Назначение пользователя администратору подписки Azure с условиями

Чтобы назначать роли Azure необходимо наличие:

• Microsoft.Authorization/roleAssignments/writeразрешения, такие как администратор на основе ролей контроль доступа или администратор доступа пользователей

Выполните следующие действия:

1. Войдите на портал Azure.

2. В поле поиска вверху найдите подписки.

3. Щелкните нужную подписку.

   Здесь показан пример подписки.

   

Управление доступом (IAM) — страница, на которой обычно назначаются роли для предоставления доступа к ресурсам Azure. Она также известна как Система управления идентификацией и доступом, ее можно увидеть в нескольких местах на портале Azure.

1. Выберите Управление доступом (IAM).

   Здесь показан пример страницы "Управление доступом (IAM)" для подписки:

   

2. Откройте вкладку Назначения ролей, чтобы просмотреть назначения ролей в этой области.

3. Нажмите Добавить>Добавить назначение роли.

   Если у вас нет прав назначать роли, функция "Добавить назначение роли" будет неактивна.

   

   Откроется страница "Добавление назначения роли".

Роль Владелец предоставляет полный доступ для управления всеми ресурсами, включая возможность назначать роли в Azure RBAC. У вас должно быть не более 3 владельцев подписки, чтобы снизить вероятность бреши в системе безопасности из-за компрометации владельца.

1. На вкладке "Роль" выберите вкладку "Привилегированные роли администратора".

   

2. Выберите роль Владелец.

3. Нажмите кнопку Далее.

Выполните следующие действия:

1. На вкладке Члены выберите Пользователь, группа или субъект-служба.

   

2. Щелкните Выбрать членов.

3. Найдите и выберите пользователя.

   В поле Выбор введите строку для поиска в каталоге по отображаемым именам или адресам электронной почты.

   

4. Нажмите кнопку Сохранить, чтобы добавить пользователя в список "Члены".

5. В поле Описание введите необязательное описание этого назначения роли.

   Позже это описание можно будет отобразить в списке назначений ролей.

6. Нажмите кнопку Далее.

Так как роль владельца является ролью с высоким уровнем привилегий, корпорация Майкрософт рекомендует добавить условие, чтобы ограничить назначение роли.

1. На вкладке "Условия" в разделе "Что может сделать пользователь", выберите параметр "Разрешить пользователю назначать только выбранные роли выбранным субъектам (меньше привилегий).

   

2. Выберите роли и субъекты.

   Откроется страница "Добавить условие назначения ролей" со списком шаблонов условий.

   

3. Выберите шаблон условия и нажмите кнопку "Настроить".

   Шаблон условия	Выберите этот шаблон, чтобы
   Ограничение ролей	Разрешить пользователю назначать только выбранные роли
   Ограничение ролей и типов субъектов	Разрешить пользователю назначать только выбранные роли Разрешить пользователю назначать эти роли только выбранным типам субъектов (пользователи, группы или субъекты-службы)
   Ограничение ролей и субъектов	Разрешить пользователю назначать только выбранные роли Разрешить пользователю назначать только эти роли выбранным участникам

   Совет

   Если вы хотите разрешить большинство назначений ролей, но не разрешать назначения определенных ролей, можно использовать редактор расширенных условий и вручную добавить условие. Пример см . в примере: разрешить большинство ролей, но не разрешать другим пользователям назначать роли.

4. В области настройки добавьте необходимые конфигурации.

   

5. Нажмите кнопку "Сохранить", чтобы добавить условие в назначение роли.

Выполните следующие действия:

1. На вкладке Проверка и назначение проверьте параметры назначения роли.

2. Щелкните Review + assign (Проверка и назначение), чтобы назначить роль.

   Через несколько секунд пользователю будет назначена роль владельца для подписки.