Роли Azure, Azure AD роли и классические роли администратора подписки

  • Статья

Если вы еще не знакомы с Azure, вам будет нелегко разобраться в многообразии ролей Azure. В этой статье описываются следующие роли и приводятся рекомендации по их использованию:

  • Роли Azure
  • Роли Azure Active Directory (Azure AD)
  • Роли классического администратора подписки

Для лучшего понимания ролей в Azure требуется определенная историческая справка. В первоначальном выпуске Azure для управления доступом к ресурсам использовались всего три роли администратора: администратор учетной записи, администратор служб и соадминистратор. Позже было добавлено управление доступом на основе ролей Azure (RBAC Azure). RBAC Azure — это новая система авторизации, которая обеспечивает более точное управление доступом к ресурсам Azure. В системе RBAC Azure есть множество встроенных ролей, которые можно назначать в различных областях. Кроме того, она позволяет создавать настраиваемые роли. Для управления такими ресурсами Azure AD, как пользователи, группы и домены, используется несколько ролей Azure AD.

На следующей схеме представлено общее представление о том, как связаны роли Azure, Azure AD роли и классические роли администратора подписки.

Схема различных ролей в Azure.

Роли Azure

Azure RBAC — это система авторизации, созданная на основе azure Resource Manager, которая обеспечивает точное управление доступом к ресурсам Azure, таким как вычисления и хранилище. Система RBAC Azure включает более 70 встроенных ролей. В системе Azure предусмотрены четыре основные роли. Первые три роли охватывают все типы ресурсов:

Роль Azure Разрешения Примечания
Владелец
  • Полный доступ ко всем ресурсам
  • Делегирование прав доступа другим пользователям
 Администратору служб и соадминистраторам назначается роль владельца в области действия подписки
Применяется ко всем типам ресурсов.
Участник
  • Создание ресурсов Azure любых типов и управление ими
  • Создание клиента в Azure Active Directory
  • Не может предоставлять права доступа другим пользователям
 Применяется ко всем типам ресурсов.
Читатель
  • Просмотр ресурсов Azure
 Применяется ко всем типам ресурсов.
Администратор доступа пользователей
  • Управление доступом пользователей к ресурсам Azure

Остальные встроенные роли разрешают управление определенными ресурсами Azure. Например, роль Участник виртуальных машин позволяет пользователю создавать виртуальные машины и управлять ими. Полный список встроенных ролей см. в статье Встроенные роли Azure.

Модель RBAC Azure поддерживается только порталом Azure и API-интерфейсами Azure Resource Manager. Пользователи, группы и приложения, которым назначены роли Azure, не могут использовать API классической модели развертывания Azure.

В портал Azure назначения ролей с помощью Azure RBAC отображаются на странице Управление доступом (IAM). Эта страница находится на портале, например в группах управления, подписках, группах ресурсов и различных ресурсах.

Снимок экрана: страница управления доступом (IAM) в портал Azure.

Щелкнув вкладку Роли , вы увидите список встроенных и настраиваемых ролей.

Снимок экрана: встроенные роли в портал Azure.

Дополнительные сведения см. в статье Назначение ролей Azure с помощью портала Azure.

Роли Azure AD

Azure AD роли используются для управления Azure AD ресурсами в каталоге, например для создания или изменения пользователей, назначения административных ролей другим пользователям, сброса паролей пользователей, управления лицензиями пользователей и управления доменами. В следующей таблице описываются некоторые основные роли Azure AD.

Роль Azure AD Разрешения Примечания
Глобальный администратор
  • Управление доступа ко всем административным функциям в Azure Active Directory, а также к службам, которые включены в федерацию с Azure Active Directory
  • Назначение ролей администратора другим пользователям
  • Сброс паролей для любого пользователя и других администраторов
 Пользователь, зарегистрировавший клиент Azure Active Directory, становится глобальным администратором.
Администратор пользователей
  • Создание всех аспектов пользователей и групп и управление ими
  • Управление запросами в службу поддержки
  • Мониторинг работоспособности служб
  • Изменение паролей для пользователей, администраторов службы технической поддержки и других администраторов пользователей
Администратор выставления счетов
  • Совершение покупок
  • Управление подписками
  • Управление запросами в службу поддержки
  • Мониторинг работоспособности службы

В портал Azure список ролей Azure AD можно просмотреть на странице Роли и администраторы. Полный список ролей Azure AD см. в статье Разрешения роли администратора в Azure Active Directory.

Снимок экрана: роли Azure AD в портал Azure.

Различия между ролями Azure и ролями Azure AD

Говоря в общих чертах, роли Azure управляют разрешениями на управление ресурсами Azure, а роли Azure AD управляют разрешениями на управление ресурсами Azure Active Directory. Сравнение различий приводится в следующей таблице.

