Добавление или удаление назначений ролей Azure с помощью портал AzureAdd or remove Azure role assignments using the Azure portal

Управление доступом на основе ролей (RBAC) в Azure — это система авторизации, используемая для управления доступом к ресурсам Azure.Azure role-based access control (RBAC) is the authorization system you use to manage access to Azure resources. Чтобы предоставить доступ, необходимо назначить роли пользователям, группам, субъектам-службам или управляемым удостоверениям в определенной области.To grant access, you assign roles to users, groups, service principals, or managed identities at a particular scope.В этой статье описывается назначение ролей с помощью портал Azure.Управление доступом на основе ролей (RBAC) в Azure — это система авторизации, используемая для управления доступом к ресурсам Azure.Azure role-based access control (RBAC) is the authorization system you use to manage access to Azure resources. Чтобы предоставить доступ, необходимо назначить роли пользователям, группам, субъектам-службам или управляемым удостоверениям в определенной области.To grant access, you assign roles to users, groups, service principals, or managed identities at a particular scope. This article describes how to assign roles using the Azure portal.

Если необходимо назначить роли администратора в Azure Active Directory, см. раздел Просмотр и назначение ролей администратора в Azure Active Directory.If you need to assign administrator roles in Azure Active Directory, see View and assign administrator roles in Azure Active Directory.

Предварительные условияPrerequisites

Для добавления или удаления назначений ролей необходимо иметь следующее:To add or remove role assignments, you must have:

Управление доступом (IAM)Access control (IAM)

Управление доступом (IAM) — это колонка, с помощью которой можно назначать роли для предоставления доступа к ресурсам Azure.Access control (IAM) is the blade that you use to assign roles to grant access to Azure resources. Она также называется управлением удостоверениями и доступом и отображается в нескольких расположениях в портал Azure.It's also known as identity and access management and appears in several locations in the Azure portal. Ниже показан пример колонки "Управление доступом (IAM)" для подписки.The following shows an example of the Access control (IAM) blade for a subscription.

Колонка "Управление доступом (IAM)" для подписки

Чтобы наиболее эффективно использовать колонку управления доступом (IAM), можно ответить на следующие три вопроса при попытке назначения роли:To be the most effective with the Access control (IAM) blade, it helps if you can answer the following three questions when you are trying to assign a role:

  1. Кому нужен доступ?Who needs access?

    Кто ссылается на пользователя, группу, субъект-службу или управляемое удостоверение.Who refers to a user, group, service principal, or managed identity. Это также называется субъектом безопасности.This is also called a security principal.

  2. Какие роли требуются им?What role do they need?

    Разрешения объединяются в роли.Permissions are grouped together into roles. Вы можете выбрать из списка несколько встроенных ролей или использовать собственные пользовательские роли.You can select from a list of several built-in roles or you can use your own custom roles.

  3. Где им нужен доступ?Where do they need access?

    Где относится к набору ресурсов, к которым применяется доступ.Where refers to the set of resources that the access applies to. Где может быть группа управления, подписка, Группа ресурсов или один ресурс, например учетная запись хранения.Where can be a management group, subscription, resource group, or a single resource such as a storage account. Это называется областью.This is called the scope.

Добавление назначения ролиAdd a role assignment

В Azure RBAC для предоставления доступа к ресурсу Azure необходимо добавить назначение роли.In Azure RBAC, to grant access to an Azure resource, you add a role assignment. Чтобы назначить роль, выполните следующие действия.Follow these steps to assign a role.

  1. В портал Azure щелкните все службы , а затем выберите область, к которой требуется предоставить доступ.In the Azure portal, click All services and then select the scope that you want to grant access to. Например, можно выбрать Группы управления, Подписки, Группы ресурсов или конкретный ресурс.For example, you can select Management groups, Subscriptions, Resource groups, or a resource.

  2. Щелкните конкретный ресурс для этой области.Click the specific resource for that scope.

  3. Щелкните Управление доступом (IAM).Click Access control (IAM).

  4. Перейдите на вкладку назначения ролей , чтобы просмотреть назначения ролей в этой области.Click the Role assignments tab to view the role assignments at this scope.

    Вкладка "Управление доступом (IAM) и назначение ролей"

  5. Нажмите кнопку Добавить > добавить назначение ролей.Click Add > Add role assignment.

    Если у вас нет прав назначать роли, функция "Добавить назначение роли" будет неактивна.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Меню "Добавить"

    Откроется область Добавить назначение ролей.The Add role assignment pane opens.

    Область "Добавить назначение ролей"

  6. В раскрывающемся списке Роли выберите роль, например Участник виртуальных машин.In the Role drop-down list, select a role such as Virtual Machine Contributor.

