你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用 Azure 基于角色的访问控制管理对 Azure 环境的访问

管理用户对 Azure 资源和订阅的访问是 Azure 治理策略的重要组成部分。 分配基于组的访问权限和特权是一种适当做法。 处理组而不是单个用户的方式简化了访问策略的维护，提供了跨团队的一致访问管理，并减少了配置错误。 Azure 基于角色的访问控制 (Azure RBAC) 是在 Azure 中管理访问权限的主要方法。

使用 Azure RBAC 可在 Azure 中管理资源的访问权限。 它可以帮助你管理谁有权访问 Azure 资源、他们可对这些资源执行哪些操作，以及他们的访问范围是什么。

规划访问控制策略时，请授予用户完成工作所需的最低权限。 下图显示了分配 Azure RBAC 的建议模式。

规划访问控制方法时，请尝试与组织中的人员合作。 建议与安全性与合规性、IT 管理和企业架构方面的人员合作。

云采用框架进一步提供了有关如何在云采用过程中使用 Azure 基于角色的访问控制的指导。

操作

授予资源组访问权限：

若要授予用户访问资源组的权限，请执行以下操作：

1. 转到“资源组”。
2. 选一个择资源组。
3. 选择“访问控制 (IAM)”。
4. 选择“+ 添加” > “添加角色分配”。
5. 选择一个角色，然后为其分配对用户、组或服务主体的访问权限。

授予订阅访问权限：

若要授予用户访问订阅的权限，请执行以下操作：

1. 请转到 订阅。
2. 选择一个订阅。
3. 选择“访问控制 (IAM)”。
4. 选择“+ 添加” > “添加角色分配”。
5. 选择一个角色，然后为其分配对用户、组或服务主体的访问权限。

授予资源组访问权限

若要授予用户访问资源组的权限，请执行以下操作：

1. 转到“资源组”。
2. 选一个择资源组。
3. 选择“访问控制 (IAM)”。
4. 选择“+ 添加” > “添加角色分配”。
5. 选择一个角色，然后将该访问权限分配给用户、组或服务主体。

授予订阅访问权限

若要授予用户访问订阅的权限，请执行以下操作：

1. 请转到 订阅。
2. 选择一个订阅。
3. 选择“访问控制 (IAM)”。
4. 选择“+ 添加” > “添加角色分配”。
5. 选择一个角色，然后将该访问权限分配给用户、组或服务主体。

了解详细信息

若要了解更多信息，请参阅以下文章：

• 什么是 Azure 基于角色的访问控制 (Azure RBAC)？
• 云采用框架：使用 Azure 基于角色的访问控制