若要讓使用者成為 Azure 訂用帳戶的系統管理員,您可以在訂用帳戶範圍中指派 擁有者 角色。 擁有者角色可讓使用者完整存取訂用帳戶中的所有資源,包括授與其他人存取權的許可權。 由於擁有者角色是高度特殊許可權的角色,因此 Microsoft 建議您新增條件來限制角色指派。 例如,您可以允許使用者只將虛擬機參與者角色指派給服務主體。
本文說明如何以具有條件的 Azure 訂用帳戶系統管理員身分指派使用者。 針對任何其他角色指派,這些步驟都相同。
若要讓使用者成為 Azure 訂用帳戶的系統管理員,您可以在訂用帳戶範圍中指派 擁有者 角色。 擁有者角色可讓使用者完整存取訂用帳戶中的所有資源,包括授與其他人存取權的許可權。 由於擁有者角色是高度特殊許可權的角色,因此 Microsoft 建議您新增條件來限制角色指派。 例如,您可以允許使用者只將虛擬機參與者角色指派給服務主體。
本文說明如何以具有條件的 Azure 訂用帳戶系統管理員身分指派使用者。 針對任何其他角色指派,這些步驟都相同。
若要指派 Azure 角色,您必須具備:
Microsoft.Authorization/roleAssignments/write
許可權,例如角色型 存取控制 管理員 istrator 或 User Access 管理員 istrator執行下列步驟:
登入 Azure 入口網站。
在頂端的 [搜尋] 方塊中搜尋訂用帳戶。
按一下您要使用的訂用帳戶。
以下顯示範例訂用帳戶。
[存取控制 (IAM)] 是您通常用來指派角色以授與 Azure 資源存取權的頁面。 這也稱為身分識別與存取管理 (IAM),會出現在 Azure 入口網站的數個位置上。
按一下 [存取控制 (IAM)]。
以下顯示訂用帳戶的訪問控制 (IAM) 頁面範例。
按一下 [角色指派] 索引標籤,以檢視此範圍中的角色指派。
點擊 [新增]> [新增角色指派]。
若您沒有指派角色的權限,[新增角色指派] 選項將會被停用。
會開啟 [新增角色指派] 頁面。
擁有 者 角色授與完整存取權來管理所有資源,包括指派 Azure RBAC 中角色的能力。 您的訂用帳戶擁有者應限制在 3 位以內,以降低擁有者遭入侵而導致資料外洩的可能。
在 [ 角色] 索引標籤上,選取 [ 特殊許可權系統管理員角色] 索引標籤。
選取 [ 擁有者 ] 角色。
按一下 [下一步] 。
執行下列步驟:
在 [ 成員] 索引標籤上,選取 [ 使用者]、[群組] 或服務主體。
點擊 [選取成員]。
尋找並選取使用者。
您可以在 [選取] 方塊中輸入,以在目錄中搜尋顯示名稱或電子郵件地址。
按兩下 [ 儲存 ] 將使用者新增至 [成員] 清單。
在 [描述] 方塊中,輸入此角色指派的選用描述。
稍後您可以在角色指派清單中看到此描述。
按一下 [下一步] 。
由於擁有者角色是高度特殊許可權的角色,因此 Microsoft 建議您新增條件來限制角色指派。
在 [使用者可以執行的動作] 下的 [條件] 索引標籤上,選取 [允許使用者只將選取的角色指派給選取的主體 (權限較少)] 選項。
選取 [ 選取角色和主體]。
[新增角色指派條件] 頁面隨即出現,其中包含條件範本清單。
選取條件範本,然後選取 [ 設定]。
條件範本 | 選取此範本 |
---|---|
限制角色 | 允許使用者只指派您選取的角色 |
限制角色和主體類型 | 允許使用者只指派您選取的角色 允許使用者只將這些角色指派給您選取的主體類型(使用者、群組或服務主體) |
限制角色和主體 | 允許使用者只指派您選取的角色 允許使用者只將這些角色指派給您選取的主體 |
提示
如果您想要允許大部分的角色指派,但不允許特定的角色指派,您可以使用進階條件編輯器,並手動新增條件。 如需範例,請參閱 範例:允許大部分角色,但不允許其他人指派角色。
在 [設定] 窗格中,新增必要的組態。
選取 [ 儲存 ] 以將條件新增至角色指派。
執行下列步驟:
在 [檢閱 + 指派] 索引標籤上,檢閱角色指派設定。
點擊 [檢閱 + 指派] 以指派角色。
幾分鐘之後,即會將訂用帳戶的「擁有者」角色指派給使用者。
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: