若要將使用者設定為 Azure 訂用帳戶的管理員,請在訂用帳戶範圍為其指派擁有者角色。 「擁有者」角色可授與使用者訂用帳戶中所有資源的完整存取權,包括將存取權授與其他人的權限。 由於「擁有者」是具有高特殊權限的角色,因此 Microsoft 建議您新增條件來限制角色指派。 例如,您可以允許使用者只將虛擬機器參與者角色指派給服務主體。
本文說明如何將使用者指派為有條件的 Azure 訂用帳戶管理員。 針對任何其他角色指派,這些步驟都相同。
若要將使用者設定為 Azure 訂用帳戶的管理員,請在訂用帳戶範圍為其指派擁有者角色。 「擁有者」角色可授與使用者訂用帳戶中所有資源的完整存取權,包括將存取權授與其他人的權限。 由於「擁有者」是具有高特殊權限的角色,因此 Microsoft 建議您新增條件來限制角色指派。 例如,您可以允許使用者只將虛擬機器參與者角色指派給服務主體。
本文說明如何將使用者指派為有條件的 Azure 訂用帳戶管理員。 針對任何其他角色指派,這些步驟都相同。
若要指派 Azure 角色,您必須具備:
Microsoft.Authorization/roleAssignments/write
權限,例如角色型存取控制管理員或使用者存取管理員執行下列步驟:
登入 Azure 入口網站。
在頂端的 [搜尋] 方塊中搜尋訂用帳戶。
按一下您要使用的訂用帳戶。
以下顯示範例訂用帳戶。
[存取控制 (IAM)] 是您通常用來指派角色以授與 Azure 資源存取權的頁面。 這也稱為身分識別與存取管理 (IAM),會出現在 Azure 入口網站的數個位置上。
按一下 [存取控制 (IAM)]。
下面顯示某訂用帳戶 [存取控制 (IAM)] 頁面的範例。
按一下 [角色指派] 索引標籤,以檢視此範圍中的角色指派。
點擊 [新增] > [新增角色指派]。
若您沒有指派角色的權限,[新增角色指派] 選項將會停用。
會開啟 [新增角色指派] 頁面。
擁有者會授與管理所有資源的完整存取權,包括在 Azure RBAC 中指派角色的權限。 您的訂用帳戶擁有者應限制在 3 位以內,以降低擁有者遭入侵而導致資料外洩的可能。
在 [角色] 索引標籤上,選取 [具有特殊權限的系統管理員角色] 索引標籤。
選取 [擁有者] 角色。
按一下 [下一步] 。
執行下列步驟:
在 [成員] 索引標籤上,選取 [使用者、群組或服務主體]。
點擊 [選取成員]。
尋找並選取使用者。
您可以在 [選取] 方塊中輸入,以在目錄中搜尋顯示名稱或電子郵件地址。
按一下 [儲存] 將使用者新增至 [成員] 清單。
在 [描述] 方塊中,輸入此角色指派的選用描述。
稍後您可以在角色指派清單中看到此描述。
按一下 [下一步] 。
由於「擁有者」是具有高特殊權限的角色,因此 Microsoft 建議您新增條件來限制角色指派。
在 [使用者可以執行的動作] 下的 [條件] 索引標籤上,選取 [允許使用者只將選取的角色指派給選取的主體 (權限較少)] 選項。
選取 [選取角色和主體]。
[新增角色指派的條件] 頁面隨即出現,其中包含條件範本清單。
選取一個條件範本,然後選取 [設定]。
條件範本 | 選取此範本以 |
---|---|
限制角色 | 允許使用者僅指派您所選的角色 |
限制角色和主體類型 | 允許使用者僅指派您所選的角色 允許使用者僅將這些角色指派給您選取的主體類型 (使用者、群組或服務主體) |
限制角色和主體 | 允許使用者僅指派您所選的角色 允許使用者僅將這些角色指派給您所選的主體 |
提示
如果您想要允許大部分的角色指派,但不允許特定的角色指派,您可以使用進階條件編輯器,並手動新增條件。 如需範例,請參閱範例:允許大部分角色,但不允許其他人指派角色 (部分機器翻譯)。
在 [設定] 窗格中,新增必要的設定。
選取 [儲存],將條件新增至角色指派。
執行下列步驟:
在 [檢閱 + 指派] 索引標籤上,檢閱角色指派設定。
點擊 [檢閱 + 指派] 以指派角色。
幾分鐘之後,即會將訂用帳戶的「擁有者」角色指派給使用者。