Устранение неполадок в Azure RBACTroubleshoot Azure RBAC

В этой статье содержатся ответы на некоторые распространенные вопросы об управлении доступом на основе ролей в Azure (Azure RBAC), чтобы вы узнали, что следует рассчитывать при использовании ролей и может устранять неполадки доступа.This article answers some common questions about Azure role-based access control (Azure RBAC), so that you know what to expect when using the roles and can troubleshoot access problems.

Ограничение назначений ролей AzureAzure role assignments limit

Azure поддерживает до 2000 назначений ролей на подписку.Azure supports up to 2000 role assignments per subscription. Это ограничение распространяется на назначения ролей в пределах подписки, группы ресурсов и ресурсов.This limit includes role assignments at the subscription, resource group, and resource scopes. Если вы получаете сообщение об ошибке "больше не удается создать назначения ролей (код: Ролеассигнментлимитексцеедед)" при попытке назначить роль, попробуйте уменьшить число назначений ролей в подписке.If you get the error message "No more role assignments can be created (code: RoleAssignmentLimitExceeded)" when you try to assign a role, try to reduce the number of role assignments in the subscription.

Примечание

Ограничение на количество назначений ролей 2000 для каждой подписки фиксировано и не может быть увеличено.The 2000 role assignments limit per subscription is fixed and cannot be increased.

Если вы близки к этому ограничению, вот несколько способов уменьшить число назначений ролей:If you are getting close to this limit, here are some ways that you can reduce the number of role assignments:

  • Добавьте пользователей в группы и назначьте роли группам.Add users to groups and assign roles to the groups instead.
  • Объедините несколько встроенных ролей с пользовательской ролью.Combine multiple built-in roles with a custom role.
  • Сделайте распространенные назначения ролей в более высокой области, например в подписке или группе управления.Make common role assignments at a higher scope, such as subscription or management group.
  • Если у вас Azure AD Premium P2, сделайте назначения ролей доступными в Azure AD privileged Identity Management вместо постоянного назначения.If you have Azure AD Premium P2, make role assignments eligible in Azure AD Privileged Identity Management instead of permanently assigned.
  • Добавьте дополнительную подписку.Add an additional subscription.

Чтобы узнать число назначений ролей, можно просмотреть диаграмму на странице управления доступом (IAM) в портал Azure.To get the number of role assignments, you can view the chart on the Access control (IAM) page in the Azure portal. Можно также использовать следующие Azure PowerShell команды:You can also use the following Azure PowerShell commands:

$scope = "/subscriptions/<subscriptionId>"
$ras = Get-AzRoleAssignment -Scope $scope | Where-Object {$_.scope.StartsWith($scope)}
$ras.Count

Проблемы с назначениями ролей AzureProblems with Azure role assignments

  • Если не удается назначить роль в портал Azure управления доступом (IAM) , так как параметр добавления > назначения роли отключен или возникла ошибка разрешения "у клиента с идентификатором объекта нет авторизации на выполнение действия", убедитесь, что вы вошли в систему с помощью пользователя, которому назначена роль с Microsoft.Authorization/roleAssignments/write таким разрешением, как владелец или администратор доступа пользователей в области, которой вы пытаетесь назначить роль.If you are unable to assign a role in the Azure portal on Access control (IAM) because the Add > Add role assignment option is disabled or because you get the permissions error "The client with object id does not have authorization to perform action", check that you are currently signed in with a user that is assigned a role that has the Microsoft.Authorization/roleAssignments/write permission such as Owner or User Access Administrator at the scope you are trying to assign the role.

  • Если для назначения ролей используется субъект-служба, может возникнуть ошибка "недостаточно прав для выполнения операции".If you are using a service principal to assign roles, you might get the error "Insufficient privileges to complete the operation." Например, предположим, что у вас есть субъект-служба, которому назначена роль владельца, и вы пытаетесь создать следующее назначение роли в качестве субъекта-службы с помощью Azure CLI:For example, let's say that you have a service principal that has been assigned the Owner role and you try to create the following role assignment as the service principal using Azure CLI:

    az login --service-principal --username "SPNid" --password "password" --tenant "tenantid"
    az role assignment create --assignee "userupn" --role "Contributor"  --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"
    

    Если появляется сообщение об ошибке "недостаточно прав для выполнения операции", вероятно, Azure CLI пытается найти удостоверение уполномоченного пользователя в Azure AD, а субъект-служба не может прочитать Azure AD по умолчанию.If you get the error "Insufficient privileges to complete the operation", it is likely because Azure CLI is attempting to look up the assignee identity in Azure AD and the service principal cannot read Azure AD by default.

