Klasik abonelik yönetici rolleri, Azure rolleri ve Azure AD rolleri

Azure'da yeniyseniz farklı rolleri kavrama konusunda zorluk yaşıyor olabilirsiniz. Bu makalede aşağıdaki roller ve bunları kullanacağınız zamanlar açıklanmaktadır:

  • Klasik abonelik yönetici rolleri
  • Azure rolleri
  • Azure Active Directory (Azure AD) rolleri

Azure'un geçmişine göz atmanız rolleri daha iyi anlamanıza yardımcı olabilir. Azure ilk kez kullanıma sunulduğunda kaynaklara erişim yalnızca üç yönetici rolüyle yönetiliyordu: Hesap Yöneticisi, Hizmet Yöneticisi ve Ortak Yönetici. Daha sonra Azure rol tabanlı erişim denetimi (Azure RBAC) eklendi. Azure RBAC, Azure kaynakları için daha ayrıntılı bir erişim yönetimi sunan daha yeni bir yetkilendirme sistemidir. Azure RBAC birçok yerleşik rol içerir, farklı kapsamlarda atanabilir ve kendi özel rollerinizi oluşturmanıza olanak sağlar. Azure AD'de kullanıcılar, gruplar ve etki alanları gibi kaynakları yönetmek için birkaç Azure AD rolü vardır.

Aşağıdaki diyagramda klasik abonelik yöneticisi rollerinin, Azure rollerinin ve Azure AD rollerinin nasıl ilişkili olduğunu üst düzey bir görünümle gösterebilirsiniz.

The different roles in Azure

Klasik abonelik yönetici rolleri

Hesap Yöneticisi, Hizmet Yöneticisi ve Ortak Yönetici, Azure'daki üç klasik abonelik yönetici rolüdür. Klasik abonelik yöneticileri, Azure aboneliğinde tam erişime sahiptir. Bu yöneticiler Azure portal, Azure Resource Manager API'leri ve klasik dağıtım modeli API'leri aracılığıyla kaynakları yönetebilir. Azure'a kaydolmak için kullanılan hesap otomatik olarak hem Hesap Yöneticisi hem de Hizmet Yöneticisi olarak ayarlanır. Kayıt işleminin ardından ek Ortak Yöneticiler eklenebilir. Hizmet Yöneticisi ve Ortak Yöneticiler, abonelik kapsamında Sahip rolü (bir Azure rolüdür) atanmış olan kullanıcılarla eşit düzeyde erişime sahiptir. Aşağıdaki tabloda bu üç klasik abonelik yönetici rolü arasındaki farklar gösterilmiştir.

Klasik abonelik yöneticisi Sınır İzinler Notlar
Hesap Yöneticisi Azure hesabı başına 1
  • Azure portala erişme ve faturalamayı yönetme
  • Hesaptaki tüm abonelikler için faturalamayı yönetme
  • Yeni abonelik oluşturma
  • Abonelikleri iptal etme
  • Aboneliğin faturalama bilgilerini değiştirme
  • Hizmet Yöneticisini değiştirme
  • Hizmet Yöneticisi veya abonelik Sahibi rolüne sahip olmadıkça abonelikleri iptal etme
Kavramsal açıdan aboneliğin faturalama sahibidir.
Hizmet Yöneticisi Azure aboneliği başına 1
  • Azure portal'da hizmetleri yönetme
  • Aboneliği iptal etme
  • Ortak Yönetici rolüne kullanıcı atama
Yeni bir abonelikte Hesap Yöneticisi varsayılan olarak Hizmet Yöneticisi olur.
Hizmet Yöneticisi, abonelik kapsamında Sahip rolü atanmış olan kullanıcıyla eşit düzeyde erişime sahiptir.
Hizmet Yöneticisi’nin Azure portala tam erişimi vardır.
Ortak Yönetici Abonelik başına 200
  • Hizmet Yöneticisi ile aynı erişim ayrıcalıklarına sahiptir, ancak aboneliklerin Azure dizinleriyle ilişkisini değiştiremez
  • Ortak Yönetici rolüne kullanıcı atayabilir ancak Hizmet Yöneticisini değiştiremez
Ortak Yönetici, abonelik kapsamında Sahip rolü atanmış olan kullanıcıyla eşit düzeyde erişime sahiptir.

