Hantera åtkomst till Azure-resurser med RBAC och Azure PortalManage access to Azure resources using RBAC and the Azure portal

Rollbaserad åtkomstkontroll (RBAC) är metoden som du använder när du hanterar åtkomst till Azure-resurser.Role-based access control (RBAC) is the way that you manage access to Azure resources. Den här artikeln beskriver hur du hanterar åtkomst med hjälp av Azure Portal.This article describes how you manage access using the Azure portal. Om du behöver hantera åtkomst till Azure Active Directory, se Visa och tilldela administratörs roller i Azure Active Directory.If you need to manage access to Azure Active Directory, see View and assign administrator roles in Azure Active Directory.

FörutsättningarPrerequisites

Om du vill lägga till och ta bort roll tilldelningar måste du ha:To add and remove role assignments, you must have:

Översikt över åtkomst kontroll (IAM)Overview of Access control (IAM)

Åtkomst kontroll (IAM) är det blad som du använder för att hantera åtkomst till Azure-resurser.Access control (IAM) is the blade that you use to manage access to Azure resources. Det kallas även identitets-och åtkomst hantering och visas på flera platser i Azure Portal.It's also known as identity and access management and appears in several locations in the Azure portal. Följande visar ett exempel på bladet åtkomst kontroll (IAM) för en prenumeration.The following shows an example of the Access control (IAM) blade for a subscription.

Åtkomst kontroll (IAM) bladet för en prenumeration

I följande tabell beskrivs hur några av elementen används för:The following table describes what some of the elements are use for:

# ElementElement Det du använder den förWhat you use it for
11 Resurs där åtkomst kontroll (IAM) är öppenResource where Access control (IAM) is opened Identifiera omfattning (prenumeration i det här exemplet)Identify scope (subscription in this example)
22 Knappen Lägg tillAdd button Lägg till roll tilldelningarAdd role assignments
33 Kontrol lera åtkomst flikenCheck access tab Visa roll tilldelningarna för en enskild användareView the role assignments for a single user
44 Fliken roll tilldelningarRole assignments tab Visa roll tilldelningarna i det aktuella omfångetView the role assignments at the current scope
55 Fliken rollerRoles tab Visa alla roller och behörigheterView all roles and permissions

För att bli mest effektiv med åtkomst kontroll (IAM)-bladet hjälper det om du kan besvara följande tre frågor när du försöker hantera åtkomst:To be the most effective with the Access control (IAM) blade, it helps if you can answer the following three questions when you are trying to manage access:

  1. Vem behöver åtkomst?Who needs access?

    Som refererar till en användare, grupp, tjänstens huvud namn eller en hanterad identitet.Who refers to a user, group, service principal, or managed identity. Detta kallas även för ett säkerhets objekt.This is also called a security principal.

  2. Vilka behörigheter behöver de?What permissions do they need?

    Behörigheter grupperas tillsammans i roller.Permissions are grouped together into roles. Du kan välja från en lista över flera inbyggda roller.You can select from a list of several built-in roles.

  3. Var behöver de ha åtkomst?Where do they need access?

    Där refererar till den uppsättning resurser som åtkomsten gäller för.Where refers to the set of resources that the access applies to. Var kan vara en hanterings grupp, en prenumeration, en resurs grupp eller en enskild resurs, till exempel ett lagrings konto.Where can be a management group, subscription, resource group, or a single resource such as a storage account. Detta kallas för omfånget.This is called the scope.

Öppna åtkomst kontroll (IAM)Open Access control (IAM)

Det första du behöver bestämma är var du ska öppna bladet åtkomst kontroll (IAM).The first thing you need to decide is where to open the Access control (IAM) blade. Det beror på vilka resurser som du vill hantera åtkomst för.It depends on what resources you want to manage access for. Vill du hantera åtkomst för allt i en hanterings grupp, allt i en prenumeration, allt i en resurs grupp eller en enskild resurs?Do you want to manage access for everything in a management group, everything in a subscription, everything in a resource group, or a single resource?

  1. I Azure Portal klickar du på alla tjänster och väljer sedan omfånget.In the Azure portal, click All services and then select the scope. Du kan till exempel välja hanterings grupper, prenumerationer, resurs gruppereller en resurs.For example, you can select Management groups, Subscriptions, Resource groups, or a resource.

  2. Klicka på den aktuella resursen.Click the specific resource.

  3. Klicka på åtkomstkontroll (IAM) .Click Access control (IAM).

    Följande visar ett exempel på bladet åtkomst kontroll (IAM) för en prenumeration.The following shows an example of the Access control (IAM) blade for a subscription. Om du gör ändringar i åtkomst kontrollen gäller de för hela prenumerationen.If you make any access control changes here, they would apply to the entire subscription.

