Assegnare ruoli di Azure

  • 3 minuti

Il controllo degli accessi in base al ruolo di Azure è il sistema di autorizzazione che si usa per gestire l'accesso alle risorse di Azure. Per concedere l'accesso, assegnare ruoli a utenti, gruppi, entità servizio o identità gestite in un ambito specifico. Passaggi principali da seguire per l'assegnazione di un ruolo di Azure:

  1. Chi richiede l'accesso?

    • Utente - Per l'attività è necessaria solo una singola persona. È possibile assegnare un ruolo agli utenti in altri tenant.
    • Gruppo - Usare quando è necessario concedere lo stesso ruolo a un set di utenti.
    • Entità servizio - Assegnare un ruolo a un'entità servizio quando si vuole concedere a un'applicazione l'accesso a una risorsa di Azure.
    • Identità gestita - Usare l'identità gestita quando si vuole che un'applicazione gestisca le credenziali per l'autenticazione.

  2. Selezionare il ruolo corretto. Usare i ruoli predefiniti o creare un ruolo personalizzato con le funzionalità specifiche necessarie.

    • Ruoli di Azure predefiniti

      • Proprietario - Accesso completo a tutte le risorse.
      • Collaboratore - Può creare e gestire tutti i tipi di risorse di Azure, ma non può concedere l'accesso.
      • Lettore - Può visualizzare le risorse di Azure disponibili.
      • Amministratore Accesso utenti - Assegna l'accesso alle risorse di Azure.
      • È possibile assegnare altri ruoli specifici dell'attività, ad esempio Collaboratore macchine virtuali.

  3. Identificare il livello da assegnare al ruolo (ambito). Ambito è il set di risorse a cui si applica l'accesso. In Azure è possibile specificare un ambito su quattro livelli: gruppo di gestione, sottoscrizione, gruppo di risorse e risorsa. Gli ambiti sono strutturati in una relazione padre-figlio. Ogni livello di gerarchia rende più specifico l'ambito. È possibile assegnare ruoli su uno qualsiasi di questi livelli di ambito. Il livello selezionato determina la portata dell'applicazione del ruolo. I livelli inferiori ereditano le autorizzazioni del ruolo da quelli superiori. Esempio:

    • Se assegni il ruolo Lettore a un utente nell'ambito del gruppo di gestione, tale utente può leggere tutto in tutte le sottoscrizioni nel gruppo di gestione.

    • Se assegni il ruolo Lettore fatturazione a un gruppo nell'ambito della sottoscrizione, i membri di tale gruppo possono leggere i dati di fatturazione per ogni gruppo di risorse e risorsa nella sottoscrizione.

    • Se assegni il ruolo Collaboratore a un'applicazione nell'ambito del gruppo di risorse, è possibile gestire risorse di tutti i tipi in quel gruppo di risorse, ma non altri gruppi di risorse nella sottoscrizione.

      È consigliabile concedere alle entità di sicurezza il privilegio minimo necessario per eseguire il proprio lavoro. Evitare di assegnare ruoli più ampi in ambiti più ampi anche se inizialmente sembra più pratico. Limitando ruoli e ambiti, si limitano anche le risorse a rischio in caso di compromissione dell'entità di sicurezza. Per altre informazioni, vedere Informazioni sull'ambito.

  4. Verificare che l'utente attualmente connesso disponga dei diritti necessari per assegnare il ruolo di Azure.

  5. Assegnare il ruolo . Quando sono noti l'entità di sicurezza, il ruolo e l'ambito, è possibile assegnare il ruolo. È possibile assegnare ruoli usando il portale di Azure, Azure PowerShell, l'interfaccia della riga di comando di Azure, gli SDK di Azure o le API REST. È possibile avere fino a 2000 assegnazioni di ruolo in ogni sottoscrizione. Questo limite include le assegnazioni di ruolo negli ambiti di sottoscrizione, gruppo di risorse e risorsa. È possibile avere fino a 500 assegnazioni di ruolo in ogni sottoscrizione.

Assegnare un ruolo di Azure dal portale

Screenshot of the Azure portal. It shows a sample resource group with the Assign Role selected.

Indipendentemente dall'utente, dal gruppo, dal gruppo di risorse o dalla sottoscrizione, si userà in genere la pagina Accesso al contenuto (IAM) per effettuare l'assegnazione. anche nota come Gestione delle identità e degli accessi (IAM) e visualizzata in diverse posizioni nel portale di Azure.

Assegnare un ruolo di Azure con uno script

PowerShell con il cmdlet di PowerShell di Microsoft Graph

New-AzRoleAssignment -ObjectId <objectId> `
-RoleDefinitionName <roleName> `
-Scope /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/<providerName>/<resourceType>/<resourceSubType>/<resourceName>

Script dell'interfaccia della riga di comando

az role assignment create --assignee "{assignee}" \
--role "{roleNameOrId}" \
--resource-group "{resourceGroupName}"