你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 Azure 角色分配管理委派给有条件的其他人
作为管理员,可能会收到多个请求,以授予对要委派给其他人的 Azure 资源的访问权限。 你可以为用户分配所有者或用户访问管理员istrator 角色,但这些角色是高特权角色。 本文介绍将角色分配管理委派给组织中的其他用户的更安全方法,但为这些角色分配添加限制。 例如,可以约束可分配的角色,或限制可向其分配角色的主体。
下图显示了具有条件的委托如何只能将备份参与者或备份读取者角色分配给市场营销或销售组。
先决条件
若要分配 Azure 角色,必须具有:
Microsoft.Authorization/roleAssignments/write
权限,例如基于角色访问控制 管理员istrator 或用户访问管理员istrator
步骤 1:确定委托所需的权限
若要帮助确定委托所需的权限,请回答以下问题:
- 委托人可以分配哪些角色?
- 委托人可以向哪些类型的主体分配角色?
- 委托人可以向哪些主体分配角色?
- 委托人是否可以删除任何角色分配?
知道委托所需的权限后,可以使用以下步骤向委托的角色分配添加条件。 有关示例条件,请参阅 使用条件委托 Azure 角色分配管理的示例。
步骤 2:启动新的角色分配
登录 Azure 门户。
按照步骤 打开“添加角色分配”页。
在 “角色 ”选项卡上,选择 “特权管理员角色 ”选项卡。
选择“基于角色”访问控制 管理员istrator 角色。
此时会显示“ 条件 ”选项卡。
可以选择包含
Microsoft.Authorization/roleAssignments/write
或Microsoft.Authorization/roleAssignments/delete
操作的任何角色,例如用户访问管理员istrator,但基于角色访问控制 管理员istrator 的权限更少。在 “成员 ”选项卡上,找到并选择委托。
步骤 3:添加条件
可以通过两种方法添加条件。 可以使用条件模板,也可以使用高级条件编辑器。
步骤 4:分配有条件的角色以委派
在“查看 + 分配”选项卡上,查看角色分配设置。
选择“查看 + 分配”以分配角色。
片刻之后,委托将分配有角色分配条件的基于角色访问控制 管理员角色角色。
步骤 5:委托分配有条件的角色
委托现在可以按照步骤 分配角色。
当委托尝试在Azure 门户中分配角色时,将筛选角色列表以仅显示他们可分配的角色。
如果主体有条件,则还可以筛选可用于分配的主体列表。
如果委托尝试使用 API 分配超出条件的角色,则角色分配失败并出现错误。 有关详细信息,请参阅 症状 - 无法分配角色。