    Существует два способа устранения этой ошибки.There are two ways to potentially resolve this error. Первый способ — назначить роль " читатели каталога " субъекту-службе, чтобы она могла считывать данные в каталоге.The first way is to assign the Directory Readers role to the service principal so that it can read data in the directory.

    Второй способ устранения этой ошибки — создание назначения роли с помощью --assignee-object-id параметра, а не --assignee .The second way to resolve this error is to create the role assignment by using the --assignee-object-id parameter instead of --assignee. С помощью --assignee-object-id Azure CLI пропустит Поиск Azure AD.By using --assignee-object-id, Azure CLI will skip the Azure AD lookup. Необходимо получить идентификатор объекта пользователя, группы или приложения, которым требуется назначить роль.You will need to get the object ID of the user, group, or application that you want to assign the role to. Дополнительные сведения см. в статье назначение ролей Azure с помощью Azure CLI.For more information, see Assign Azure roles using Azure CLI.

    az role assignment create --assignee-object-id 11111111-1111-1111-1111-111111111111  --role "Contributor" --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"
    
  • Если вы попытаетесь удалить последнее назначение роли владельца для подписки, может появиться сообщение об ошибке "не удается удалить последнее назначение администратора RBAC.If you attempt to remove the last Owner role assignment for a subscription, you might see the error "Cannot delete the last RBAC admin assignment." Удаление назначения роли последнего владельца для подписки не поддерживается, чтобы избежать потери подписки.Removing the last Owner role assignment for a subscription is not supported to avoid orphaning the subscription. Если вы хотите отменить подписку, см. статью Отмена подписки Azure.If you want to cancel your subscription, see Cancel your Azure subscription.

Проблемы с пользовательскими ролямиProblems with custom roles

  • Инструкции по созданию настраиваемой роли см. в руководствах по настраиваемым ролям с помощью портал Azure (в настоящее время в предварительной версии), Azure PowerShellили Azure CLI.If you need steps for how to create a custom role, see the custom role tutorials using the Azure portal (currently in preview), Azure PowerShell, or Azure CLI.
  • Если вы не можете обновить существующую пользовательскую роль, убедитесь, что вы вошли в систему с помощью пользователя, которому назначена роль с Microsoft.Authorization/roleDefinition/write разрешением, таким как владелец или администратор доступа пользователей.If you are unable to update an existing custom role, check that you are currently signed in with a user that is assigned a role that has the Microsoft.Authorization/roleDefinition/write permission such as Owner or User Access Administrator.
  • Если не удается удалить пользовательскую роль и отображается сообщение об ошибке "Существуют назначения ролей, которые ссылаются на роль (код: RoleDefinitionHasAssignments)", это означает, что все еще есть назначения этой пользовательской роли.If you are unable to delete a custom role and get the error message "There are existing role assignments referencing role (code: RoleDefinitionHasAssignments)", then there are role assignments still using the custom role. Удалите эти назначения и снова попытайтесь удалить пользовательскую роль.Remove those role assignments and try to delete the custom role again.
  • Если при попытке создать пользовательскую роль отображается сообщение об ошибке "Превышено ограничение на определение ролей.If you get the error message "Role definition limit exceeded. Невозможно создать дополнительные определения ролей (код: Роледефинитионлимитексцеедед). при попытке создать новую пользовательскую роль удалите все пользовательские роли, которые не используются.No more role definitions can be created (code: RoleDefinitionLimitExceeded)" when you try to create a new custom role, delete any custom roles that aren't being used. Azure поддерживает до 5000 пользовательских ролей в каталоге.Azure supports up to 5000 custom roles in a directory. (Для Azure для Германии и Azure для Китая с помощью 21Vianet ограничение составляет 2000 пользовательских ролей.)(For Azure Germany and Azure China 21Vianet, the limit is 2000 custom roles.)
  • Если появляется сообщение об ошибке, похожее на "клиент имеет разрешение на выполнение действия" Microsoft. Authorization/roleDefinitions/Write "в области"/субскриптионс/{субскриптионид} ", но связанная подписка не найдена при попытке обновить пользовательскую роль, проверьте, не была ли удалена одна или несколько назначаемых областей в каталоге.If you get an error similar to "The client has permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on scope '/subscriptions/{subscriptionid}', however the linked subscription was not found" when you try to update a custom role, check whether one or more assignable scopes have been deleted in the directory. Если область удалена, создайте запрос в службу поддержки, так как способа самостоятельного решения этой проблемы пока не существует.If the scope was deleted, then create a support ticket as there is no self-service solution available at this time.