    Åtkomst kontroll (IAM) bladet för en prenumeration

Visa roller och behörigheterView roles and permissions

En rolldefinition är en uppsättning behörigheter som du använder för rolltilldelningar.A role definition is a collection of permissions that you use for role assignments. Azure har över 70 inbyggda roller för Azure-resurser.Azure has over 70 built-in roles for Azure resources. Följ dessa steg om du vill visa tillgängliga roller och behörigheter.Follow these steps to view the available roles and permissions.

  1. Öppna åtkomst kontroll (IAM) i valfri omfattning.Open Access control (IAM) at any scope.

  2. Klicka på fliken roller om du vill se en lista över alla inbyggda och anpassade roller.Click the Roles tab to see a list of all the built-in and custom roles.

    Du kan se hur många användare och grupper som har tilldelats varje roll i det aktuella omfånget.You can see the number of users and groups that are assigned to each role at the current scope.

    Lista över roller

  3. Klicka på en enskild roll om du vill se vem som har tilldelats den här rollen och även Visa behörigheterna för rollen.Click an individual role to see who has been assigned this role and also view the permissions for the role.

    Roll tilldelningar

Visa rolltilldelningarView role assignments

När du hanterar åtkomst vill du veta vem som har åtkomst, vilka behörigheter som finns och i vilken omfattning.When managing access, you want to know who has access, what are their permissions, and at what scope. Om du vill visa åtkomst för en användare, grupp, tjänstens huvud namn eller hanterad identitet visar du roll tilldelningarna.To list access for a user, group, service principal, or managed identity, you view their role assignments.

Visa roll tilldelningar för en enskild användareView role assignments for a single user

Följ dessa steg om du vill visa åtkomsten för en enskild användare, grupp, tjänstens huvud namn eller hanterad identitet i ett visst omfång.Follow these steps to view the access for a single user, group, service principal, or managed identity at a particular scope.

  1. Öppna åtkomst kontroll (IAM) i ett omfång, till exempel hanterings grupp, prenumeration, resurs grupp eller resurs, där du vill visa åtkomst.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to view access.

  2. Klicka på fliken Kontrollera åtkomst.Click the Check access tab.

    Åtkomstkontroll – fliken Kontrollera åtkomst

  3. I listan Hitta väljer du den typ av säkerhetsprincip som du vill kontrollera åtkomst för.In the Find list, select the type of security principal you want to check access for.

  4. I sökrutan anger du en sträng för att söka i katalogen efter visningsnamn, e-postadresser eller objektidentifierare.In the search box, enter a string to search the directory for display names, email addresses, or object identifiers.

    Välj lista för Kontrollera åtkomst

  5. Klicka på säkerhetsprincipen för att öppna fönsterrutan tilldelningar.Click the security principal to open the assignments pane.

    fönsterrutan tilldelningar

    I den här fönsterrutan kan du se de roller som tilldelats till den valda säkerhetsprincipen och omfånget.On this pane, you can see the roles assigned to the selected security principal and the scope. Om det finns några nekande tilldelningar i det här omfånget eller som ärvts till det här omfånget visas de.If there are any deny assignments at this scope or inherited to this scope, they will be listed.

Visa alla roll tilldelningar i ett omfångView all role assignments at a scope

  1. Öppna åtkomst kontroll (IAM) i ett omfång, till exempel hanterings grupp, prenumeration, resurs grupp eller resurs, där du vill visa åtkomst.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to view access.

  2. Klicka på fliken roll tilldelningar för att visa alla roll tilldelningar i det här omfånget.Click the Role assignments tab to view all the role assignments at this scope.

    Åtkomst kontroll – fliken roll tilldelningar

    På fliken roll tilldelningar kan du se vem som har åtkomst till det här omfånget.On the Role assignments tab, you can see who has access at this scope. Observera att vissa roller är begränsade till den här resursen medan andra är (Ärvda) från ett annat omfång.Notice that some roles are scoped to This resource while others are (Inherited) from another scope. Åtkomst tilldelas antingen specifikt till den här resursen eller ärvts från en tilldelning till det överordnade omfånget.Access is either assigned specifically to this resource or inherited from an assignment to the parent scope.

Lägg till en rolltilldelningAdd a role assignment

I RBAC för att bevilja åtkomst tilldelar du en roll till en användare, grupp, tjänstens huvud namn eller hanterad identitet.In RBAC, to grant access, you assign a role to a user, group, service principal, or managed identity. Följ dessa steg om du vill bevilja åtkomst i olika omfattningar.Follow these steps to grant access at different scopes.

Tilldela en roll i ett omfångAssign a role at a scope

  1. Öppna åtkomst kontroll (IAM) i ett omfång, till exempel hanterings grupp, prenumeration, resurs grupp eller resurs, där du vill bevilja åtkomst.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to grant access.

  2. Klicka på fliken roll tilldelningar för att visa alla roll tilldelningar i det här omfånget.Click the Role assignments tab to view all the role assignments at this scope.

  3. Klicka på Lägg till > Lägg till rolltilldelning för att öppna fönsterrutan Lägg till rolltilldelning.Click Add > Add role assignment to open the Add role assignment pane.

