Erstellen einer Rollenzuweisung

  • 2 Minuten

Die Rollenzuweisung ist der Vorgang, bei dem eine Rollendefinition auf einen Geltungsbereich für den Anforderer eingegrenzt wird, z. B. einzelne Benutzer*innen, Gruppen, Dienstprinzipale oder verwaltete Identitäten.

Wissenswertes zu Rollenzuweisungen

Sehen Sie sich die folgenden Merkmale von Rollenzuweisungen an:

  • Der Zweck der Rollenzuweisung besteht im Steuern des Zugriffs.

  • Der Geltungsbereich schränkt die Berechtigungen, die für eine Rolle definiert sind, für den zugewiesenen Anforderer ein.

  • Zugriff wird widerrufen, indem eine Rollenzuweisung entfernt wird.

  • Eine Ressource erbt die Rollenzuweisungen von ihrer übergeordneten Ressource.

  • Die effektiven Berechtigungen für einen Anforderer sind eine Kombination aus den Berechtigungen für die zugewiesenen Rollen des Anforderers und den Berechtigungen für die Rollen, die den angeforderten Ressourcen zugewiesen sind.

Überlegungen beim Zuweisen von Bereichsebenen für Rollen

Die folgende Abbildung zeigt ein Beispiel dafür, wie Bereiche für eine Rolle angewandt werden können, um für verschiedene Benutzer*innen unterschiedliche Zugriffsebenen zu gewähren. Überlegen Sie, wie Sie Bereiche für Ihre Rollen implementieren können, um aussagekräftige Aufgaben für Ihre Organisation zu erstellen.

Diagram that shows how a role assignment is created for a service principal, role definition, and access scope level.

In diesem Szenario ist die Zugriffsverwaltung wie folgt konfiguriert:

  • Es werden drei Sicherheitsprinzipale unterstützt: Benutzer*innen, Gruppen, Dienstprinzipale.

  • Es werden sechs integrierte Rollen implementiert und zwei benutzerdefinierte Rollen definiert: Reader Support Tickets und Virtual Machine Operator.

  • Die integrierte Rolle Mitwirkender verfügt über zwei Berechtigungssätze: Actions und NotActions.

  • Die Rolle Mitwirkender wird den Ressourcengruppen „Marketing“ und „Pharma-sales“ in unterschiedlichen Bereichen zugewiesen:

    • Marketing-Benutzer*innen erhalten in der Ressourcengruppe „Pharma-sales“ Zugriff für das Erstellen oder Verwalten beliebiger Azure-Ressourcen.

    • Marketingbenutzer*innen wird kein Zugriff auf Ressourcen außerhalb der Pharma-Sales-Ressourcengruppe gewährt.