  7. В списке Выбор выберите пользователя, группу, субъект-службу или управляемое удостоверение.In the Select list, select a user, group, service principal, or managed identity. Если субъект безопасности не отображается в списке, введите его имя в поле Выбор, чтобы найти в каталоге отображаемые имена, адреса электронной почты и идентификаторы объектов.If you don't see the security principal in the list, you can type in the Select box to search the directory for display names, email addresses, and object identifiers.

  8. Чтобы присвоить роль, щелкните Сохранить.Click Save to assign the role.

    Через несколько секунд субъекту безопасности будет назначена роль в выбранной области.After a few moments, the security principal is assigned the role at the selected scope.

    Добавление назначения роли сохранено

Предоставление пользователю прав администратора подпискиAssign a user as an administrator of a subscription

Чтобы предоставить пользователю права администратора подписки Azure, назначьте ему роль Владелец в этой подписке.To make a user an administrator of an Azure subscription, assign them the Owner role at the subscription scope. Роль Владелец предоставляет пользователю полный доступ ко всем ресурсам в подписке, включая разрешение на предоставление доступа другим пользователям.The Owner role gives the user full access to all resources in the subscription, including the permission to grant access to others. Этот процесс не отличается от любой процедуры назначения ролей.These steps are the same as any other role assignment.

  1. На портале Azure щелкните Все службы, а затем Подписки.In the Azure portal, click All services and then Subscriptions.

  2. Щелкните подписку, для которой нужно предоставить доступ.Click the subscription where you want to grant access.

  3. Щелкните Управление доступом (IAM).Click Access control (IAM).

  4. Перейдите на вкладку назначения ролей , чтобы просмотреть назначения ролей для этой подписки.Click the Role assignments tab to view the role assignments for this subscription.

    Вкладка "Управление доступом (IAM) и назначение ролей"

  5. Нажмите кнопку Добавить > добавить назначение ролей.Click Add > Add role assignment.

    Если у вас нет прав назначать роли, функция "Добавить назначение роли" будет неактивна.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Меню "Добавить"

    Откроется область Добавить назначение ролей.The Add role assignment pane opens.

    Область "Добавить назначение ролей"

  6. В раскрывающемся списке Роль выберите роль Владелец.In the Role drop-down list, select the Owner role.

  7. В списке Выбор выберите пользователя.In the Select list, select a user. Если пользователь не отображается в списке, введите его имя в поле Выбор, чтобы найти в каталоге отображаемые имена и адреса электронной почты.If you don't see the user in the list, you can type in the Select box to search the directory for display names and email addresses.

  8. Чтобы присвоить роль, щелкните Сохранить.Click Save to assign the role.

    Через несколько секунд пользователю будет назначена роль владельца в области действия подписки.After a few moments, the user is assigned the Owner role at the subscription scope.

Удаление назначения ролейRemove a role assignment

В Azure RBAC для удаления доступа из ресурса Azure вы удаляете назначение роли.In Azure RBAC, to remove access from an Azure resource, you remove a role assignment. Выполните следующие действия, чтобы удалить назначение роли.Follow these steps to remove a role assignment.

  1. Откройте Управление доступом (IAM) для области, например группы управления, подписки, группы ресурсов или отдельного ресурса, чтобы заблокировать доступ.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to remove access.

  2. Щелкните вкладку Назначения ролей, чтобы просмотреть все назначения ролей для этой подписки.Click the Role assignments tab to view all the role assignments for this subscription.

  3. В списке назначений ролей добавьте флажок рядом с именем субъекта безопасности, для которого нужно удалить назначение ролей.In the list of role assignments, add a checkmark next to the security principal with the role assignment you want to remove.

    Сообщение об удалении назначения роли

  4. Щелкните Удалить.Click Remove.

    Сообщение об удалении назначения роли

  5. В появившемся сообщении об отзыве назначения роли щелкните Да.In the remove role assignment message that appears, click Yes.

    Если появится сообщение о том, что наследование назначений ролей не может быть удалено, вы пытаетесь удалить назначение роли в дочерней области.If you see a message that inherited role assignments cannot be removed, you are trying to remove a role assignment at a child scope. Следует открыть элемент управления доступом (IAM) в области, в которой была назначена роль, и повторить попытку.You should open Access control (IAM) at the scope where the role was assigned and try again. Чтобы быстро открыть элемент управления доступом (IAM) в нужной области, просмотрите столбец область и щелкните ссылку рядом с (наследуется).A quick way to open Access control (IAM) at the correct scope is to look at the Scope column and click the link next to (Inherited).

    Сообщение об удалении назначения роли

Дальнейшие действияNext steps