Azure portalda Klasik yöneticiler sekmesini kullanarak Ortak Yöneticileri yönetebilir veya Hizmet Yöneticisini görüntüleyebilirsiniz.

Azure classic subscription administrators in the Azure portal

Azure portalda Hizmet Yöneticisi'ni görüntüleyebilir veya değiştirebilir ya da aboneliğinizin Özellikler dikey penceresinde Hesap Yöneticisi'ni görüntüleyebilirsiniz.

Account Administrator and Service Administrator in the Azure portal

Daha fazla bilgi için bkz. Azure klasik abonelik yöneticileri.

Azure hesabı ve Azure abonelikleri

Azure hesabı bir faturalama ilişkisini temsil eder. Azure hesabı bir kullanıcı kimliğinden, bir veya daha fazla Azure aboneliğinden ve ilgili Azure kaynakları kümesinden oluşur. Hesabı oluşturan kişi, bu hesapta oluşturulan tüm aboneliklerin Hesap Yöneticisi olur. Bu kişi ayrıca aboneliğin varsayılan Hizmet Yöneticisi de olur.

Azure abonelikleri, Azure kaynaklarına erişimi düzenlemenize de yardımcı olur. Ayrıca kaynak kullanımının nasıl raporlandığını, faturalandırıldığını ve ödendiği denetlemenize yardımcı olur. Her abonelik farklı bir faturalandırma ve ödeme ayarına sahip olabilir, bu nedenle ofise, departmana, projeye vs. göre farklı abonelikleriniz ve farklı planlarınız olabilir. Her hizmet bir aboneliğe aittir ve programlama işlemleri için abonelik kimliği gerekebilir.

Her abonelik bir Azure AD diziniyle ilişkilendirildi. Aboneliğin ilişkili olduğu dizini bulmak için Abonelikler'i Azure portal açın ve ardından bir abonelik seçerek dizini bulun.

Hesaplar ve abonelikler, Azure portal.

Azure rolleri

Azure RBAC, Azure Resource Manager'ı temel alan, işlem ve depolama gibi Azure kaynakları için ayrıntılı erişim yönetimi sağlayan bir yetkilendirme sistemidir. Azure RBAC'de 70'in üzerinde yerleşik rol bulunur. Dört temel Azure rolü vardır. İlk üçü tüm kaynak türleri için geçerlidir:

Azure rolü İzinler Notlar
Sahibi
  • Tüm kaynaklara tam erişim
  • Diğer kullanıcılara erişim yetkisi verme
Hizmet Yöneticisine ve Ortak Yöneticilere abonelik kapsamında Sahip rolü atanır
Tüm kaynak türleri için geçerlidir.
Katkıda Bulunan
  • Her türlü Azure kaynağını oluşturma ve yönetme
  • Azure Active Directory'de yeni kiracı oluşturma
  • Başkalarına erişim izni veremez
Tüm kaynak türleri için geçerlidir.
Okuyucu
  • Azure kaynaklarını görüntüleme
Tüm kaynak türleri için geçerlidir.
Kullanıcı Erişimi Yöneticisi
  • Azure kaynaklarına kullanıcı erişimini yönetme

Yerleşik rollerin diğerleri belirli Azure kaynakları için yönetim özellikleri sunar. Örneğin Sanal Makine Katılımcısı rolü, kullanıcının sanal makine oluşturmasını ve yönetmesini sağlar. Tüm yerleşik rollerin listesi için bkz. Azure yerleşik rolleri.

Azure RBAC yalnızca Azure portal ve Azure Resource Manager API'leri tarafından desteklenir. Azure rolleri atanmış olan kullanıcılar, gruplar ve uygulamalar Azure klasik dağıtım modeli API'lerini kullanamaz.

Azure portalda Azure RBAC kullanan rol atamaları Erişim denetimi (IAM) dikey penceresinde görünür. Bu dikey pencere portal genelinde yönetim grupları, abonelikler, kaynak grupları ve çeşitli kaynaklar gibi konumlarda bulunabilir.

Access control (IAM) blade in the Azure portal

Roller sekmesine tıklarken yerleşik ve özel rollerin listesini görebilirsiniz.

Built-in roles in the Azure portal

Daha fazla bilgi için bkz. Azure portalı kullanarak Azure rolleri atama.

