Gerir o acesso aos recursos do Azure através do RBAC e o portal do AzureManage access to Azure resources using RBAC and the Azure portal

Controlo de acesso baseado em funções (RBAC) é a maneira que gerencie o acesso aos recursos do Azure.Role-based access control (RBAC) is the way that you manage access to Azure resources. Este artigo descreve como gerir o acesso no portal do Azure.This article describes how you manage access using the Azure portal. Se precisar de gerir o acesso ao Azure Active Directory, consulte modo de exibição e atribuir funções de administrador no Azure Active Directory.If you need to manage access to Azure Active Directory, see View and assign administrator roles in Azure Active Directory.

Pré-requisitosPrerequisites

Para adicionar e remover atribuições de função, tem de ter:To add and remove role assignments, you must have:

Descrição geral do controlo de acesso (IAM)Overview of Access control (IAM)

Controlo de acesso (IAM) é o painel que utiliza para gerir o acesso aos recursos do Azure.Access control (IAM) is the blade that you use to manage access to Azure resources. Ele também é conhecido como gestão de identidades e acesso e é exibido em vários locais no portal do Azure.It's also known as identity and access management and appears in several locations in the Azure portal. O código a seguir mostra um exemplo de painel de controlo (IAM) de acesso para uma subscrição.The following shows an example of the Access control (IAM) blade for a subscription.

Painel de controlo (IAM) de acesso para uma subscrição

A tabela seguinte descreve o que são alguns dos elementos utilização para:The following table describes what some of the elements are use for:

# ElementoElement O que usá-lo paraWhat you use it for
11 Recursos em que o controlo de acesso (IAM) é abertoResource where Access control (IAM) is opened Identificar o âmbito (subscrição neste exemplo)Identify scope (subscription in this example)
22 Adicionar botãoAdd button Adicionar as atribuições de funçõesAdd role assignments
33 Verificar acesso separadorCheck access tab Ver as atribuições de funções para um único utilizadorView the role assignments for a single user
44 Atribuições de funções separadorRole assignments tab Ver as atribuições de funções no âmbito atualView the role assignments at the current scope
55 Funções separadorRoles tab Ver todas as funções e permissõesView all roles and permissions

Para ser mais eficiente com o painel de controlo (IAM) de acesso, ele ajuda a se pode responder as perguntas de três seguintes quando estiver a tentar gerir o acesso:To be the most effective with the Access control (IAM) blade, it helps if you can answer the following three questions when you are trying to manage access:

  1. Quem precisa de acesso?Who needs access?

    Que se refere a um utilizador, o grupo, o principal de serviço ou a identidade gerida.Who refers to a user, group, service principal, or managed identity. Isso também é chamado um entidade de segurança.This is also called a security principal.

  2. Quais as permissões que precisam?What permissions do they need?

    As permissões são agrupadas em funções.Permissions are grouped together into roles. Pode selecionar a partir de uma lista de várias funções incorporadas.You can select from a list of several built-in roles.

  3. Em que precisam de acesso?Where do they need access?

    Em que se refere ao conjunto de recursos que o acesso se aplica a.Where refers to the set of resources that the access applies to. Em que pode ser um grupo de gestão, subscrição, grupo de recursos ou um único recurso, como uma conta de armazenamento.Where can be a management group, subscription, resource group, or a single resource such as a storage account. Isso é chamado do âmbito.This is called the scope.

Abra o controlo de acesso (IAM)Open Access control (IAM)

A primeira coisa que precisa decidir é onde abrir o painel de controlo (IAM) de acesso.The first thing you need to decide is where to open the Access control (IAM) blade. Depende de quais recursos que pretende gerir o acesso para.It depends on what resources you want to manage access for. Pretende gerir o acesso para tudo num grupo de gestão, tudo numa subscrição, tudo num grupo de recursos ou um único recurso?Do you want to manage access for everything in a management group, everything in a subscription, everything in a resource group, or a single resource?

  1. No portal do Azure, clique em todos os serviços e, em seguida, selecione o âmbito.In the Azure portal, click All services and then select the scope. Por exemplo, pode selecionar grupos de gestão, subscrições, grupos de recursos, ou um recurso.For example, you can select Management groups, Subscriptions, Resource groups, or a resource.

  2. Clique no recurso específico.Click the specific resource.

  3. Clique em controlo de acesso (IAM).Click Access control (IAM).

    O código a seguir mostra um exemplo de painel de controlo (IAM) de acesso para uma subscrição.The following shows an example of the Access control (IAM) blade for a subscription. Se fizer qualquer alteração de controlo do acesso, seria aplicam-se para a subscrição completa.If you make any access control changes here, they would apply to the entire subscription.

