulla scheda Assegnazioni di ruolo per visualizzare tutte le assegnazioni di ruolo in questa sottoscrizione.Click the Role assignments tab to view all the role assignments for this subscription.

  3. Nell'elenco delle assegnazioni di ruolo aggiungere un segno di spunta accanto all'entità di sicurezza con l'assegnazione di ruolo che si vuole rimuovere.In the list of role assignments, add a checkmark next to the security principal with the role assignment you want to remove.

    Messaggio di rimozione assegnazione di ruolo

  4. Fare clic su Rimuovi.Click Remove.

    Messaggio di rimozione assegnazione di ruolo

  5. Nella finestra con il messaggio di rimozione dell'assegnazione di ruolo fare clic su .In the remove role assignment message that appears, click Yes.

    Le assegnazioni di ruolo ereditate non possono essere rimosse.Inherited role assignments cannot be removed. Per rimuovere un'assegnazione di ruolo ereditata, è necessario eseguire questa operazione nell'ambito di creazione dell'assegnazione di ruolo.If you need to remove an inherited role assignment, you must do it at the scope where the role assignment was created. Nella colonna Ambito, accanto a (ereditato) è presente un collegamento che consente di passare all'ambito in cui è stato assegnato questo ruolo.In the Scope column, next to (Inherited) there is a link that takes you to the scope where this role was assigned. Passare all'ambito indicato nell'elenco per rimuovere l'assegnazione di ruolo.Go to the scope listed there to remove the role assignment.

    Messaggio di rimozione assegnazione di ruolo

Passaggi successiviNext steps