將 Azure 角色指派管理委派給有條件的其他人
身為系統管理員,您可能會收到數個要求,以授與您想要委派給其他人的 Azure 資源存取權。 您可以將擁有者或使用者存取 管理員 istrator 角色指派給使用者,但這些角色是高許可權角色。 本文說明將角色指派管理委派給組織中其他使用者的更安全方式,但新增這些角色指派的限制。 例如,您可以限制可指派的角色,或限制可指派角色的主體。
下圖顯示具有條件的委派如何只將備份參與者或備份讀取者角色指派給行銷或銷售群組。
必要條件
若要指派 Azure 角色,您必須具備:
Microsoft.Authorization/roleAssignments/write許可權,例如角色型 存取控制 管理員 istrator 或 User Access 管理員 istrator
步驟 1:判斷委派所需的許可權
若要協助判斷委派所需的許可權,請回答下列問題:
- 委派可以指派哪些角色?
- 委派可以將角色指派給何種類型?
- 委派可以指派角色給哪些主體?
- 委派是否可以移除任何角色指派?
一旦您知道委派所需的許可權,您可以使用下列步驟,將條件新增至委派的角色指派。 如需範例條件,請參閱 使用條件委派 Azure 角色指派管理的範例。
步驟 2:啟動新的角色指派
登入 Azure 入口網站。
請依照步驟開啟 [新增角色指派] 頁面。
在 [ 角色] 索引標籤上,選取 [ 特殊許可權系統管理員角色] 索引標籤 。
選取角色型 存取控制 管理員 istrator 角色。
[條件] 索引標籤隨即出現。
您可以選取包含
Microsoft.Authorization/roleAssignments/write或Microsoft.Authorization/roleAssignments/delete動作的任何角色,例如使用者存取 管理員 istrator,但角色型 存取控制 管理員 istrator 的許可權較少。在 [ 成員] 索引標籤上,尋找並選取委派。
步驟 3:新增條件
有兩種方式可以新增條件。 您可以使用條件範本,或使用進階條件編輯器。
在 [使用者可以執行的動作] 下的 [條件] 索引標籤上,選取 [允許使用者只將選取的角色指派給選取的主體(許可權較少)] 選項。
選取 [ 選取角色和主體]。
[新增角色指派條件] 頁面隨即出現,其中包含條件範本清單。
選取條件範本,然後選取 [ 設定]。
條件範本 選取此範本 限制角色 允許使用者只指派您選取的角色 限制角色和主體類型 允許使用者只指派您選取的角色
允許使用者只將這些角色指派給您選取的主體類型(使用者、群組或服務主體)限制角色和主體 允許使用者只指派您選取的角色
允許使用者只將這些角色指派給您選取的主體在 [設定] 窗格中,新增必要的組態。
選取 [ 儲存 ] 以將條件新增至角色指派。
步驟 4:將具有條件的角色指派給委派
在 [檢閱 + 指派] 索引標籤上,檢閱角色指派設定。
選取 [檢閱 + 指派] 以指派角色。
幾分鐘后,委派會指派角色型 存取控制 管理員 角色指派條件。
步驟 5:委派會指派具有條件的角色
委派現在可以遵循步驟來 指派角色。
當委派嘗試在 Azure 入口網站 中指派角色時,將會篩選角色清單,只顯示他們可以指派的角色。
如果主體有條件,也會篩選可用於指派的主體清單。
如果委派嘗試使用 API 指派超出條件的角色,則角色指派會失敗,併發生錯誤。 如需詳細資訊,請參閱 徵兆 - 無法指派角色。