    Om du inte har behörighet att tilldela roller är alternativet Lägg till rolltilldelning inaktiverat.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Menyn Lägg till

    Fönsterrutan Lägg till rolltilldelning

  4. I listrutan Roll väljer du en roll, till exempel Virtuell datordeltagare.In the Role drop-down list, select a role such as Virtual Machine Contributor.

  5. Välj en användare, grupp, tjänstens huvud namn eller hanterad identitet i listan Välj .In the Select list, select a user, group, service principal, or managed identity. Om du inte ser säkerhetsobjekt i listan kan du ange visningsnamn, e-postadresser och objektidentifierare i rutanVälj om du vill söka i katalogen.If you don't see the security principal in the list, you can type in the Select box to search the directory for display names, email addresses, and object identifiers.

  6. Klicka på Spara för att tilldela rollen.Click Save to assign the role.

    Efter en liten stund tilldelas säkerhets objekt rollen i det valda omfånget.After a few moments, the security principal is assigned the role at the selected scope.

Tilldela en användare som administratör för en prenumerationAssign a user as an administrator of a subscription

Om du vill göra en användare till en administratör för en Azure-prenumeration tilldelar du den till ägar rollen i prenumerations omfånget.To make a user an administrator of an Azure subscription, assign them the Owner role at the subscription scope. Rollen ägare ger fullständig åtkomst till alla resurser i prenumerationen, inklusive rätten att ge åtkomst till andra.The Owner role gives the user full access to all resources in the subscription, including the right to delegate access to others. De här stegen är desamma som för andra rolltilldelningar.These steps are the same as any other role assignment.

  1. I Azure-portalen klickar du på Alla tjänster och sedan Prenumerationer.In the Azure portal, click All services and then Subscriptions.

  2. Klicka på prenumerationen du vill ge åtkomst till.Click the subscription where you want to grant access.

  3. Klicka på åtkomstkontroll (IAM) .Click Access control (IAM).

  4. Klicka på fliken Rolltilldelningar så att du ser alla rolltilldelningar för prenumerationen.Click the Role assignments tab to view all the role assignments for this subscription.

  5. Klicka på Lägg till > Lägg till rolltilldelning för att öppna fönsterrutan Lägg till rolltilldelning.Click Add > Add role assignment to open the Add role assignment pane.

    Om du inte har behörighet att tilldela roller är alternativet Lägg till rolltilldelning inaktiverat.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Menyn Lägg till

    Fönsterrutan Lägg till rolltilldelning

  6. I listrutan Roll väljer du rollen Ägare.In the Role drop-down list, select the Owner role.

  7. Välj en användare i listan Välj.In the Select list, select a user. Om du inte ser användaren i listan kan du ange visningsnamn och e-postadresser i rutan Välj om du vill söka i katalogen.If you don't see the user in the list, you can type in the Select box to search the directory for display names and email addresses.

  8. Klicka på Spara för att tilldela rollen.Click Save to assign the role.

    Efter en stund tilldelas rollen Ägare till användaren i prenumerationsomfånget.After a few moments, the user is assigned the Owner role at the subscription scope.

Ta bort rolltilldelningarRemove role assignments

I RBAC kan du ta bort en rolltilldelning för att ta bort åtkomst.In RBAC, to remove access, you remove a role assignment. Följ dessa steg om du vill ta bort åtkomst.Follow these steps to remove access.

  1. Öppna åtkomst kontroll (IAM) i ett omfång, till exempel hanterings grupp, prenumeration, resurs grupp eller resurs, där du vill ta bort åtkomsten.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to remove access.

  2. Klicka på fliken Rolltilldelningar så att du ser alla rolltilldelningar för prenumerationen.Click the Role assignments tab to view all the role assignments for this subscription.

  3. Lägg till en bock intill säkerhetsobjektet med rolltilldelningen som du vil ta bort i listan med rolltilldelningar.In the list of role assignments, add a checkmark next to the security principal with the role assignment you want to remove.

    Ta bort rolltilldelningsmeddelande

  4. Klicka på Ta bort.Click Remove.

    Ta bort rolltilldelningsmeddelande

  5. I meddelandet om att ta bort rolltilldelningen klickar du på Ja.In the remove role assignment message that appears, click Yes.

    Ärvda tilldelningar kan inte tas bort.Inherited role assignments cannot be removed. Om du behöver ta bort en ärvd tilldelning så måste du göra det i samma omfång som där rolltilldelningen skapades.If you need to remove an inherited role assignment, you must do it at the scope where the role assignment was created. I kolumnen omfattning bredvid (ärvd) finns en länk som tar dig till den omfattning där rollen tilldelades.In the Scope column, next to (Inherited) there is a link that takes you to the scope where this role was assigned. Gå till omfånget som visas där om du vill ta bort rolltilldelningen.Go to the scope listed there to remove the role assignment.

    Ta bort rolltilldelningsmeddelande

Nästa stegNext steps