Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal
Kontrola dostępu oparta na rolach (RBAC) platformy Azure to system autoryzacji używany do zarządzania dostępem do zasobów platformy Azure. Aby udzielić dostępu, należy przypisać role do użytkowników, grup, jednostek usług lub tożsamości zarządzanych w określonym zakresie. W tym artykule opisano sposób przypisywania ról przy użyciu witryny Azure Portal.
Jeśli musisz przypisać role administratora w usłudze Microsoft Entra ID, zobacz Przypisywanie ról entra firmy Microsoft do użytkowników.
Wymagania wstępne
Aby przypisać role platformy Azure, musisz mieć:
Microsoft.Authorization/roleAssignments/write
uprawnienia, takie jak kontrola dostępu oparta na rolach Administracja istrator lub Administracja istrator dostępu użytkowników
Krok 1. Identyfikowanie wymaganego zakresu
Podczas przypisywania ról należy określić zakres. Zakres to zestaw zasobów, którego dotyczy dostęp. Na platformie Azure można określić zakres na czterech poziomach od szerokiego do wąskiego: grupy zarządzania, subskrypcji, grupy zasobów i zasobu. Aby uzyskać więcej informacji, zobacz Omówienie zakresu.
Zaloguj się w witrynie Azure Portal.
W polu Wyszukaj u góry wyszukaj zakres, do którego chcesz udzielić dostępu. Na przykład wyszukaj grupy zarządzania, subskrypcje, grupy zasobów lub konkretny zasób.
Kliknij konkretny zasób dla tego zakresu.
Poniżej przedstawiono przykładową grupę zasobów.
Krok 2. Otwieranie okna Dodaj przypisanie roli
Kontrola dostępu (IAM) to strona, która jest zwykle używana do przypisywania ról w celu udzielenia dostępu do zasobów platformy Azure. Jest ona również znana jako zarządzanie tożsamościami i dostępem (IAM) i jest wyświetlana w kilku lokalizacjach w witrynie Azure Portal.
Kliknij pozycję Kontrola dostępu (IAM).
Poniżej przedstawiono przykład strony Kontrola dostępu (IAM) dla grupy zasobów.
Kliknij kartę Przypisania ról, aby wyświetlić przypisania ról w tym zakresie.
Kliknij pozycję Dodaj>przypisanie roli.
Jeśli nie masz uprawnień do przypisywania ról, opcja Dodaj przypisanie roli będzie wyłączona.
Zostanie otworzona strona Dodawanie przypisania roli.
Krok 3. Wybieranie odpowiedniej roli
Na karcie Rola wybierz rolę, której chcesz użyć.
Rolę można wyszukać według nazwy lub opisu. Role można również filtrować według typu i kategorii.
Jeśli chcesz przypisać rolę administratora uprzywilejowanego, wybierz kartę Role administratora uprzywilejowanego, aby wybrać rolę.
Aby uzyskać najlepsze rozwiązania dotyczące używania przypisań ról administratora uprzywilejowanego, zobacz Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach platformy Azure.
W kolumnie Szczegóły kliknij pozycję Widok , aby uzyskać więcej szczegółów na temat roli.
Kliknij przycisk Dalej.
Krok 4. Wybieranie, kto potrzebuje dostępu
Na karcie Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi, aby przypisać wybraną rolę do użytkownika, grupy lub jednostki usługi (aplikacji) usługi Microsoft Entra.
Kliknij pozycję Wybierz członków.
Znajdź i wybierz użytkowników, grupy lub jednostki usługi.
Możesz skorzystać z pola Wybierz, aby wyszukać w katalogu nazwę wyświetlaną lub adres e-mail.
Kliknij pozycję Wybierz , aby dodać użytkowników, grupy lub jednostki usługi do listy Członkowie.
Aby przypisać wybraną rolę do przynajmniej jednej tożsamości zarządzanej, wybierz pozycję Tożsamość zarządzana.
Kliknij pozycję Wybierz członków.
W okienku Wybieranie tożsamości zarządzanej wybierz typ: tożsamość zarządzana przypisana przez użytkownika lub tożsamość zarządzana przypisana przez system.
Znajdź i wybierz tożsamości zarządzane.
W przypadku tożsamości zarządzanych przypisanych przez system możesz wybrać tożsamości zarządzane według wystąpienia usługi platformy Azure.
Kliknij pozycję Wybierz , aby dodać tożsamości zarządzane do listy Członkowie.
W polu Opis wprowadź opcjonalny opis tego przypisania roli.
Później możesz pokazać ten opis na liście przypisań ról.
Kliknij przycisk Dalej.
Krok 5. (Opcjonalnie) Dodawanie warunku
Jeśli wybrano rolę, która obsługuje warunki, zostanie wyświetlona karta Warunki i będzie dostępna opcja dodania warunku do przypisania roli. Warunek to dodatkowy element kontroli, który można opcjonalnie dodać do przypisania roli w celu zapewnienia bardziej precyzyjnej kontroli dostępu.
Karta Warunki będzie wyglądać inaczej w zależności od wybranej roli.
Ważne
Delegowanie zarządzania przypisaniami ról platformy Azure przy użyciu warunków jest obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta lub wersji zapoznawczej albo w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.
Jeśli wybrano jedną z następujących ról uprzywilejowanych, wykonaj kroki opisane w tej sekcji.
- Właściciel
- Administracja istrator kontroli dostępu opartej na rolach
- Administrator dostępu użytkowników
Na karcie Warunki w obszarze Co użytkownik może zrobić, wybierz opcję Zezwalaj użytkownikowi na przypisywanie wybranych ról tylko do wybranych podmiotów zabezpieczeń (mniej uprawnień).
Kliknij pozycję Wybierz role i podmioty zabezpieczeń, aby dodać warunek ograniczający role i podmioty zabezpieczeń, do których ten użytkownik może przypisać role.
Wykonaj kroki opisane w artykule Delegowanie zarządzania przypisaniem ról platformy Azure do innych osób z warunkami.
Krok 6. Przypisz rolę
Na karcie Przejrzyj i przypisz przejrzyj ustawienia przypisania roli.
Kliknij pozycję Przejrzyj i przypisz , aby przypisać rolę.
Po kilku chwilach podmiotowi zabezpieczeń zostanie przypisana rola w wybranym zakresie.
Jeśli nie widzisz opisu przypisania roli, kliknij pozycję Edytuj kolumny , aby dodać kolumnę Opis .