Steg för att tilldela en Azure-roll

Rollbaserad åtkomstkontroll i Azure (Azure RBAC) är det auktoriseringssystem som du använder för att hantera åtkomst till Azure-resurser. Om du vill bevilja åtkomst tilldelar du roller till användare, grupper, tjänsthuvudnamn eller hanterade identiteter i ett visst omfång. Den här artikeln beskriver de övergripande stegen för att tilldela Azure-roller med hjälp av Azure Portal, Azure PowerShell, Azure CLI eller REST-API:et.

Steg 1: Avgöra vem som behöver åtkomst

Du måste först avgöra vem som behöver åtkomst. Du kan tilldela en roll till en användare, grupp, tjänstens huvudnamn eller hanterad identitet. Detta kallas även för ett säkerhetsobjekt.

Säkerhetsobjekt för en rolltilldelning

  • Användare – en person som har en profil i Azure Active Directory. Du kan även tilldela roller till användare i andra klientorganisationer. Information om användare i andra organisationer finns i Azure Active Directory B2B.
  • Grupp – en uppsättning användare som skapas i Azure Active Directory. När du tilldelar en roll till en grupp får alla användare i gruppen den rollen.
  • Tjänstens huvudnamn – en säkerhetsidentitet som används av program eller tjänster för att få åtkomst till specifika Azure-resurser. Du kan se det som en användaridentitet (användarnamn och lösenord eller certifikat) för ett program.
  • Hanterad identitet – en identitet i Azure Active Directory som hanteras automatiskt av Azure. Normalt använder du hanterade identiteter när du utvecklar molnbaserade program för att hantera uppgifterna för autentisering i Azure-tjänster.

Steg 2: Välj lämplig roll

Behörigheter grupperas tillsammans i en rolldefinition. Det kallas vanligtvis bara för en roll. Du kan välja från en lista över flera inbyggda roller. Om de inbyggda rollerna inte uppfyller organisationens specifika krav, kan du skapa egna anpassade roller.

Rolldefinition för en rolltilldelning

Följande listar fyra grundläggande inbyggda roller. De första tre gäller för alla resurstyper.

  • Ägare – Har fullständig åtkomst till alla resurser, inklusive rätten att delegera åtkomst till andra.
  • Deltagare – Kan skapa och hantera alla typer av Azure-resurser, men kan inte bevilja åtkomst till andra.
  • Läsare – Kan visa befintliga Azure-resurser.
  • Administratör för användaråtkomst – Kan hantera användarnas åtkomst till Azure-resurser.

Resten av de inbyggda rollerna tillåter hantering av specifika Azure-resurser. Till exempel tillåter rollen Virtuell datordeltagare att en användare skapar och hanterar virtuella datorer.

  1. Börja med den omfattande artikeln, inbyggda Azure-roller. Tabellen överst i artikeln är ett index över informationen senare i artikeln.

  2. I den artikeln navigerar du till tjänstkategorin (till exempel beräkning, lagring och databaser) för den resurs som du vill bevilja behörigheter till. Det enklaste sättet att hitta det du letar efter är vanligtvis att söka på sidan efter ett relevant nyckelord, till exempel "blob", "virtuell dator" och så vidare.

  3. Granska rollerna som anges för tjänstkategorin och identifiera de specifika åtgärder du behöver. Börja alltid med den mest restriktiva rollen.

    Om ett säkerhetsobjekt till exempel behöver läsa blobar i ett Azure Storage-konto, men inte behöver skrivåtkomst, väljer du Storage Blob Data Reader i stället för Storage Blob Data Contributor (och definitivt inte rollen storage blobdataägare på administratörsnivå). Du kan alltid uppdatera rolltilldelningarna senare efter behov.

  4. Om du inte hittar någon lämplig roll kan du skapa en anpassad roll.

Steg 3: Identifiera det nödvändiga omfånget

Omfång är den uppsättning resurser som åtkomsten gäller för. I Azure kan du ange ett omfång på fyra nivåer: hanteringsgrupp, prenumeration, resursgrupp och resurs. Omfång är strukturerade i en överordnad/underordnad relation. Varje hierarkinivå gör omfånget mer specifikt. Du kan tilldela roller på någon av dessa omfångsnivåer. Den nivå du väljer avgör hur mycket rollen tillämpas. Lägre nivåer ärver rollbehörigheter från högre nivåer.

Omfång för en rolltilldelning

När du tilldelar en roll i ett överordnat omfång ärvs dessa behörigheter till de underordnade omfången. Ett exempel:

  • Om du tilldelar rollen Läsare till en användare i hanteringsgruppens omfång kan användaren läsa allt i alla prenumerationer i hanteringsgruppen.
  • Om du tilldelar rollen Faktureringsläsare till en grupp i prenumerationsomfånget kan medlemmarna i den gruppen läsa faktureringsdata för varje resursgrupp och resurs i prenumerationen.
  • Om du tilldelar rollen Deltagare till ett program i resursgruppomfånget kan den hantera resurser av alla typer i den resursgruppen, men inte i andra resursgrupper i prenumerationen.

Det är bästa praxis att bevilja säkerhetsobjekt den lägsta behörighet de behöver för att utföra sitt jobb. Undvik att tilldela bredare roller i bredare omfång även om det till en början verkar bekvämare. Genom att begränsa roller och omfång begränsar du vilka resurser som är i riskzonen om säkerhetsobjektet någonsin komprometteras. Mer information finns i Förstå omfång.

Steg 4. Kontrollera dina förutsättningar

Om du vill tilldela roller måste du vara inloggad med en användare som har tilldelats en roll som har skrivbehörighet för rolltilldelningar, till exempel Ägare eller Administratör för användaråtkomst i det omfång som du försöker tilldela rollen. Om du vill ta bort en rolltilldelning måste du också ha behörighet att ta bort rolltilldelningarna.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Om ditt användarkonto inte har behörighet att tilldela en roll i din prenumeration visas ett felmeddelande om att ditt konto "inte har behörighet att utföra åtgärden Microsoft.Authorization/roleAssignments/write". I det här fallet kontaktar du administratörerna för din prenumeration eftersom de kan tilldela behörigheterna åt dig.

Om du använder ett huvudnamn för tjänsten för att tilldela roller kan du få felet "Otillräcklig behörighet för att slutföra åtgärden". Det här felet beror troligen på att Azure försöker söka efter den tilldelade identiteten i Azure Active Directory (Azure AD) och tjänstens huvudnamn inte kan läsa Azure AD som standard. I det här fallet måste du ge tjänstens huvudnamn behörighet att läsa data i katalogen. Om du använder Azure CLI kan du också skapa rolltilldelningen med hjälp av objekt-ID:t för tilldelningen för att hoppa över Azure AD sökning. Mer information finns i Felsöka Azure RBAC.

Steg 5. Tilldela rollen

När du känner till säkerhetsobjektet, rollen och omfånget kan du tilldela rollen. Du kan tilldela roller med hjälp av Azure Portal, Azure PowerShell, Azure CLI, Azure SDK:er eller REST-API:er.

Du kan ha upp till 4 000 rolltilldelningar i varje prenumeration. Den här gränsen omfattar rolltilldelningar för prenumerations-, resursgrupps- och resursomfången. Du kan ha upp till 500 rolltilldelningar i varje hanteringsgrupp. Mer information finns i Felsöka Azure RBAC.

I följande artiklar finns detaljerade steg för hur du tilldelar roller.

Nästa steg