Пользовательские роли и группы управленияCustom roles and management groups

  • В пользовательской роли можно определить только одну группу управления AssignableScopes .You can only define one management group in AssignableScopes of a custom role. В настоящее время добавление группы управления в AssignableScopes доступно в режиме предварительной версии.Adding a management group to AssignableScopes is currently in preview.
  • Пользовательские роли с DataActions не могут быть назначены в области группы управления.Custom roles with DataActions cannot be assigned at the management group scope.
  • Azure Resource Manager не проверяет существование группы управления в назначаемой области определения роли.Azure Resource Manager doesn't validate the management group's existence in the role definition's assignable scope.
  • Дополнительные сведения о настраиваемых ролях и группах управления см. в статье организация ресурсов с помощью групп управления Azure.For more information about custom roles and management groups, see Organize your resources with Azure management groups.

Передача подписки в другой каталогTransferring a subscription to a different directory

  • Сведения о том, как передавать подписку в другой каталог Azure AD, см. в статье Перенос подписки Azure в другой каталог Azure AD.If you need steps for how to transfer a subscription to a different Azure AD directory, see Transfer an Azure subscription to a different Azure AD directory.
  • Если вы переносите подписку в другой каталог Azure AD, все назначения ролей окончательно удаляются из исходного каталога Azure AD и не переносятся в целевой каталог Azure AD.If you transfer a subscription to a different Azure AD directory, all role assignments are permanently deleted from the source Azure AD directory and are not migrated to the target Azure AD directory. Необходимо повторно создать назначения ролей в целевом каталоге.You must re-create your role assignments in the target directory. Также необходимо вручную создать управляемые удостоверения для ресурсов Azure.You also have to manually recreate managed identities for Azure resources. Дополнительные сведения см. в разделе часто задаваемые вопросы и известные проблемы с управляемыми удостоверениями.For more information, see FAQs and known issues with managed identities.
  • Если вы являетесь глобальным администратором Azure AD и у вас нет доступа к подписке после ее передачи между каталогами, используйте переключатель Управление доступом для ресурсов Azure , чтобы временно повысить уровень доступа , чтобы получить доступ к подписке.If you are an Azure AD Global Administrator and you don't have access to a subscription after it was transferred between directories, use the Access management for Azure resources toggle to temporarily elevate your access to get access to the subscription.

Проблемы с администраторами или соадминистраторами службIssues with service admins or co-admins

Отказ в доступе или ошибках разрешенийAccess denied or permission errors

  • Если при попытке создать ресурс появляется сообщение об ошибке разрешения "Клиент с идентификатором объекта не авторизован для выполнения действия с областью (код: AuthorizationFailed)", убедитесь, что вы вошли как пользователь, которому назначена роль с разрешением на запись для ресурса в выбранной области.If you get the permissions error "The client with object id does not have authorization to perform action over scope (code: AuthorizationFailed)" when you try to create a resource, check that you are currently signed in with a user that is assigned a role that has write permission to the resource at the selected scope. Например, для управления виртуальными машинами в группе ресурсов вам должна быть назначена роль Участник виртуальных машин для этой группы ресурсов (или вышестоящего уровня).For example, to manage virtual machines in a resource group, you should have the Virtual Machine Contributor role on the resource group (or parent scope). Список разрешений для каждой встроенной роли см. в статье встроенные роли Azure.For a list of the permissions for each built-in role, see Azure built-in roles.
  • Если при попытке создать или обновить запрос в службу поддержки появится сообщение об ошибке "у вас нет разрешения на создание запроса на поддержку", убедитесь, что вы вошли с пользователем, которому назначена роль с Microsoft.Support/supportTickets/write разрешением, например участник запроса на поддержку.If you get the permissions error "You don't have permission to create a support request" when you try to create or update a support ticket, check that you are currently signed in with a user that is assigned a role that has the Microsoft.Support/supportTickets/write permission, such as Support Request Contributor.

