Назначение ролей Azure с помощью портала Azure

Управление доступом на основе ролей Azure (Azure RBAC) — это система авторизации, используемая для управления доступом к ресурсам в Azure. Чтобы предоставить доступ, необходимо назначить роли пользователям, группам, субъектам-службам или управляемым удостоверениям в определенной области. В этой статье описывается порядок назначения ролей с помощью портала Azure.

Если вам необходимо назначить роли администратора в Azure Active Directory, см. статью Назначение ролей Azure AD пользователям.

Предварительные требования

Чтобы назначать роли Azure необходимо наличие:

Шаг 1: Определите необходимую область

При назначении ролей необходимо указать область. Область — это набор ресурсов, к которым предоставляется доступ. В Azure область можно задать на четырех уровнях от широкого к узкому: на уровне группы управления, подписки, группы ресурсов или ресурса. Дополнительные сведения об области см. в этой статье.

Diagram showing the scope levels for Azure RBAC.

  1. Войдите на портал Azure.

  2. В поле поиска вверху найдите область, к которой требуется предоставить доступ. Например, найдите Группы управления, Подписки, Группы ресурсовили какой-то определенный ресурс.

  3. Щелкните на конкретный ресурс в этой области.

    Ниже показан пример группы ресурсов.

    Screenshot of resource group overview page.

Шаг 2. Откройте страницу "Добавление назначения роли"

Управление доступом (IAM) — страница, на которой обычно назначаются роли для предоставления доступа к ресурсам Azure. Она также известна как Система управления идентификацией и доступом, ее можно увидеть в нескольких местах на портале Azure.

  1. Выберите Управление доступом (IAM).

    Ниже показан пример страницы "Управление доступом (IAM)" для группы ресурсов.

    Screenshot of Access control (IAM) page for a resource group.

  2. Откройте вкладку Назначения ролей, чтобы просмотреть назначения ролей в этой области.

  3. Нажмите Добавить>Добавить назначение роли.

    Если у вас нет прав назначать роли, функция "Добавить назначение роли" будет неактивна.

    Screenshot of Add > Add role assignment menu.

    Откроется страница "Добавление назначения роли".

Шаг 3. Выберите соответствующую роль

  1. На вкладке Роли выберите нужную роль.

    Можно выполнить поиск роли по имени или описанию. Кроме того, можно отфильтровать роли по типу и категории.

    Screenshot of Add role assignment page with Roles tab.

  2. В столбце Сведения щелкните Просмотреть, чтобы получить дополнительные сведения о роли.

    Screenshot of View role details pane with Permissions tab.

  3. Щелкните Далее.

Шаг 4. Выберите пользователей, которым требуется доступ

  1. На вкладке Участники выберите Пользователь, группа или субъект-служба, чтобы назначить выбранную роль одному пользователю, группе или субъекту-службе (приложению) Azure AD или нескольким.

    Screenshot of Add role assignment page with Members tab.

  2. Нажмите Выбор членов.

  3. Найдите и выберите пользователей, группы или субъекты-службы.

    В поле Выбор введите строку для поиска в каталоге по отображаемым именам или адресам электронной почты.

    Screenshot of Select members pane.

  4. Щелкните "Выбрать" , чтобы добавить пользователей, группы или субъекты-службы в список участников.

  5. Чтобы назначить выбранную роль одному управляемому удостоверению или нескольким, выберите Управляемое удостоверение.

  6. Нажмите Выбор членов.

  7. В области Выбор управляемых удостоверений укажите тип управляемое удостоверение, назначаемое системой или управляемое удостоверение, назначаемое пользователем.

  8. Найдите и выберите управляемые удостоверения.

    Для управляемых удостоверений, назначенных системой, можно выбрать управляемые удостоверения по экземпляру службы Azure.

    Screenshot of Select managed identities pane.

  9. Щелкните "Выбрать", чтобы добавить управляемые удостоверения в список участников.

  10. В поле Описание введите необязательное описание этого назначения роли.

    Позже это описание можно будет отобразить в списке назначений ролей.

  11. Щелкните Далее.

Шаг 5. Добавьте условие (необязательно) (предварительная версия)

Если вы выбрали роль, которая поддерживает условия, откроется вкладка Условия (необязательно) и вы сможете добавить условие в назначение ролей. Условие — это дополнительная проверка, которую можно дополнительно добавить к назначению роли, чтобы обеспечить более детализированный контроль доступа.

В настоящее время условия можно добавлять во встроенные или настраиваемые назначения ролей, у которых есть действия с данными BLOB-объектов в хранилище. К ним относятся следующие встроенные роли:

  1. Нажмите кнопку Добавить условие, если хотите уточнить назначения ролей на основе атрибутов BLOB-объектов хранилища. Дополнительные сведения см. в статье о добавлении или изменение условий назначений ролей Azure.

    Screenshot of Add role assignment page with Add condition tab.

  2. Щелкните Далее.

Шаг 6. Назначение роли

  1. На вкладке Review + assign (Проверка и назначение) проверьте параметры назначения роли.

    Screenshot of Assign a role page with Review + assign tab.

  2. Щелкните Проверить и назначить, чтобы назначить роль.

    Через несколько секунд субъекту безопасности будет назначена роль в выбранной области.

    Screenshot of role assignment list after assigning role.

  3. Если описание назначения роли не отображается, нажмите кнопку Изменить столбцы, чтобы добавить столбец Описание.

Дальнейшие действия