Kroki przypisywania roli platformy Azure

Kontrola dostępu oparta na rolach (RBAC) platformy Azure to system autoryzacji używany do zarządzania dostępem do zasobów platformy Azure. Aby udzielić dostępu, należy przypisać role do użytkowników, grup, jednostek usług lub tożsamości zarządzanych w określonym zakresie. W tym artykule opisano ogólne kroki przypisywania ról platformy Azure przy użyciu witryny Azure Portal, programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST.

Krok 1. Określanie, kto potrzebuje dostępu

Najpierw należy określić, kto potrzebuje dostępu. Rolę można przypisać do użytkownika, grupy, jednostki usługi lub tożsamości zarządzanej. Jest to również nazywane podmiotem zabezpieczeń.

Security principal for a role assignment

  • Użytkownik — osoba, która ma profil w usłudze Microsoft Entra ID. Można również przypisywać role do użytkowników w innych dzierżawach. Aby uzyskać informacje o użytkownikach w innych organizacjach, zobacz Microsoft Entra B2B.
  • Grupa — zestaw użytkowników utworzonych w usłudze Microsoft Entra ID. W przypadku przypisania roli do grupy wszyscy użytkownicy w grupie otrzymają tę rolę.
  • Jednostka usługi — tożsamość zabezpieczeń używana przez aplikacje lub usługi w celu uzyskania dostępu do określonych zasobów platformy Azure. Można traktować ją jako odpowiednik tożsamości użytkownika (nazwy użytkownika i hasła lub certyfikatu) w przypadku aplikacji.
  • Tożsamość zarządzana — tożsamość w identyfikatorze Entra firmy Microsoft, która jest automatycznie zarządzana przez platformę Azure. Tożsamości zarządzanych używa się zazwyczaj podczas tworzenia aplikacji w chmurze w celu zarządzania poświadczeniami do uwierzytelniania w usługach platformy Azure.

Krok 2. Wybieranie odpowiedniej roli

Uprawnienia są grupowane razem w definicję roli. Zazwyczaj jest to rola nazywana tylko rolą. Możesz wybrać z listy kilku wbudowanych ról. Jeśli role wbudowane nie spełniają potrzeb Twojej organizacji, możesz tworzyć własne role niestandardowe.

Role definition for a role assignment

Role są zorganizowane w role funkcji zadań i uprzywilejowane role administratora.

Role funkcji zadania

Role funkcji zadania umożliwiają zarządzanie określonymi zasobami platformy Azure. Na przykład rola współautora maszyny wirtualnej umożliwia użytkownikowi tworzenie maszyn wirtualnych i zarządzanie nimi. Aby wybrać odpowiednią rolę funkcji zadania, wykonaj następujące kroki:

  1. Zacznij od kompleksowego artykułu Wbudowane role platformy Azure. Tabela w górnej części artykułu jest indeksem szczegółów w dalszej części artykułu.

  2. W tym artykule przejdź do kategorii usługi (takiej jak obliczenia, magazyn i bazy danych) dla zasobu, do którego chcesz udzielić uprawnień. Najprostszym sposobem znalezienia szukanego słowa kluczowego jest zwykle wyszukanie odpowiedniego słowa kluczowego, takiego jak "blob", "maszyna wirtualna" itd.

  3. Przejrzyj role wymienione dla kategorii usługi i zidentyfikuj potrzebne akcje. Ponownie zawsze zaczynaj się od najbardziej restrykcyjnej roli.

    Jeśli na przykład podmiot zabezpieczeń musi odczytywać obiekty blob na koncie usługi Azure Storage, ale nie potrzebuje dostępu do zapisu, wybierz pozycję Czytelnik danych obiektu blob usługi Storage, a nie współautor danych obiektu blob usługi Storage (a na pewno nie rola właściciela danych obiektu blob usługi Storage na poziomie administratora). W razie potrzeby zawsze można zaktualizować przypisania ról.

  4. Jeśli nie znajdziesz odpowiedniej roli, możesz utworzyć rolę niestandardową.

Role administratora uprzywilejowanego

Role administratora uprzywilejowanego to role, które udzielają uprzywilejowanego dostępu administratora, takie jak możliwość zarządzania zasobami platformy Azure lub przypisywania ról innym użytkownikom. Następujące role są uznawane za uprzywilejowane i stosowane do wszystkich typów zasobów.

Rola na platformie Azure Uprawnienia
Właściciel
  • Udziela pełnego dostępu do zarządzania wszystkimi zasobami
  • Przypisywanie ról w kontroli dostępu opartej na rolach platformy Azure
Współautor
  • Udziela pełnego dostępu do zarządzania wszystkimi zasobami
  • Nie można przypisać ról w kontroli dostępu opartej na rolach platformy Azure
  • Nie można zarządzać przypisaniami w usłudze Azure Blueprints ani udostępniać galerii obrazów
Administracja istrator kontroli dostępu opartej na rolach
  • Zarządzanie dostępem użytkowników do zasobów platformy Azure
  • Przypisywanie ról w kontroli dostępu opartej na rolach platformy Azure
  • Przypisywanie sobie lub innym osobom roli Właściciel
  • Nie można zarządzać dostępem przy użyciu innych sposobów, takich jak usługa Azure Policy
Administrator dostępu użytkowników
  • Zarządzanie dostępem użytkowników do zasobów platformy Azure
  • Przypisywanie ról w kontroli dostępu opartej na rolach platformy Azure
  • Przypisywanie sobie lub innym osobom roli Właściciel

Aby uzyskać najlepsze rozwiązania dotyczące używania przypisań ról administratora uprzywilejowanego, zobacz Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach platformy Azure. Aby uzyskać więcej informacji, zobacz Definicja roli administratora uprzywilejowanego.