    Painel de controlo (IAM) de acesso para uma subscrição

Ver funções e permissõesView roles and permissions

Uma definição de função é uma coleção de permissões que é utilizada para atribuições de funções.A role definition is a collection of permissions that you use for role assignments. O Azure tem mais de 70 funções incorporadas para recursos do Azure.Azure has over 70 built-in roles for Azure resources. Siga estes passos para ver as funções disponíveis e as permissões.Follow these steps to view the available roles and permissions.

  1. Open controlo de acesso (IAM) em qualquer âmbito.Open Access control (IAM) at any scope.

  2. Clique nas funções separador para ver uma lista de todas as funções incorporadas e personalizadas.Click the Roles tab to see a list of all the built-in and custom roles.

    Pode ver o número de utilizadores e grupos que estão atribuídos a cada função no âmbito atual.You can see the number of users and groups that are assigned to each role at the current scope.

    Lista de funções

  3. Clique numa função individual para ver a quem foi atribuída a esta função e também ver as permissões para a função.Click an individual role to see who has been assigned this role and also view the permissions for the role.

    Atribuições de funções

Ver atribuições de funçõesView role assignments

Ao gerir o acesso, deseja saber quem tem acesso, quais são as respetivas permissões e o âmbito.When managing access, you want to know who has access, what are their permissions, and at what scope. Para o acesso de lista para um utilizador, grupo, principal de serviço ou uma identidade gerida, exibir suas atribuições de funções.To list access for a user, group, service principal, or managed identity, you view their role assignments.

Atribuições de funções de exibição para um único utilizadorView role assignments for a single user

Siga estes passos para ver o acesso a um único utilizador, grupo, principal de serviço ou uma identidade gerida num determinado âmbito.Follow these steps to view the access for a single user, group, service principal, or managed identity at a particular scope.

  1. Open controlo de acesso (IAM) num âmbito, como o grupo de gestão, subscrição, grupo de recursos ou recurso, em que pretende ver o acesso.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to view access.

  2. Clique nas verificar acesso separador.Click the Check access tab.

    Controlo de acesso - separador de acesso de verificação

  3. Na encontrar , selecione o tipo de entidade de segurança que pretende verificar o acesso.In the Find list, select the type of security principal you want to check access for.

  4. Na caixa de pesquisa, introduza uma cadeia de caracteres para procurar o diretório para os nomes a apresentar, endereços de e-mail ou identificadores de objetos.In the search box, enter a string to search the directory for display names, email addresses, or object identifiers.

    Verifique a lista de seleção de acesso

  5. Clique a entidade de segurança para abrir o atribuições painel.Click the security principal to open the assignments pane.

    Painel de atribuições

    Neste painel, pode ver as funções atribuídas para a entidade de segurança selecionado e o escopo.On this pane, you can see the roles assigned to the selected security principal and the scope. Se existirem quaisquer negar atribuições neste âmbito ou herdadas para este âmbito, estes serão apresentados.If there are any deny assignments at this scope or inherited to this scope, they will be listed.

Ver todas as atribuições de função num âmbitoView all role assignments at a scope

  1. Open controlo de acesso (IAM) num âmbito, como o grupo de gestão, subscrição, grupo de recursos ou recurso, em que pretende ver o acesso.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to view access.

  2. Clique nas atribuições de funções separador para ver todas as atribuições de função neste âmbito.Click the Role assignments tab to view all the role assignments at this scope.

    Controlo de acesso - separador de atribuições de função

    No separador de atribuições de função, pode ver quem tem acesso a este âmbito.On the Role assignments tab, you can see who has access at this scope. Tenha em conta que algumas funções têm o âmbito Este recurso, ao passo que outras são (Herdadas) de outro âmbito.Notice that some roles are scoped to This resource while others are (Inherited) from another scope. Acesso é atribuído especificamente para este recurso ou herdado de uma atribuição ao âmbito principal.Access is either assigned specifically to this resource or inherited from an assignment to the parent scope.

Adicionar uma atribuição de funçãoAdd a role assignment

No RBAC, para conceder acesso, atribua uma função a um utilizador, o grupo, o principal de serviço ou a identidade gerida.In RBAC, to grant access, you assign a role to a user, group, service principal, or managed identity. Siga estes passos para conceder acesso em âmbitos diferentes.Follow these steps to grant access at different scopes.

Atribuir uma função num âmbitoAssign a role at a scope

  1. Open controlo de acesso (IAM) num âmbito, como o grupo de gestão, subscrição, grupo de recursos ou recurso, onde pretende conceder acesso.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to grant access.

  2. Clique nas atribuições de funções separador para ver todas as atribuições de função neste âmbito.Click the Role assignments tab to view all the role assignments at this scope.

  3. Clique em Add > adicionar atribuição de função para abrir o painel de atribuição de função de adicionar.Click Add > Add role assignment to open the Add role assignment pane.