Azure AD rolleri

Azure AD rolleri, kullanıcı oluşturma veya düzenleme, başkalarına yönetici rolleri atama, kullanıcı parolalarını sıfırlama, kullanıcı lisanslarını yönetme ve etki alanlarını yönetme gibi bir dizindeki Azure AD kaynaklarını yönetmek için kullanılır. Aşağıdaki tabloda, daha önemli Azure AD rollerinin bazıları açıklanmaktadır.

Azure AD rolü İzinler Notlar
Genel Yönetici
  • Azure Active Directory'deki tüm yönetim özelliklerine ve Azure Active Directory'yi federasyona ekleyen hizmetlere erişimi yönetme
  • Diğer kullanıcılara yönetici rolü atama
  • Tüm kullanıcıların ve diğer yöneticilerin parolasını sıfırlama
Azure Active Directory'ye kaydolan kullanıcı, Genel Yönetici olur.
Kullanıcı Yöneticisi
  • Kullanıcı ve grup oluşturma ve bunların tüm özelliklerini yönetme
  • Destek biletlerini yönetme
  • Hizmet durumunu izleme
  • Kullanıcıların, Yardım Masası yöneticilerinin ve Kullanıcı Yöneticilerinin parolalarını değiştirme
Faturalama yöneticisi
  • Satın alma gerçekleştirme
  • Abonelikleri yönetme
  • Destek biletlerini yönetme
  • Hizmet durumunu izleme

Azure portal, Azure AD rollerinin listesini Roller ve yöneticiler dikey penceresinde görebilirsiniz. Tüm Azure AD rollerinin bir listesi için Azure Active Directory Içindeki yönetici rolü izinleribölümüne bakın.

Azure AD roles in the Azure portal

Azure rolleri ile Azure AD rolleri arasındaki farklar

azure rolleri, yüksek düzeyde azure kaynakları 'nı yönetmek için izinleri kontrol ederken azure AD rolleri Azure Active Directory kaynaklarını yönetme izinlerini denetler. Farkların bazıları aşağıdaki tabloda karşılaştırılmıştır.

Azure rolleri Azure AD rolleri
Azure kaynaklarına erişimi yönetme Azure Active Directory kaynaklarına erişimi yönetme
Özel rolleri destekler Özel rolleri destekler
Birden fazla düzeyde (yönetim grubu, abonelik, kaynak grubu, kaynak) kapsam belirtilebilir Kapsam , kiracı düzeyinde (kuruluş genelinde), yönetim biriminde veya tek bir nesne üzerinde (örneğin, belirli bir uygulama) belirtilebilir
Rol bilgilerine Azure portal, Azure CLI, Azure PowerShell, Azure Resource Manager şablonları, REST API'si aracılığıyla erişilebilir rol bilgilerine Azure yönetim portalı, Microsoft 365 yönetim merkezi, Microsoft Graph, azuread PowerShell ile erişilebilir

Azure rolleri ve Azure AD rolleri çakışıyor mu?

Azure rolleri ve Azure AD rolleri varsayılan olarak Azure'ı ve Azure AD'yi kapsamaz. Ancak, bir genel yönetici Azure portal Azure kaynakları Için erişim yönetimini seçerek erişimini yükseltir, genel yöneticiye belirli bir kiracının tüm aboneliklerinde Kullanıcı erişimi yönetici rolü (bir Azure rolü) verilecektir. Kullanıcı Erişimi Yöneticisi, kullanıcının diğer kullanıcılara Azure kaynaklarına erişim izni vermesini sağlar. Bu seçenek bir aboneliğe yeniden erişim elde etmek konusunda faydalı olabilir. Daha fazla bilgi için bkz. Tüm Azure aboneliklerini ve yönetim gruplarını yönetmek amacıyla erişimi yükseltme.

azure ad ve Microsoft 365 yayılmış genel yönetici ve kullanıcı yöneticisi rolleri gibi çeşitli azure ad rolleri. örneğin, genel yönetici rolünün bir üyesiyseniz, Azure AD 'de ve Microsoft 365 microsoft Exchange ve microsoft SharePoint üzerinde değişiklik yapma gibi genel yönetici özelliklerine sahip olursunuz. Ancak Genel Yönetici varsayılan olarak Azure kaynaklarına erişim sahibi değildir.

Azure RBAC versus Azure AD roles

Sonraki adımlar