Bearbeiten

Zuweisen von Azure-Rollen über das Azure-Portal

  • Vorgehensweise

Azure RBAC (Role-Based Access Control, rollenbasierte Zugriffssteuerung) ist das Autorisierungssystem für die Verwaltung des Zugriffs auf Azure-Ressourcen. Sie weisen Benutzern, Gruppen, Dienstprinzipalen oder verwalteten Identitäten für einen bestimmten Bereich Rollen zu, um diesen Zugriff zu gewähren. In diesem Artikel wird die Zuweisung von Rollen über das Azure-Portal beschrieben.

Wenn Sie Administratorrollen in Microsoft Entra ID zuweisen müssen, lesen Sie die Informationen unter Zuweisen von Microsoft Entra-Rollen zu Benutzern.

Voraussetzungen

Zum Zuweisen von Azure-Rollen müssen Sie über Folgendes verfügen:

Schritt 1: Identifizieren des erforderlichen Bereichs

Wenn Sie Rollen zuweisen, müssen Sie einen Bereich angeben. Ein Bereich ist der für den Zugriff geltende Ressourcensatz. In Azure können Sie einen Bereich auf vier Ebenen angeben (von weit nach eng): Verwaltungsgruppe, Abonnement, Ressourcengruppe und Ressource. Weitere Informationen finden Sie unter Grundlagen des Bereichs für Azure RBAC.

Abbildung der Bereichsebenen für Azure RBAC.

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie im oberen Suchfeld nach dem Bereich, für den Sie Zugriff gewähren möchten. Suchen Sie beispielsweise nach Verwaltungsgruppen, Abonnements, Ressourcengruppen oder eine bestimmten Ressource.

  3. Klicken Sie auf die gewünschte Ressource für diesen Bereich.

    Die folgende Abbildung zeigt eine Beispielressourcengruppe.

    Screenshot: Übersichtsseite einer Ressourcengruppe.

Schritt 2: Öffnen der Seite „Rollenzuweisung hinzufügen“

Die Zuweisung von Rollen zum Gewähren von Zugriff auf Azure-Ressourcen erfolgt in der Regel über die Seite Zugriffssteuerung (IAM) . Diese wird auch als Identity & Access Management (IAM) bezeichnet und wird an mehreren Stellen im Azure-Portal angezeigt.

  1. Klicken Sie auf Zugriffssteuerung (IAM) .

    Die folgende Abbildung zeigt ein Beispiel der Seite „Zugriffssteuerung (IAM)“ für eine Ressourcengruppe.

    Screenshot: Seite „Zugriffssteuerung (IAM)“ für eine Ressourcengruppe.

  2. Klicken Sie auf die Registerkarte Rollenzuweisungen, um die Rollenzuweisungen für diesen Bereich anzuzeigen.

  3. Klicken Sie auf Hinzufügen>Rollenzuweisung hinzufügen.

    Wenn Sie keine Berechtigungen zum Zuweisen von Rollen haben, ist die Option „Rollenzuweisung hinzufügen“ deaktiviert.

    Screenshot: Menü „Hinzufügen > Rollenzuweisung hinzufügen“

    Die Seite Rollenzuweisung hinzufügen wird geöffnet.

Schritt 3: Auswählen der geeigneten Rolle

Führen Sie folgende Schritte aus:

  1. Wählen Sie auf der Registerkarte Rolle eine Rolle aus, die Sie verwenden möchten.

    Sie können nach einer Rolle anhand des Namens oder der Beschreibung suchen. Sie können Rollen auch nach Typ und Kategorie filtern.

    Screenshot: Seite „Rollenzuweisung hinzufügen“ mit der Registerkarte „Rolle“

  2. Wenn Sie eine privilegierte Administratorrolle zuweisen möchten, wählen Sie die Registerkarte Privilegierte Administratorrollen aus, um die Rolle auszuwählen.

    Bewährte Methoden für die Verwendung der Zuweisungen privilegierter Administratorrollen finden Sie unter Bewährte Methoden für Azure RBAC.

    Screenshot: Seite „Rollenzuweisung hinzufügen“ mit ausgewählter Registerkarte „Privilegierte Administratorrollen“

  3. Klicken Sie in der Spalte Details auf Anzeigen, um weitere Details zu einer Rolle abzurufen.

    Screenshot: Bereich „Rollendetails anzeigen“ mit der Registerkarte „Berechtigungen“.

  4. Klicken Sie auf Weiter.

Schritt 4: Auswählen zugriffsberechtigter Benutzer

Führen Sie folgende Schritte aus:

  1. Wählen Sie auf der Registerkarte Mitglieder die Option Benutzer, Gruppe oder Dienstprinzipal aus, um die ausgewählte Rolle mindestens einem Microsoft Entra-Benutzer, einer Gruppe oder einem Dienstprinzipal (Anwendung) zuzuweisen.

