Назначение ролей Azure с помощью портала Azure

Управление доступом на основе ролей Azure (Azure RBAC) — это система авторизации, используемая для управления доступом к ресурсам в Azure. Чтобы предоставить доступ, необходимо назначить роли пользователям, группам, субъектам-службам или управляемым удостоверениям в определенной области. В этой статье описывается порядок назначения ролей с помощью портала Azure.

Если вам необходимо назначить роли администратора в Azure Active Directory, см. статью Назначение ролей Azure AD пользователям.

Предварительные требования

Чтобы назначать роли Azure необходимо наличие:

• Microsoft.Authorization/roleAssignments/write таких привилегий, как Администратор доступа пользователей или Владелец

Шаг 1: Определите необходимую область

При назначении ролей необходимо указать область. Область — это набор ресурсов, к которым предоставляется доступ. В Azure область можно задать на четырех уровнях от широкого к узкому: на уровне группы управления, подписки, группы ресурсов или ресурса. Дополнительные сведения об области см. в этой статье.

1. Войдите на портал Azure.

2. В поле поиска вверху найдите область, к которой требуется предоставить доступ. Например, найдите Группы управления, Подписки, Группы ресурсовили какой-то определенный ресурс.

3. Щелкните на конкретный ресурс в этой области.

   Ниже показан пример группы ресурсов.

   

Шаг 2. Откройте страницу "Добавление назначения роли"

Управление доступом (IAM) — страница, на которой обычно назначаются роли для предоставления доступа к ресурсам Azure. Она также известна как Система управления идентификацией и доступом, ее можно увидеть в нескольких местах на портале Azure.

1. Выберите Управление доступом (IAM).

   Ниже показан пример страницы "Управление доступом (IAM)" для группы ресурсов.

   

2. Откройте вкладку Назначения ролей, чтобы просмотреть назначения ролей в этой области.

3. Нажмите Добавить>Добавить назначение роли.

   Если у вас нет прав назначать роли, функция "Добавить назначение роли" будет неактивна.

   

   Откроется страница "Добавление назначения роли".

Шаг 3. Выберите соответствующую роль

1. На вкладке Роль выберите роль, которую вы хотите использовать.

   Можно выполнить поиск роли по имени или описанию. Кроме того, можно отфильтровать роли по типу и категории.

   

2. Если вы хотите назначить роль привилегированного администратора, перейдите на вкладку Роли привилегированного администратора , чтобы выбрать роль.

   Привилегированные роли администратора — это роли, предоставляющие привилегированный доступ администратора, например возможность управлять ресурсами Azure или назначать роли другим пользователям. Не следует назначать роль привилегированного администратора, если вместо нее можно назначить роль функции задания. Если необходимо назначить привилегированную роль администратора, используйте узкую область, например группу ресурсов или ресурс. Дополнительные сведения см. в разделе Роли привилегированного администратора.

   

3. В столбце Сведения щелкните Просмотреть, чтобы получить дополнительные сведения о роли.

   

4. Щелкните Далее.

Шаг 4. Выберите пользователей, которым требуется доступ

1. На вкладке Участники выберите Пользователь, группа или субъект-служба, чтобы назначить выбранную роль одному пользователю, группе или субъекту-службе (приложению) Azure AD или нескольким.

   

2. Нажмите Выбор членов.

3. Найдите и выберите пользователей, группы или субъекты-службы.

   В поле Выбор введите строку для поиска в каталоге по отображаемым именам или адресам электронной почты.

   

4. Нажмите кнопку Выбрать , чтобы добавить пользователей, группы или субъекты-службы в список Участники.

5. Чтобы назначить выбранную роль одному управляемому удостоверению или нескольким, выберите Управляемое удостоверение.

6. Нажмите Выбор членов.

7. В области Выбор управляемых удостоверений укажите тип управляемое удостоверение, назначаемое системой или управляемое удостоверение, назначаемое пользователем.

8. Найдите и выберите управляемые удостоверения.

   Для управляемых удостоверений, назначенных системой, можно выбрать управляемые удостоверения по экземпляру службы Azure.

   

9. Нажмите кнопку Выбрать , чтобы добавить управляемые удостоверения в список Участники.

10. В поле Описание введите необязательное описание этого назначения роли.

    Позже это описание можно будет отобразить в списке назначений ролей.

11. Щелкните Далее.

Шаг 5. Добавление условия (необязательно)

Если выбрана роль, поддерживающая условия, появится вкладка Условия , и вы можете добавить условие в назначение роли. Условие — это дополнительная проверка, которую можно дополнительно добавить к назначению роли, чтобы обеспечить более детализированный контроль доступа.

Вкладка Условия будет выглядеть по-разному в зависимости от выбранной роли.

Условие делегата

Важно!

Делегирование назначений ролей Azure с помощью условий в настоящее время находится в предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Если вы выбрали одну из следующих привилегированных ролей, выполните действия, описанные в этом разделе.

• Владелец
• Администратор контроль доступа на основе ролей (предварительная версия)
• Администратор доступа пользователей

1. На вкладке Условия в разделе Тип делегирования выберите параметр Ограниченное (рекомендуется).

   

2. Щелкните Добавить условие , чтобы добавить условие, ограничивающее роли и субъекты, которым пользователь может назначать роли.

3. Выполните действия, описанные в разделе Делегирование задачи назначения ролей Azure другим пользователям с условиями (предварительная версия).

Условие хранения

Если вы выбрали одну из следующих ролей хранилища, выполните действия, описанные в этом разделе.

• участник данных BLOB-объектов хранилища;
• владелец данных BLOB-объектов хранилища;
• читатель данных больших двоичных объектов хранилища.
• Участник для данных очереди хранилища
• Обработчик сообщений данных в очереди хранилища
• Отправитель сообщений данных в очередь хранилища
• Читатель данных очереди хранилища

1. Щелкните Добавить условие , чтобы дополнительно уточнить назначения ролей на основе атрибутов хранилища.

   

2. Выполните действия, описанные в статье Добавление или изменение условий назначения ролей Azure.

Шаг 6. Назначение роли

1. На вкладке Review + assign (Проверка и назначение) проверьте параметры назначения роли.

   

2. Щелкните Проверить и назначить, чтобы назначить роль.

   Через несколько секунд субъекту безопасности будет назначена роль в выбранной области.

   

3. Если описание назначения роли не отображается, нажмите кнопку Изменить столбцы, чтобы добавить столбец Описание.

Дальнейшие действия

• Назначение пользователя администратором подписки Azure
• Удаление назначений ролей Azure
• Устранение неполадок Azure RBAC