Krok 3. Identyfikowanie wymaganego zakresu

Zakres to zestaw zasobów, w ramach którego jest przydzielany dostęp. Na platformie Azure można określić zakres na czterech poziomach: grupa zarządzania, subskrypcja, grupa zasobów i zasób. Zakresy mają strukturę opartą na relacji nadrzędny-podrzędny. Każdy poziom hierarchii sprawia, że zakres jest bardziej szczegółowy. Role można przypisywać na dowolnym z tych poziomów zakresu. Wybrany poziom określa, jak szeroko jest stosowana rola. Niższe poziomy dziedziczą uprawnienia roli z wyższych poziomów.

Scope for a role assignment

Po przypisaniu roli w zakresie nadrzędnym te uprawnienia są dziedziczone do zakresów podrzędnych. Na przykład:

  • Jeśli przypiszesz użytkownikowi rolę Czytelnik w zakresie grupy zarządzania, ten użytkownik może odczytać wszystkie elementy we wszystkich subskrypcjach w grupie zarządzania.
  • Jeśli przypiszesz rolę Czytelnik rozliczeń do grupy w zakresie subskrypcji, członkowie tej grupy będą mogli odczytywać dane rozliczeniowe dla każdej grupy zasobów i zasobu w subskrypcji.
  • Jeśli przypiszesz rolę współautora do aplikacji na poziomie grupy zasobów, ta aplikacja będzie mogła zarządzać zasobami dowolnego typu w tej grupie zasobów, ale nie w innych grupach zasobów w ramach subskrypcji.

Najlepszym rozwiązaniem jest przyznanie podmiotom zabezpieczeń najniższych uprawnień, których potrzebują do wykonania swojej pracy. Unikaj przypisywania szerszych ról w szerszych zakresach, nawet jeśli początkowo wydaje się bardziej wygodne. Ograniczając role i zakresy, ograniczasz, jakie zasoby są zagrożone, jeśli podmiot zabezpieczeń kiedykolwiek zostanie naruszony. Aby uzyskać więcej informacji, zobacz Omówienie zakresu.

Krok 4. Sprawdzanie wymagań wstępnych

Aby przypisać role, musisz zalogować się za pomocą użytkownika, któremu przypisano rolę z uprawnieniami do zapisu przypisań ról, takimi jak kontrola dostępu oparta na rolach Administracja istrator w zakresie, który próbujesz przypisać rolę. Podobnie, aby usunąć przypisanie roli, musisz mieć uprawnienie do usuwania przypisań ról.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Jeśli twoje konto użytkownika nie ma uprawnień do przypisywania roli w ramach subskrypcji, zostanie wyświetlony komunikat o błędzie informujący, że twoje konto "nie ma autoryzacji do wykonania akcji "Microsoft.Authorization/roleAssignments/write". W takim przypadku skontaktuj się z administratorami subskrypcji, aby mogli przypisać uprawnienia w Twoim imieniu.

Jeśli używasz jednostki usługi do przypisywania ról, może zostać wyświetlony błąd "Niewystarczające uprawnienia do ukończenia operacji". Ten błąd jest prawdopodobny, ponieważ platforma Azure próbuje wyszukać tożsamość przypisywanego w identyfikatorze Entra firmy Microsoft, a jednostka usługi nie może domyślnie odczytać identyfikatora Entra firmy Microsoft. W takim przypadku należy przyznać jednostce usługi uprawnienia do odczytu danych w katalogu. Alternatywnie, jeśli używasz interfejsu wiersza polecenia platformy Azure, możesz utworzyć przypisanie roli przy użyciu identyfikatora obiektu assignee, aby pominąć wyszukiwanie Microsoft Entra. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z kontrolą dostępu opartą na rolach platformy Azure.

Krok 5. Przypisywanie roli

Gdy znasz podmiot zabezpieczeń, rolę i zakres, możesz przypisać rolę. Role można przypisywać przy użyciu witryny Azure Portal, programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure, zestawów AZURE SDK lub interfejsów API REST.

W każdej subskrypcji może być maksymalnie 4000 przypisań ról. Ten limit obejmuje przypisania ról w ramach subskrypcji, grupy zasobów i zakresów zasobów. W każdej grupie zarządzania może być maksymalnie 500 przypisań ról. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z limitami kontroli dostępu opartej na rolach platformy Azure.

Zapoznaj się z następującymi artykułami, aby uzyskać szczegółowe instrukcje dotyczące przypisywania ról.

Następne kroki