Создание назначения роли
Назначение роли — это процесс создания области действия для определения роли, ограничивающей разрешения запрашивающей стороны, например пользователя, группы, субъекта-службы или управляемого удостоверения.
Важные сведения о назначениях ролей
Имейте в виду следующие особенности назначений ролей:
Цель назначения ролей — управление доступом.
Область ограничивает определенные для роли разрешения, которые будут доступны назначенной запрашивающей стороне.
Удаление назначения роли прекращает доступ.
Ресурс наследует назначения ролей от родительского ресурса.
Действующие разрешения запрашивающей стороны являются сочетанием разрешений назначенных ей ролей и разрешений ролей, назначенных запрошенным ресурсам.
Что следует учитывать при назначении уровней области действия ролям
На приведенной ниже схеме показан пример применения областей к роли для предоставления различных уровней доступа разным пользователям. Подумайте, как можно реализовать области для ролей, чтобы создать значимые назначения в вашей организации.
В этом сценарии применяется следующая конфигурация управления доступом:
Поддерживаются три субъекта безопасности: пользователь, группа, субъект-служба.
Реализованы шесть встроенных ролей, и определены две настраиваемые роли: Запросы на поддержку читателей и Оператор виртуальной машины.
Встроенная роль Участник имеет два набора разрешений: Actions и NotActions.
Роль участника назначается различным область группам ресурсов маркетинга и Pharma-sales:
Маркетинговые пользователи получают доступ к созданию или управлению любым ресурсом Azure в группе ресурсов Pharma-sales.
Маркетинговые пользователи не предоставляют доступ к ресурсам за пределами группы ресурсов Pharma-sales.