    Se não tiver permissões para atribuir funções, a opção de atribuição de função de adicionar será desativada.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Menu Adicionar

    Adicionar o painel de atribuição de função

  4. Na lista pendente Função, selecione uma função, como Contribuidor de Máquina Virtual.In the Role drop-down list, select a role such as Virtual Machine Contributor.

  5. Na selecione , selecione um utilizador, o grupo, o principal de serviço ou a identidade gerida.In the Select list, select a user, group, service principal, or managed identity. Se não vir o principal de segurança na lista, pode escrever na caixa Selecionar para procurar no diretório os nomes a apresentar, endereços de e-mail e identificadores de objetos.If you don't see the security principal in the list, you can type in the Select box to search the directory for display names, email addresses, and object identifiers.

  6. Clique em guardar para atribuir a função.Click Save to assign the role.

    Após alguns instantes, a entidade de segurança é atribuída a função no âmbito selecionado.After a few moments, the security principal is assigned the role at the selected scope.

Atribuir um utilizador como administrador de uma subscriçãoAssign a user as an administrator of a subscription

Para tornar um utilizador administrador de uma subscrição do Azure, atribuí-los a proprietário função no âmbito da subscrição.To make a user an administrator of an Azure subscription, assign them the Owner role at the subscription scope. A função de proprietário dá ao usuário acesso total a todos os recursos na subscrição, incluindo o direito de delegar o acesso a outras pessoas.The Owner role gives the user full access to all resources in the subscription, including the right to delegate access to others. Estes passos são os mesmos como qualquer outra atribuição de função.These steps are the same as any other role assignment.

  1. No portal do Azure, clique em todos os serviços e, em seguida subscrições.In the Azure portal, click All services and then Subscriptions.

  2. Clique a subscrição em que pretende conceder acesso.Click the subscription where you want to grant access.

  3. Clique em controlo de acesso (IAM).Click Access control (IAM).

  4. Clique nas atribuições de funções separador para ver todas as atribuições de função para esta subscrição.Click the Role assignments tab to view all the role assignments for this subscription.

  5. Clique em Add > adicionar atribuição de função para abrir o painel de atribuição de função de adicionar.Click Add > Add role assignment to open the Add role assignment pane.

    Se não tiver permissões para atribuir funções, a opção de atribuição de função de adicionar será desativada.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Menu Adicionar

    Adicionar o painel de atribuição de função

  6. Na função na lista pendente, selecione a proprietário função.In the Role drop-down list, select the Owner role.

  7. Na selecione , selecione um utilizador.In the Select list, select a user. Se não vir o utilizador na lista, pode digitar o selecione caixa para procurar o diretório para os nomes a apresentar e endereços de e-mail.If you don't see the user in the list, you can type in the Select box to search the directory for display names and email addresses.

  8. Clique em guardar para atribuir a função.Click Save to assign the role.

    Após alguns instantes, o utilizador tem atribuída a função de proprietário no âmbito da subscrição.After a few moments, the user is assigned the Owner role at the subscription scope.

Remover atribuições de funçõesRemove role assignments

No RBAC, para remover o acesso, remova uma atribuição de função.In RBAC, to remove access, you remove a role assignment. Siga estes passos para remover o acesso.Follow these steps to remove access.

  1. Open controlo de acesso (IAM) num âmbito, como o grupo de gestão, subscrição, grupo de recursos ou recurso, em que pretende remover o acesso.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to remove access.

  2. Clique nas atribuições de funções separador para ver todas as atribuições de função para esta subscrição.Click the Role assignments tab to view all the role assignments for this subscription.

  3. Na lista de atribuições de funções, adicione uma marca de verificação junto ao principal de segurança com a atribuição de função que pretende remover.In the list of role assignments, add a checkmark next to the security principal with the role assignment you want to remove.

    Mensagem Remover atribuição de função

  4. Clique em remover.Click Remove.

    Mensagem Remover atribuição de função

  5. Na mensagem de atribuição de função remove que aparece, clique em Sim.In the remove role assignment message that appears, click Yes.

    As atribuições de funções herdadas não podem ser removidas.Inherited role assignments cannot be removed. Se precisar de remover uma atribuição de função herdada, tem de o fazer no âmbito em que a atribuição da função foi criada.If you need to remove an inherited role assignment, you must do it at the scope where the role assignment was created. Na âmbito coluna, junto a (herdado) há um link que leva-o para o âmbito em que esta função foi atribuída.In the Scope column, next to (Inherited) there is a link that takes you to the scope where this role was assigned. Vá para o âmbito aí listado para remover a atribuição de função.Go to the scope listed there to remove the role assignment.

    Mensagem Remover atribuição de função

Passos SeguintesNext steps