Управление доступом к ресурсам Azure с помощью RBAC и портала AzureManage access to Azure resources using RBAC and the Azure portal

Управление доступом на основе ролей (RBAC) — это способ управления доступом к ресурсам Azure.Role-based access control (RBAC) is the way that you manage access to Azure resources. В этой статье описывается, как управлять доступом с помощью портала Azure.This article describes how you manage access using the Azure portal. Если вам нужно управлять доступом к Azure Active Directory, см. в разделе представление и назначение ролей администратора в Azure Active Directory.If you need to manage access to Azure Active Directory, see View and assign administrator roles in Azure Active Directory.

Технические условияPrerequisites

Для добавления и удаления назначений ролей требуются разрешения:To add and remove role assignments, you must have:

Обзор контроля доступа (IAM)Overview of Access control (IAM)

Управление доступом (IAM) является колонка, которая позволяет управлять доступом к ресурсам Azure.Access control (IAM) is the blade that you use to manage access to Azure resources. Он также называется управление удостоверениями и доступом и отображается в нескольких местах на портале Azure.It's also known as identity and access management and appears in several locations in the Azure portal. Ниже показан пример колонки "Управление доступом (IAM)" для подписки.The following shows an example of the Access control (IAM) blade for a subscription.

Колонка "Управление доступом (IAM)" для подписки

Ниже приведено описание некоторых элементов используются для:The following table describes what some of the elements are use for:

# ЭлементElement Что вы используете его дляWhat you use it for
11 Ресурс, где открыт управление доступом (IAM)Resource where Access control (IAM) is opened Определение области (подписка, в этом примере)Identify scope (subscription in this example)
22 Добавление кнопкиAdd button Добавление назначений ролейAdd role assignments
33 Проверка доступа вкладкуCheck access tab Просмотр назначений ролей для одного пользователяView the role assignments for a single user
4.4 Назначения ролей вкладкуRole assignments tab Просмотр назначений ролей в текущей областиView the role assignments at the current scope
55 Роли вкладкуRoles tab Просмотреть все роли и разрешенияView all roles and permissions

Для наибольшей эффективности с помощью доступа к колонке управления (IAM), это полезно, если вы можете ответить следующие три вопроса вы пытаетесь управлять доступом:To be the most effective with the Access control (IAM) blade, it helps if you can answer the following three questions when you are trying to manage access:

  1. Кому нужен доступ?Who needs access?

    Кто ссылается на пользователя, группы, субъекта-службы или управляемое удостоверение.Who refers to a user, group, service principal, or managed identity. Это также называется субъекта безопасности.This is also called a security principal.

  2. Какие разрешения необходимы?What permissions do they need?

    Разрешения группируются в роли.Permissions are grouped together into roles. Можно выбрать из списка несколько встроенных ролей.You can select from a list of several built-in roles.

  3. Когда им нужен доступ?Where do they need access?

    Где ссылается на набор ресурсов, доступ к которым применяется к.Where refers to the set of resources that the access applies to. Где может быть группой управления, подписки, группу ресурсов или отдельному ресурсу, например учетной записи хранения.Where can be a management group, subscription, resource group, or a single resource such as a storage account. Это называется область.This is called the scope.

Колонка "Управление доступом (IAM)"Open Access control (IAM)

В первую очередь необходимо решить является where открыть колонку доступа (IAM) элемента управления.The first thing you need to decide is where to open the Access control (IAM) blade. Это зависит от того, какие ресурсы, чтобы управлять доступом.It depends on what resources you want to manage access for. Вы хотите управлять доступом для всех операций в группу управления, все, что в подписке, все в группу ресурсов или отдельный ресурс?Do you want to manage access for everything in a management group, everything in a subscription, everything in a resource group, or a single resource?

  1. На портале Azure щелкните все службы и затем выберите область.In the Azure portal, click All services and then select the scope. Например, можно выбрать Группы управления, Подписки, Группы ресурсов или конкретный ресурс.For example, you can select Management groups, Subscriptions, Resource groups, or a resource.

  2. Щелкните этот конкретный ресурс.Click the specific resource.

  3. Щелкните Управление доступом (IAM) .Click Access control (IAM).

    Ниже показан пример колонки "Управление доступом (IAM)" для подписки.The following shows an example of the Access control (IAM) blade for a subscription. При внесении изменения управления доступом, относятся ко всей подписке.If you make any access control changes here, they would apply to the entire subscription.

    Колонка "Управление доступом (IAM)" для подписки

Просмотр ролей и разрешенийView roles and permissions

Определение роли — это коллекция разрешений, используемых для назначения ролей.A role definition is a collection of permissions that you use for role assignments. Существуют больше чем 70 встроенных ролей для ресурсов Azure.Azure has over 70 built-in roles for Azure resources. Выполните следующие действия, чтобы просмотреть доступные роли и разрешения.Follow these steps to view the available roles and permissions.

