Назначение ролей Azure с помощью портала AzureAssign Azure roles using the Azure portal

Управление доступом на основе ролей Azure (Azure RBAC) — это система авторизации, используемая для управления доступом к ресурсам в Azure.Azure role-based access control (Azure RBAC) is the authorization system you use to manage access to Azure resources. Чтобы предоставить доступ, необходимо назначить роли пользователям, группам, субъектам-службам или управляемым удостоверениям в определенной области.To grant access, you assign roles to users, groups, service principals, or managed identities at a particular scope. В этой статье описывается назначение ролей с помощью портал Azure.Управление доступом на основе ролей Azure (Azure RBAC) — это система авторизации, используемая для управления доступом к ресурсам в Azure.Azure role-based access control (Azure RBAC) is the authorization system you use to manage access to Azure resources. Чтобы предоставить доступ, необходимо назначить роли пользователям, группам, субъектам-службам или управляемым удостоверениям в определенной области.To grant access, you assign roles to users, groups, service principals, or managed identities at a particular scope. This article describes how to assign roles using the Azure portal.

Если необходимо назначить роли администратора в Azure Active Directory, см. раздел Просмотр и назначение ролей администратора в Azure Active Directory.If you need to assign administrator roles in Azure Active Directory, see View and assign administrator roles in Azure Active Directory.

Предварительные условияPrerequisites

Для назначения ролей Azure необходимо следующее:To assign Azure roles, you must have:

Шаг 1. Определение требуемой областиStep 1: Identify the needed scope

При назначении ролей необходимо указать область.When you assign roles, you must specify a scope. Scope — это набор ресурсов, к которым применяется доступ.Scope is the set of resources the access applies to. В Azure можно указать область на четырех уровнях от широкой до узких: Группа управления, подписка, Группа ресурсови ресурс.In Azure, you can specify a scope at four levels from broad to narrow: management group, subscription, resource group, and resource.

Рекомендуется предоставлять субъектам безопасности минимальные привилегии, необходимые для выполнения их работы.It's a best practice to grant security principals the least privilege they need to perform their job. Старайтесь не назначать более широкие роли в более широких областях, даже если они изначально кажутся более удобными.Avoid assigning broader roles at broader scopes even if it initially seems more convenient. Ограничивая роли и области, вы ограничиваете ресурсы, подверженные риску, в случае компрометации субъекта безопасности.By limiting roles and scopes, you limit what resources are at risk if the security principal is ever compromised. Дополнительные сведения об области действия см. в разделе сведения о области.Рекомендуется предоставлять субъектам безопасности минимальные привилегии, необходимые для выполнения их работы.It's a best practice to grant security principals the least privilege they need to perform their job. Старайтесь не назначать более широкие роли в более широких областях, даже если они изначально кажутся более удобными.Avoid assigning broader roles at broader scopes even if it initially seems more convenient. Ограничивая роли и области, вы ограничиваете ресурсы, подверженные риску, в случае компрометации субъекта безопасности.By limiting roles and scopes, you limit what resources are at risk if the security principal is ever compromised. For more information about scope, see Understand scope.

Уровни области для Azure RBAC

  1. Войдите на портал Azure.Sign in to the Azure portal.

  2. В поле поиска вверху найдите область, к которой требуется предоставить доступ.In the Search box at the top, search for the scope you want to grant access to. Например, выполните поиск групп управления, подписок, групп ресурсов или определенного ресурса.For example, search for Management groups, Subscriptions, Resource groups, or a specific resource.

    портал Azure Поиск группы ресурсов

  3. Щелкните конкретный ресурс для этой области.Click the specific resource for that scope.

    Ниже показан пример группы ресурсов.The following shows an example resource group.