    Screenshot: Seite „Rollenzuweisung hinzufügen“ mit der Registerkarte „Mitglieder“

  2. Klicken Sie auf Mitglieder auswählen.

  3. Suchen Sie nach den Benutzern, Gruppen oder Dienstprinzipalen, und wählen Sie sie aus.

    Sie können im Feld Auswählen einen Begriff eingeben, um das Verzeichnis nach Anzeigename oder E-Mail-Adresse zu durchsuchen.

    Screenshot: Bereich „Mitglieder auswählen“.

  4. Klicken Sie auf Auswählen, um die Benutzer*innen, Gruppen oder Dienstprinzipale der Liste „Mitglieder“ hinzuzufügen.

  5. Um die ausgewählte Rolle mindestens einer verwalteten Identität zuzuweisen, wählen Sie Verwaltete Identität aus.

  6. Klicken Sie auf Mitglieder auswählen.

  7. Wählen Sie im Bereich Select managed identities (Verwaltete Identitäten auswählen) aus, ob der Typ User-assigned managed identity (Benutzerseitig zugewiesene verwaltete Identität) oder System-assigned managed identity (Systemseitig zugewiesene verwaltete Identität) ist.

  8. Suchen Sie nach den verwalteten Identitäten, und wählen Sie sie aus.

    Bei systemseitig zugewiesenen verwalteten Identitäten können Sie verwaltete Identitäten nach Azure-Dienstinstanz auswählen.

    Screenshot: Bereich „Verwaltete Identitäten auswählen“.

  9. Klicken Sie auf Auswählen, um die verwalteten Identitäten der Liste „Mitglieder“ hinzuzufügen.

  10. Geben Sie im Feld Beschreibung eine optionale Beschreibung für diese Rollenzuweisung ein.

    Sie können diese Beschreibung später in der Liste der Rollenzuweisungen anzeigen.

  11. Klicken Sie auf Weiter.

Schritt 5: (Optional) Hinzufügen einer Bedingung

Wenn Sie eine Rolle ausgewählt haben, die Bedingungen unterstützt, wird die Registerkarte Bedingungen angezeigt, und Sie haben die Möglichkeit, Ihrer Rollenzuweisung eine Bedingung hinzuzufügen. Eine Bedingung ist eine zusätzliche Überprüfung, die Sie ihrer Rollenzuweisung optional hinzufügen können, um eine genauere Zugriffssteuerung zu ermöglichen.

Die Registerkarte Bedingungen sieht je nach ausgewählter Rolle anders aus.

Delegierungsbedingung

Wichtig

Weitergabe der Azure-Rollenzuweisungsverwaltung mit Bedingungen befindet sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Wenn Sie eine der folgenden privilegierten Rollen ausgewählt haben, führen Sie die Schritte in diesem Abschnitt aus.

  1. Wählen Sie auf der Registerkarte Bedingungen unter Welche Aktionen eine Benutzerin oder ein Benutzer ausführen kann, die Option Zulassen, dass die Benutzerin bzw. der Benutzer nur ausgewählte Rollen zu ausgewählten Prinzipalen (geringere Berechtigungen) zuweisen kann.

    Screenshot: Seite „Rollenzuweisung hinzufügen“ mit ausgewählter Option „Eingeschränkt“

  2. Klicken Sie auf Rollen und Prinzipale auswählen, um eine Bedingung hinzuzufügen, die die Rollen und Prinzipale einschränkt, denen dieser Benutzer Rollen zuweisen kann.

  3. Führen Sie die Schritte unter Delegieren der Azure-Rollenzuweisungsverwaltung an andere Personen mit Bedingungen aus.

Speicherbedingung

Wenn Sie eine der folgenden Speicherrollen ausgewählt haben, führen Sie die Schritte in diesem Abschnitt aus.

  1. Klicken Sie auf Bedingung hinzufügen, wenn Sie die Rollenzuweisungen basierend auf Speicherattributen weiter optimieren möchten.

    Screenshot: Seite „Rollenzuweisung hinzufügen“ mit der Registerkarte „Bedingung hinzufügen“.

  2. Führen Sie die Schritte unter Hinzufügen und Bearbeiten von Bedingungen für die Azure-Rollenzuweisung über das Azure-Portal aus.

Schritt 6: Zuweisen einer Rolle

Führen Sie folgende Schritte aus:

  1. Überprüfen Sie auf der Registerkarte Überprüfen und zuweisen die Einstellungen für die Rollenzuweisung.

    Screenshot: Seite „Rolle zuweisen“ mit der Registerkarte „Überprüfen und zuweisen“.

  2. Klicken Sie auf Überprüfen und zuweisen, um die Rolle zuzuweisen.

    Nach einigen Augenblicken wird dem Sicherheitsprinzipal die Rolle für den Bereich zugewiesen.

    Screenshot: Rollenzuweisungsliste nach dem Zuweisen einer Rolle.

  3. Wenn die Beschreibung für die Rollenzuweisung nicht angezeigt wird, klicken Sie auf Spalten bearbeiten, um die Spalte Beschreibung hinzuzufügen.

Zugehöriger Inhalt