  1. Откройте управление доступом (IAM) в любой области.Open Access control (IAM) at any scope.

  2. Чтобы просмотреть список всех встроенных и пользовательских ролей, щелкните вкладку Роли.Click the Roles tab to see a list of all the built-in and custom roles.

    Вы увидите количество пользователей и групп, назначенных для каждой роли в текущей области.You can see the number of users and groups that are assigned to each role at the current scope.

    Список ролей

  3. Щелкните конкретную роль, чтобы увидеть, кому она назначена и какие разрешения она предоставляет.Click an individual role to see who has been assigned this role and also view the permissions for the role.

    Назначения ролей

Просмотр назначений ролейView role assignments

При управлении доступом, вы хотите узнать, кто имеет доступ, каковы их разрешения и в какой области действия.When managing access, you want to know who has access, what are their permissions, and at what scope. В список доступа для пользователя, группы, субъекта-службы или управляемое удостоверение просматривать назначенные им роли.To list access for a user, group, service principal, or managed identity, you view their role assignments.

Просмотр назначений ролей для одного пользователяView role assignments for a single user

Выполните следующие действия, чтобы просмотреть права доступа для одного пользователя, группы, субъекта-службы или управляемого удостоверения в определенной области.Follow these steps to view the access for a single user, group, service principal, or managed identity at a particular scope.

  1. Откройте колонку Управление доступом (IAM) для области, например группы управления, подписки, группы ресурсов или отдельного ресурса, чтобы просмотреть параметры доступа.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to view access.

  2. Щелкните вкладку Проверить доступ.Click the Check access tab.

    Управление доступом — вкладка "Проверить доступ"

  3. В списке Найти выберите тип субъекта безопасности, для которого нужно проверить доступ.In the Find list, select the type of security principal you want to check access for.

  4. В поле поиска введите строку для поиска в каталоге по отображаемым именам, адресам электронной почты или идентификаторам объектов.In the search box, enter a string to search the directory for display names, email addresses, or object identifiers.

    Проверка доступа — выбор списка

  5. Выберите субъект безопасности, чтобы открыть область Назначения.Click the security principal to open the assignments pane.

    Область назначений

    В этой области можно увидеть роли, которые назначены выбранному субъекту безопасности для выбранной области.On this pane, you can see the roles assigned to the selected security principal and the scope. Здесь будут перечислены все запрещающие назначения, которые определены или наследуются в выбранной области.If there are any deny assignments at this scope or inherited to this scope, they will be listed.

Просмотр всех назначений ролей для конкретной областиView all role assignments at a scope

  1. Откройте колонку Управление доступом (IAM) для области, например группы управления, подписки, группы ресурсов или отдельного ресурса, чтобы просмотреть параметры доступа.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to view access.

  2. Щелкните вкладку Назначения ролей, чтобы просмотреть все назначения ролей в этой области.Click the Role assignments tab to view all the role assignments at this scope.

    Управление доступом — вкладка "Назначение ролей"

    На вкладке "Назначение ролей" вы увидите назначения прав доступа в этой области.On the Role assignments tab, you can see who has access at this scope. Обратите внимание, что одни роли привязаны к этому ресурсу, а другие унаследованы из другой области.Notice that some roles are scoped to This resource while others are (Inherited) from another scope. Доступ назначается конкретному ресурсу либо наследуется от назначения в родительской области.Access is either assigned specifically to this resource or inherited from an assignment to the parent scope.

Добавление назначения ролиAdd a role assignment

Чтобы предоставить доступ в системе RBAC, некоторая роль назначается пользователю, группе, субъекту-службе или управляемому удостоверению.In RBAC, to grant access, you assign a role to a user, group, service principal, or managed identity. Выполните следующие действия, чтобы разрешить доступ к различным областям.Follow these steps to grant access at different scopes.

Назначение роли в областиAssign a role at a scope

  1. Откройте Управление доступом (IAM) для области, например группы управления, подписки, группы ресурсов или отдельного ресурса, чтобы просмотреть параметры доступа.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to grant access.

  2. Щелкните вкладку Назначения ролей, чтобы просмотреть все назначения ролей в этой области.Click the Role assignments tab to view all the role assignments at this scope.

  3. Щелкните Добавить > Добавить назначение ролей, чтобы открыть панель Добавить назначение ролей.Click Add > Add role assignment to open the Add role assignment pane.