Перемещение ресурсов с помощью назначений ролейMove resources with role assignments

При перемещении ресурса с ролью Azure, назначенной непосредственно ресурсу (или дочернему ресурсу), назначение роли не перемещается и становится потерянным.If you move a resource that has an Azure role assigned directly to the resource (or a child resource), the role assignment is not moved and becomes orphaned. После перемещения необходимо повторно создать назначение ролей.After the move, you must re-create the role assignment. В конечном итоге назначение потерянной роли будет автоматически удалено, но рекомендуется удалить назначение ролей перед перемещением ресурса.Eventually, the orphaned role assignment will be automatically removed, but it is a best practice to remove the role assignment before moving the resource.

Дополнительные сведения о перемещении ресурсов см. в статье Перемещение ресурсов в новую группу ресурсов или подписку.For information about how to move resources, see Move resources to a new resource group or subscription.

Назначения ролей с удостоверением не найденыRole assignments with identity not found

В списке назначений ролей для портал Azure можно заметить, что субъект безопасности (пользователь, группа, субъект-служба или управляемое удостоверение) указан в списке удостоверение не найдено с неизвестным типом.In the list of role assignments for the Azure portal, you might notice that the security principal (user, group, service principal, or managed identity) is listed as Identity not found with an Unknown type.

Удостоверение не найдено в списке назначений ролей Azure

Удостоверение может быть не найдено по двум причинам:The identity might not be found for two reasons:

  • Вы недавно пригласили пользователя при создании назначения ролиYou recently invited a user when creating a role assignment
  • Вы удалили субъект безопасности с назначением ролиYou deleted a security principal that had a role assignment

Если вы недавно пригласили пользователя при создании назначения роли, этот субъект безопасности может по-прежнему находиться в процессе репликации между регионами.If you recently invited a user when creating a role assignment, this security principal might still be in the replication process across regions. В этом случае подождите несколько секунд и обновите список назначений ролей.If so, wait a few moments and refresh the role assignments list.

Однако если этот субъект безопасности не является недавно приглашенным пользователем, он может быть удаленным субъектом безопасности.However, if this security principal is not a recently invited user, it might be a deleted security principal. Если назначить роль субъекту безопасности, а затем удалить этот субъект безопасности без предварительного удаления назначения ролей, то субъект безопасности будет указан как удостоверение не найдено и неизвестный тип.If you assign a role to a security principal and then you later delete that security principal without first removing the role assignment, the security principal will be listed as Identity not found and an Unknown type.

Если вы перечислите назначение этой роли с помощью Azure PowerShell, то может отобразиться пустое DisplayName значение, а ObjectType для параметра задано неизвестное.If you list this role assignment using Azure PowerShell, you might see an empty DisplayName and an ObjectType set to Unknown. Например, командлет Get-азролеассигнмент Возвращает назначение роли, похожее на следующие выходные данные:For example, Get-AzRoleAssignment returns a role assignment that is similar to the following output:

RoleAssignmentId   : /subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope              : /subscriptions/11111111-1111-1111-1111-111111111111
DisplayName        :
SignInName         :
RoleDefinitionName : Storage Blob Data Contributor
RoleDefinitionId   : ba92f5b4-2d11-453d-a403-e96b0029c9fe
ObjectId           : 33333333-3333-3333-3333-333333333333
ObjectType         : Unknown
CanDelegate        : False

Аналогично, если вы перечислите назначение ролей с помощью Azure CLI, может отобразиться пустое значение principalName .Similarly, if you list this role assignment using Azure CLI, you might see an empty principalName. Например, AZ Role назначений List Возвращает назначение роли, похожее на следующие выходные данные:For example, az role assignment list returns a role assignment that is similar to the following output:

{
    "canDelegate": null,
    "id": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222",
    "name": "22222222-2222-2222-2222-222222222222",
    "principalId": "33333333-3333-3333-3333-333333333333",
    "principalName": "",
    "roleDefinitionId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleDefinitions/ba92f5b4-2d11-453d-a403-e96b0029c9fe",
    "roleDefinitionName": "Storage Blob Data Contributor",
    "scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
    "type": "Microsoft.Authorization/roleAssignments"
}

Не существует проблемы с тем, чтобы не выходить из этих назначений ролей, когда субъект безопасности был удален.It isn't a problem to leave these role assignments where the security principal has been deleted. При желании вы можете удалить эти назначения ролей, используя шаги, аналогичные другим назначениям ролей.If you like, you can remove these role assignments using steps that are similar to other role assignments. Сведения об удалении назначений ролей см. в разделе удаление назначений ролей Azure.For information about how to remove role assignments, see Remove Azure role assignments.