    Общие сведения о группе ресурсов

Шаг 2. Открытие панели "Добавление назначения ролей"Step 2: Open the Add role assignment pane

Управление доступом (IAM) — это страница, которая обычно используется для назначения ролей для предоставления доступа к ресурсам Azure.Access control (IAM) is the page that you typically use to assign roles to grant access to Azure resources. Он также называется управление удостоверениями и доступом (IAM) и появляется в нескольких расположениях в портал Azure.It's also known as identity and access management (IAM) and appears in several locations in the Azure portal.

  1. Выберите Управление доступом (IAM).Click Access control (IAM).

    Ниже показан пример страницы "Управление доступом (IAM)" для группы ресурсов.The following shows an example of the Access control (IAM) page for a resource group.

    Страница управления доступом (IAM) для группы ресурсов

  2. Перейдите на вкладку назначения ролей , чтобы просмотреть назначения ролей в этой области.Click the Role assignments tab to view the role assignments at this scope.

  3. Нажмите кнопку Добавить > добавить назначение ролей.Click Add > Add role assignment. Если у вас нет прав назначать роли, функция "Добавить назначение роли" будет неактивна.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Меню "Добавить назначение ролей"

    Откроется панель "Добавить назначение ролей".The Add role assignment pane opens.

    Область "Добавить назначение ролей"

Шаг 3. Выбор подходящей ролиStep 3: Select the appropriate role

  1. В списке роль найдите или прокрутите список ролей, которые нужно назначить.In the Role list, search or scroll to find the role that you want to assign.

    Чтобы определить соответствующую роль, можно навести указатель мыши на значок сведений, чтобы отобразить описание роли.To help you determine the appropriate role, you can hover over the info icon to display a description for the role. Дополнительные сведения можно просмотреть в статье встроенные роли Azure .For additional information, you can view the Azure built-in roles article.

    Выбор роли в "Добавление назначения ролей"

  2. Щелкните, чтобы выбрать роль.Click to select the role.

Шаг 4. Выбор пользователей, которым требуется доступStep 4: Select who needs access

  1. В списке назначить доступ к выберите тип субъекта безопасности, которому нужно назначить доступ.In the Assign access to list, select the type of security principal to assign access to.

    TypeType ОписаниеDescription
    Пользователь, группа или субъект-службаUser, group, or service principal Если вы хотите назначить роль пользователю, группе или субъекту-службе (приложению), выберите этот тип.If you want to assign the role to a user, group, or service principal (application), select this type.
    Управляемое удостоверение, назначенное пользователемUser assigned managed identity Если вы хотите назначить роль управляемому удостоверению, назначенному пользователем, выберите этот тип.If you want to assign the role to a user-assigned managed identity, select this type.
    Управляемое удостоверение, назначенное системойSystem assigned managed identity Если необходимо назначить роль управляемому удостоверению, назначенному системой, выберите экземпляр службы Azure, в котором находится управляемое удостоверение.If you want to assign the role to a system-assigned managed identity, select the Azure service instance where the managed identity is located.

    Выбор типа субъекта безопасности в окне "Добавление назначения ролей"

  2. Если вы выбрали управляемое удостоверение, назначенное пользователем, или управляемое системой удостоверение, выберите подписку , в которой находится управляемое удостоверение.If you selected a user-assigned managed identity or a system-assigned managed identity, select the Subscription where the managed identity is located.

  3. В разделе Выбор найдите субъект безопасности, введя строку или прокрутите список.In the Select section, search for the security principal by entering a string or scrolling through the list.

    Выбор пользователя в добавлении назначения ролей

  4. Найдя субъект безопасности, щелкните его, чтобы выбрать.Once you have found the security principal, click to select it.

Шаг 5. Назначение ролиStep 5: Assign role

  1. Чтобы назначить роль, нажмите кнопку сохранить.To assign the role, click Save.

    Через несколько секунд субъекту безопасности будет назначена роль в выбранной области.After a few moments, the security principal is assigned the role at the selected scope.

  2. На вкладке назначения ролей убедитесь, что в списке отображается назначение роли.On the Role assignments tab, verify that you see the role assignment in the list.

    Добавление назначения роли сохранено

Дальнейшие действияNext steps