    Если у вас нет прав назначать роли, функция "Добавить назначение роли" будет неактивна.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Меню "Добавить"

    Область "Добавить назначение ролей"

  4. В раскрывающемся списке Роли выберите роль, например Участник виртуальных машин.In the Role drop-down list, select a role such as Virtual Machine Contributor.

  5. В списке Выбор выберите пользователя, группу, субъект-службу или управляемое удостоверение.In the Select list, select a user, group, service principal, or managed identity. Если субъект безопасности не отображается в списке, введите его имя в поле Выбор, чтобы найти в каталоге отображаемые имена, адреса электронной почты и идентификаторы объектов.If you don't see the security principal in the list, you can type in the Select box to search the directory for display names, email addresses, and object identifiers.

  6. Чтобы присвоить роль, щелкните Сохранить.Click Save to assign the role.

    Через несколько секунд субъекту безопасности будет назначена роль в выбранной области.After a few moments, the security principal is assigned the role at the selected scope.

Предоставление пользователю прав администратора подпискиAssign a user as an administrator of a subscription

Чтобы предоставить пользователю права администратора подписки Azure, назначьте ему роль Владелец в этой подписке.To make a user an administrator of an Azure subscription, assign them the Owner role at the subscription scope. Роль "Владелец" предоставляет пользователю полный доступ ко всем ресурсам в подписке, включая право делегировать доступ другим пользователям.The Owner role gives the user full access to all resources in the subscription, including the right to delegate access to others. Этот процесс не отличается от любой процедуры назначения ролей.These steps are the same as any other role assignment.

  1. На портале Azure щелкните Все службы, а затем Подписки.In the Azure portal, click All services and then Subscriptions.

  2. Щелкните подписку, для которой нужно предоставить доступ.Click the subscription where you want to grant access.

  3. Щелкните Управление доступом (IAM) .Click Access control (IAM).

  4. Щелкните вкладку Назначения ролей, чтобы просмотреть все назначения ролей для этой подписки.Click the Role assignments tab to view all the role assignments for this subscription.

  5. Щелкните Добавить > Добавить назначение ролей, чтобы открыть панель Добавить назначение ролей.Click Add > Add role assignment to open the Add role assignment pane.

    Если у вас нет прав назначать роли, функция "Добавить назначение роли" будет неактивна.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Меню "Добавить"

    Область "Добавить назначение ролей"

  6. В раскрывающемся списке Роль выберите роль Владелец.In the Role drop-down list, select the Owner role.

  7. В списке Выбор выберите пользователя.In the Select list, select a user. Если пользователь не отображается в списке, введите его имя в поле Выбор, чтобы найти в каталоге отображаемые имена и адреса электронной почты.If you don't see the user in the list, you can type in the Select box to search the directory for display names and email addresses.

  8. Чтобы присвоить роль, щелкните Сохранить.Click Save to assign the role.

    Через несколько секунд пользователю будет назначена роль владельца в области действия подписки.After a few moments, the user is assigned the Owner role at the subscription scope.

Удаление назначений ролейRemove role assignments

В RBAC, чтобы удалить доступ, нужно удалить назначение роли.In RBAC, to remove access, you remove a role assignment. Чтобы закрыть доступ, выполните следующие действия.Follow these steps to remove access.

  1. Откройте Управление доступом (IAM) для области, например группы управления, подписки, группы ресурсов или отдельного ресурса, чтобы заблокировать доступ.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to remove access.

  2. Щелкните вкладку Назначения ролей, чтобы просмотреть все назначения ролей для этой подписки.Click the Role assignments tab to view all the role assignments for this subscription.

  3. В списке назначений ролей добавьте флажок рядом с именем субъекта безопасности, для которого нужно удалить назначение ролей.In the list of role assignments, add a checkmark next to the security principal with the role assignment you want to remove.

    Сообщение об удалении назначения роли

  4. Нажмите кнопку Удалить.Click Remove.

    Сообщение об удалении назначения роли

  5. В появившемся сообщении об отзыве назначения роли щелкните Да.In the remove role assignment message that appears, click Yes.

    Унаследованные назначения ролей удалить невозможно.Inherited role assignments cannot be removed. Если нужно удалить наследуемое назначение роли, сделайте это в области, в которой создано это назначение.If you need to remove an inherited role assignment, you must do it at the scope where the role assignment was created. В колонке Область возле элемента (Унаследовано) есть ссылка, по которой можно перейти к области, где была назначена эта роль.In the Scope column, next to (Inherited) there is a link that takes you to the scope where this role was assigned. Перейдите к области, которая указана в этом разделе, чтобы удалить назначение роли.Go to the scope listed there to remove the role assignment.

    Сообщение об удалении назначения роли

Дальнейшие действияNext steps