В PowerShell при попытке удаления назначений ролей с помощью идентификатора объекта и имени определения роли, а также нескольких назначений ролей, соответствующих Вашим параметрам, вы получите сообщение об ошибке: "указанные сведения не соответствуют назначению роли".In PowerShell, if you try to remove the role assignments using the object ID and role definition name, and more than one role assignment matches your parameters, you will get the error message: "The provided information does not map to a role assignment". Ниже приведен пример сообщения об ошибке.The following output shows an example of the error message:

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor"

Remove-AzRoleAssignment : The provided information does not map to a role assignment.
At line:1 char:1
+ Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : CloseError: (:) [Remove-AzRoleAssignment], KeyNotFoundException
+ FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.RemoveAzureRoleAssignmentCommand

Если вы получаете это сообщение об ошибке, убедитесь, что вы также указали -Scope -ResourceGroupName Параметры или.If you get this error message, make sure you also specify the -Scope or -ResourceGroupName parameters.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor" - Scope /subscriptions/11111111-1111-1111-1111-111111111111

Изменения назначения ролей не обнаруженыRole assignment changes are not being detected

Azure Resource Manager иногда кэширует конфигурации и данные для повышения производительности.Azure Resource Manager sometimes caches configurations and data to improve performance. При назначении ролей или удалении назначений ролей может потребоваться до 30 минут, чтобы изменения вступили в силу.When you assign roles or remove role assignments, it can take up to 30 minutes for changes to take effect. Если вы используете портал Azure, Azure PowerShell или Azure CLI, можно принудительно обновить изменения назначения ролей, выйдя из учетной записи и повторно войдя в нее.If you are using the Azure portal, Azure PowerShell, or Azure CLI, you can force a refresh of your role assignment changes by signing out and signing in. Если вы вносите изменения в назначения ролей с помощью вызовов REST API, можно принудительно обновить изменения, обновив маркер доступа.If you are making role assignment changes with REST API calls, you can force a refresh by refreshing your access token.

Если вы добавляете или удаляете назначение ролей в области группы управления, а роль имеет DataActions , то доступ к плоскости данных может не обновляться в течение нескольких часов.If you are add or remove a role assignment at management group scope and the role has DataActions, the access on the data plane might not be updated for several hours. Это относится только к области группы управления и плоскости данных.This applies only to management group scope and the data plane.

Компоненты веб-приложений, требующие доступа для записиWeb app features that require write access

Если предоставить пользователю доступ только для чтения к одному веб-приложению, некоторые компоненты могут неожиданно отключиться.If you grant a user read-only access to a single web app, some features are disabled that you might not expect. Перечисленные ниже возможности управления требуют доступа к веб-приложению с правом записи (роль участника или владельца), поэтому они недоступны при наличии прав только на чтение.The following management capabilities require write access to a web app (either Contributor or Owner), and aren't available in any read-only scenario.

  • Команды (такие как запуск, остановка и т. д.).Commands (like start, stop, etc.)
  • Изменение параметров, таких как общие параметры конфигурации, параметры масштабирования, резервного копирования и мониторинга.Changing settings like general configuration, scale settings, backup settings, and monitoring settings
  • Доступ к учетным данным для публикации и другим секретным сведениям, например к параметрам приложений и строкам подключения.Accessing publishing credentials and other secrets like app settings and connection strings
  • Журналы потоковой передачи.Streaming logs
  • Конфигурация журналов ресурсовResource logs configuration
  • Консоль (командная строка).Console (command prompt)
  • Активные и недавние развертывания (для локального непрерывного развертывания Git).Active and recent deployments (for local git continuous deployment)
  • Приблизительные затраты.Estimated spend
  • Веб-тестыWeb tests
  • Виртуальная сеть (видна читателю только в том случае, если ранее была настроена пользователем с доступом на запись).Virtual network (only visible to a reader if a virtual network has previously been configured by a user with write access).

