你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
根据条件将 Azure 角色分配管理委托给其他用户
作为管理员,你可能会收到很多请求,要求授予你想要委托给其他用户的 Azure 资源的访问权限。 可以为用户分配所有者或用户访问管理员角色,但这些角色是高度特权角色。 本文介绍一种将角色分配管理委托给组织中其他用户但为这些角色分配添加限制的更安全的方法。 例如,可以限制要分配的角色或限制可向其分配角色的主体。
下图显示了委托人如何根据条件仅将“备份参与者”或“备份读取者”角色分配给市场营销或销售组。
先决条件
若要分配 Azure 角色,必须具有:
Microsoft.Authorization/roleAssignments/write权限,例如基于角色的访问控制管理员或用户访问管理员
步骤 1:确定委托人所需的权限
若要帮助确定委托人所需的权限,请回答以下问题:
- 委托人可以分配哪些角色?
- 委托人可以向哪些类型的主体分配角色?
- 委托人可以向哪些主体分配角色?
- 委托人是否可以删除任何角色分配?
知道委托人所需的权限后,可以使用以下步骤向委托人的角色分配添加条件。 有关示例条件,请参阅根据条件委托 Azure 角色分配管理的示例。
步骤 2:开始新的角色分配
登录 Azure 门户。
按照步骤打开“添加角色分配”页。
在“角色”选项卡上,选择“特权管理员角色”选项卡。
选择“基于角色的访问控制管理员”角色。
此时将显示“条件”选项卡。
可以选择包含
Microsoft.Authorization/roleAssignments/write或Microsoft.Authorization/roleAssignments/delete操作的任何角色(例如用户访问管理员),但基于角色的访问控制管理员的权限较少。在“成员”选项卡上,查找并选择委托人。
步骤 3:添加条件
可以通过两种方法添加条件。 可以使用条件模板,也可以使用高级条件编辑器。
在“条件”选项卡上“用户可以执行的操作”下,选择“允许用户仅将所选角色分配给所选主体”选项(权限较少)”。
选择“选择角色和主体”。
此时会显示“添加角色分配条件”页,其中包含条件模板列表。
选择条件模板,然后选择“配置”。
条件模板 选择此模板以 约束角色 允许用户仅分配你选择的角色 约束角色和主体类型 允许用户仅分配你选择的角色
允许用户仅将这些角色分配给你选择的主体类型(用户、组或服务主体)约束角色和主体 允许用户仅分配你选择的角色
允许用户仅将这些角色分配给你选择的主体允许除特定角色之外的其他所有角色 允许用户分配除所选角色之外的所有角色 在配置窗格中,添加所需的配置。
选择“保存”以将条件添加到角色分配。
步骤 4:根据条件将角色分配给委托人
在“查看 + 分配”选项卡上,查看角色分配设置。
选择“查看 + 分配”以分配角色。
几分钟后,将根据你的角色分配条件为委托人分配“基于角色的访问控制管理员”角色。
步骤 5:根据条件委托分配角色
委托人现在可以按照步骤分配角色。
当委托人尝试在 Azure 门户中分配角色时,将筛选角色列表以仅显示他们可分配的角色。
如果主体有条件,则还可以筛选可用于分配的主体列表。
如果委托人尝试使用 API 分配超出条件的角色,则角色分配将失败并出现错误。 有关详细信息,请参阅故障描述 - 无法分配角色。
编辑条件
可以通过两种方法编辑条件。 可以使用条件模板,也可以使用条件编辑器。
在 Azure 门户中,针对包含要查看、编辑或删除的条件的角色分配,打开“访问控制 (IAM)”页。
选择“角色分配”选项卡并找到角色分配。
在“条件”列中,选择“查看/编辑”。
如果未看到“查看/编辑”链接,请确保你查看的是与角色分配相同的范围。
随即显示“添加角色分配条件”页面。 此页将有所不同,具体取决于条件是否与现有模板匹配。
如果条件与现有模板匹配,请选择“配置”以编辑条件。
如果条件与现有模板不匹配,请使用高级条件编辑器编辑条件。
例如,若要编辑条件,请向下滚动到生成表达式部分并更新属性、运算符或值。
若要直接编辑条件,请选择“代码”编辑器类型,然后编辑条件的代码。
完成后,单击“保存”以更新条件。
