Действия по назначению роли Azure
Управление доступом на основе ролей Azure (Azure RBAC) — это система авторизации, используемая для управления доступом к ресурсам в Azure. Чтобы предоставить доступ, необходимо назначить роли пользователям, группам, субъектам-службам или управляемым удостоверениям в определенной области. В этой статье описываются высокоуровневые шаги по назначению ролей Azure с помощью портал Azure, Azure PowerShell, Azure CLI или REST API.
Шаг 1. Определение пользователей, которым требуется доступ
Сначала необходимо определить, кому нужен доступ. Роль можно назначить пользователю, группе, субъекту-службе или управляемому удостоверению. Его также называют субъектом безопасности.
- Пользователь — отдельный пользователь, имеющий профиль в идентификаторе Microsoft Entra. Роли можно также назначать пользователям в других клиентах. Сведения о пользователях в других организациях см. в разделе Microsoft Entra B2B.
- Группа — набор пользователей, созданных в идентификаторе Microsoft Entra. При назначении роли группе ее получают все пользователи в этой группе.
- Субъект-служба — это идентификатор безопасности, который используется приложениями или службами для доступа к определенным ресурсам Azure. Это что-то вроде удостоверения пользователя (имя пользователя и пароль или сертификат) для приложения.
- Управляемое удостоверение — удостоверение в идентификаторе Microsoft Entra, которое автоматически управляется Azure. Как правило, управляемые удостоверения используются при разработке облачных приложений. Эти удостоверения нужны для управления учетными данными, которые используются при проверке подлинности в службах Azure.
Шаг 2. Выбор подходящей роли
Разрешения объединяются в определение роли. Обычно это называется ролью. Вы можете выбрать из списка нескольких встроенных ролей. Если встроенные роли не соответствуют потребностям вашей организации, вы можете создать собственные пользовательские роли.
Роли упорядочены по ролям функций заданий и привилегированным администраторам.
Роли функции задания
Роли функции задания позволяют управлять определенными ресурсами Azure. Например, роль Участник виртуальных машин позволяет пользователю создавать виртуальные машины и управлять ими. Чтобы выбрать соответствующую роль функции задания, выполните следующие действия.
Для начала ознакомьтесь со статьей Встроенные роли Azure. Таблица в верхней части статьи является индексом для сведений, приведенных далее в этой статье.
В этой статье перейдите к категории службы (например, вычисление, хранение и базы данных) для ресурса, которому необходимо предоставить разрешения. Самый простой способ найти искомый объект — это, как правило, искать на странице релевантное ключевое слово, такое как "большой двоичный объект", "виртуальная машина" и т. д.
Просмотрите роли, перечисленные для категории службы, и определите необходимые действия. Опять же, всегда начинайте с наиболее ограниченных ролей.
Например, если субъекту безопасности необходимо считывать большие двоичные объекты в учетной записи хранения Azure, но доступ на запись не требуется, выберите Модуль чтения данных BLOB-объектов хранилища, а не Участник для данных BLOB-объектов хранилища (и, безусловно, не роль Владелец данных BLOB-объектов хранилища на уровне администратора). При необходимости назначения ролей всегда можно обновлять позднее.
Если подходящая роль не найдена, можно создать пользовательскую роль.
Роли привилегированного администратора
Роли привилегированного администратора — это роли, предоставляющие привилегированный доступ администратора, например возможность управлять ресурсами Azure или назначать роли другим пользователям. Следующие роли считаются привилегированными и применяются ко всем типам ресурсов.
| Роль Azure | Разрешения |
|---|---|
| Владелец |
|
| Участник |
|
| Контроль доступа Администратор istrator на основе ролей |
|
| Администратор доступа пользователей |
|
Рекомендации по использованию назначений ролей привилегированного администратора см. в рекомендациях по Azure RBAC. Дополнительные сведения см. в разделе "Определение роли привилегированного администратора".
Шаг 3. Определение необходимой области
Область — это набор ресурсов, к которым предоставляется доступ. В Azure область действия можно задать на четырех уровнях: группы управления, подписки, группы ресурсов и ресурса. Структура областей строится на отношениях "родитель-потомок". Каждый уровень иерархии делает область более конкретной. Вы можете назначать роли на любом из этих уровней области действия. Выбранный уровень определяет, насколько широка область применения роли. На более низких уровнях наследуются разрешения ролей более высоких уровней.
При назначении роли в родительской области дочерние области наследуют эти разрешения. Например:
- Если назначить роль Читатель пользователю в области действия группы управления, такой пользователь может читать все во всех подписках в группе управления.
- Если вы назначаете роль Читатель счетов группе в области подписки, участники этой группы могут читать данные выставления счетов для каждой группы ресурсов и ресурса в подписке.
- Если вы назначаете роль Участник приложению в области группы ресурсов, оно может управлять ресурсами всех типов в этой группе ресурсов, но не в других группах ресурсов в подписке.
Рекомендуется предоставлять субъектам безопасности минимальные привилегии, необходимые для выполнения их работы. Старайтесь не назначать более широкие роли в более широких областях, даже если изначально это кажется более удобным. При ограничении ролей и областей вы ограничиваете ресурсы, которые подвержены риску, если субъект безопасности когда-либо будет скомпрометирован. Дополнительные сведения об области см. в этой статье.
Шаг 4. Проверка необходимых компонентов
Чтобы назначить роли, необходимо войти с помощью пользователя, которому назначена роль с разрешением на запись назначений ролей, например на основе ролей контроль доступа Администратор istrator на область вы пытаетесь назначить эту роль. Аналогично, чтобы удалить назначение ролей, необходимо иметь разрешение на удаление назначений ролей.
Microsoft.Authorization/roleAssignments/writeMicrosoft.Authorization/roleAssignments/delete
Если у вашей учетной записи пользователя нет разрешения на назначение роли в подписке, появится сообщение об ошибке, что у вашей учетной записи нет авторизации для выполнения действия "Microsoft.Authorization/roleAssignments/write". В этом случае обратитесь к администраторам подписки, так как они могут назначить разрешения от вашего имени.
Если вы используете субъект-службу для назначения ролей, может появиться сообщение об ошибке "Недостаточно привилегий для завершения операции". Эта ошибка, скорее всего, связана с тем, что Azure пытается найти удостоверение назначаемого пользователя в идентификаторе Microsoft Entra ID, и субъект-служба по умолчанию не может прочитать идентификатор Microsoft Entra. В этом случае необходимо предоставить субъекту-службе разрешения на чтение данных в каталоге. Кроме того, если вы используете Azure CLI, можно создать назначение роли с помощью идентификатора объекта назначаемого получателя, чтобы пропустить поиск Microsoft Entra. Дополнительные сведения см. в статье об устранении неполадок службы Azure RBAC.
Шаг 5: Назначьте роль
Узнав субъект безопасности, роль и область, вы сможете назначить роль. Назначать роли можно с помощью портала Azure, Azure PowerShell, Azure CLI, пакетов SDK Azure или REST API.
В каждой подписке может быть до 4000 назначений ролей. Это ограничение распространяется на назначения ролей в пределах подписки, группы ресурсов и ресурсов. В каждой группе управления можно назначить до 500 ролей. Дополнительные сведения см. в разделе "Устранение неполадок с ограничениями Azure RBAC".
Подробные инструкции по назначению ролей см. в следующих статьях.
- Назначение ролей Azure с помощью портала Azure
- Назначение ролей Azure с помощью Azure PowerShell
- Назначение ролей Azure с помощью Azure CLI
- Назначение ролей Azure с помощью REST API