Если у вас нет доступа ни к одной из этих плиток, попросите администратора предоставить вам доступ к веб-приложению с правами участника.If you can't access any of these tiles, you need to ask your administrator for Contributor access to the web app.

Ресурсы веб-приложений, требующие доступа для записиWeb app resources that require write access

Работа с веб-приложениями осложняется наличием нескольких взаимосвязанных ресурсов.Web apps are complicated by the presence of a few different resources that interplay. Вот типичная группа ресурсов, связанная с несколькими веб-сайтами:Here is a typical resource group with a couple of websites:

Группа ресурсов веб-приложений

В результате, если вы предоставите кому-либо доступ только к веб-приложению, многие функции в колонке веб-сайта на портале Azure будут отключены.As a result, if you grant someone access to just the web app, much of the functionality on the website blade in the Azure portal is disabled.

Для этих элементов требуется доступ на запись к плану службы приложений, который соответствует вашему веб-сайту:These items require write access to the App Service plan that corresponds to your website:

  • просмотр ценовой категории веб-приложения (например, "Бесплатный" или "Стандартный");Viewing the web app's pricing tier (Free or Standard)
  • параметры масштабирования (число экземпляров, размер виртуальной машины, настройки автоматического масштабирования);Scale configuration (number of instances, virtual machine size, autoscale settings)
  • квоты (квоты хранилища, пропускной способности, ресурсов ЦП).Quotas (storage, bandwidth, CPU)

Элементы, требующие доступа на запись ко всей группе ресурсов, которая содержит веб-сайт:These items require write access to the whole Resource group that contains your website:

  • Сертификаты и привязки TLS/SSL (сертификаты TLS/SSL могут совместно использоваться сайтами в одной группе ресурсов и в географическом расположении).TLS/SSL Certificates and bindings (TLS/SSL certificates can be shared between sites in the same resource group and geo-location)
  • Правила оповещенияAlert rules
  • параметры автоматического масштабирования;Autoscale settings
  • компоненты Application Insights;Application insights components
  • Веб-тестыWeb tests

Компоненты виртуальных машин, требующие доступа для записиVirtual machine features that require write access

Как и в случае с веб-приложениями, для некоторых функций в колонке виртуальной машины нужен доступ к виртуальной машине или другим ресурсам в группе ресурсов с правами на запись.Similar to web apps, some features on the virtual machine blade require write access to the virtual machine, or to other resources in the resource group.

Виртуальные машины связаны с доменными именами, виртуальными сетями, учетными записями хранения и правилами оповещений.Virtual machines are related to Domain names, virtual networks, storage accounts, and alert rules.

Элементы, требующие доступа к виртуальной машине с правом записи:These items require write access to the Virtual machine:

  • Конечные точкиEndpoints
  • IP-адресаIP addresses
  • ДискиDisks
  • РасширенияExtensions

Элементы, требующие доступа на запись как к виртуальной машине, так и к группе ресурсов, в которой она находится (а также к доменному имени):These require write access to both the Virtual machine, and the Resource group (along with the Domain name) that it is in:

  • Группа доступностиAvailability set
  • набор балансировки нагрузки;Load balanced set
  • Правила оповещенияAlert rules

Если у вас нет доступа ни к одному из этих элементов, попросите администратора предоставить вам права участника для группы ресурсов.If you can't access any of these tiles, ask your administrator for Contributor access to the Resource group.

Функции Azure и доступ для записиAzure Functions and write access

Для некоторых компонентов решения Функции Azure требуется доступ на запись.Some features of Azure Functions require write access. Например, если пользователю назначена роль читателя , он не сможет просматривать функции в приложении-функции.For example, if a user is assigned the Reader role, they will not be able to view the functions within a function app. На портале отобразится текст (Нет доступа).The portal will display (No access).

Сообщение об отсутствии доступа в приложении-функции

Пользователь с ролью читателя может щелкнуть вкладку Функции платформы и выбрать Все параметры, чтобы просмотреть некоторые параметры, связанные с приложением-функцией (так же, как для веб-приложения), но не может изменить эти параметры.A reader can click the Platform features tab and then click All settings to view some settings related to a function app (similar to a web app), but they can't modify any of these settings. Для доступа к этим возможностям потребуется роль участника .To access these features, you will need the Contributor role.

Дальнейшие действияNext steps