Роли Azure Роли Azure AD
Управление доступом к ресурсам Azure Управление доступом к ресурсам Azure Active Directory
Поддержка пользовательских ролей Поддержка пользовательских ролей
Возможность указывать область действия на нескольких уровнях (группа управления, подписка, группа ресурсов, ресурс) Область может быть указана на уровне клиента (в масштабах всей организации), для административной единицы или отдельного объекта (например, для конкретного приложения)
Сведения о роли можно получить на портале Azure, в Azure CLI, Azure PowerShell, в шаблонах Azure Resource Manager и API REST Сведения о роли можно получить на портале администрирования Azure, в Центре администрирования Microsoft 365, в Microsoft Graph и AzureAD PowerShell

Перекрываются ли роли Azure и роли Azure AD?

По умолчанию действие любой роли Azure или роли Azure AD не распространяется на вторую из этих платформ. Тем не менее, если глобальный администратор повысит свой уровень доступа с помощью параметра Управление доступом для ресурсов Azure на портале Azure, глобальному администратору будет назначена роль Администратор доступа пользователей (роль Azure) для всех подписок соответствующего клиента. Роль администратора доступа пользователей позволяет предоставлять другим пользователям доступ к ресурсам Azure. Этот параметр может использоваться для восстановления доступа к подписке. Дополнительные сведения см. в статье Повышение прав доступа для управления всеми подписками Azure и группами управления.

Действие некоторых ролей Azure AD, например "глобальный администратор" или "администратор пользователей", распространяется на Azure AD и Microsoft 365. Например, если вам назначена роль глобального администратора, вы получите права глобального администратора только в Azure AD и Microsoft 365 и сможете, например, вносить изменения в Microsoft Exchange и Microsoft SharePoint. Тем не менее по умолчанию у глобального администратора отсутствуют права доступа к ресурсам Azure.

Схема: Azure RBAC и Azure AD роли.

Роли классического администратора подписки

В Azure предусмотрено три роли классического администратора подписки: администратор учетной записи, администратор службы и соадминистратор. Классические администраторы подписки имеют полный доступ к подписке Azure. Они могут управлять ресурсами с помощью портала Azure, интерфейсов API Azure Resource Manager и классической модели развертывания Azure. Учетной записи, используемой для регистрации в Azure, автоматически назначается роль администратора учетной записи и администратора службы. Дополнительные роли соадминистратора можно добавить уже позже. Администратор служб и соадминистратор имеют эквивалентные права доступа для пользователей, которым была назначена роль владельца (роль Azure) в области действия подписки. В следующей таблице представлены различия между этими тремя ролями классического администратора подписки.

Классический администратор подписки Ограничение Разрешения Примечания
Администратор учетной записи Один на учетную запись Azure
  • Может получать доступ к порталу Azure и управлять выставлением счетов
  • Управление выставлением счетов для всех подписок в учетной записи
  • Создание новых подписок
  • Отмена подписок
  • Изменение тарифного плана для подписки
  • Изменение администратора служб
  • Нельзя отменять подписки, если у нет роли "Администратор службы" или "Владелец подписки".
 По существу, это владелец подписки, которому выставляются счета.
Администратор служб Один на подписку Azure
  • Управление службами на портале Azure
  • Отмена подписки
  • Назначение роли соадминистратора пользователям
 По умолчанию для новой подписки администратор учетных записей является также администратором службы.
Администратор служб имеет эквивалентные права доступа для пользователя, которому назначена роль владельца в области действия подписки.
Администратор служб имеет полный доступ к порталу Azure.
Соадминистратор 200 на подписку
  • Те же привилегии доступа, что и администратор службы, но не может изменить связь подписок с Azure AD каталогов
  • Назначение пользователям роли соадминистратора без возможности изменения администратора службы
 Соадминистратор имеет эквивалентные права доступа для пользователя, которому назначена роль владельца в области действия подписки.

На вкладке Классические администраторы портала Azure вы можете управлять соадминистраторами или просмотреть данные об администраторах служб.

Снимок экрана: администраторы классической подписки Azure в портал Azure.

В портал Azure можно просмотреть или изменить администратора службы или администратора учетной записи на странице свойств подписки.

Снимок экрана: администратор учетных записей и администратор служб в портал Azure.

Дополнительные сведения см. в статье Классические администраторы подписок Azure.

Учетная запись Azure и подписки Azure

Учетная запись Azure используется для установления отношения выставления счетов. Учетная запись Azure представляет собой удостоверение пользователя, одну или несколько подписок Azure и связанный набор ресурсов Azure. Пользователь, создавший учетную запись, является администратором учетной записи для всех создаваемых в ее рамках подписок. Этот пользователь также по умолчанию назначается администратором служб для этой подписки.

Подписки Azure служат для организованного доступа к ресурсам Azure. Они также позволяют управлять составлением отчетов об использовании ресурса, выставлением счетов за использование и их оплатой. Каждая подписка может иметь различные настройки для выставления счетов и их оплаты, поэтому у вас могут быть разные подписки и тарифные планы для разных офисов, отделов, проектов и т. д. Каждая служба привязана к подписке, идентификатор которой может требоваться для выполнения программных операций.

Каждая подписка связана с каталогом Azure AD. Чтобы найти каталог, с которым связана подписка, перейдите в раздел Подписки на портале Azure и выберите подписку.

Управление учетными записями и подписками осуществляется на портале Azure.

Дальнейшие действия