使用 Azure 入口網站指派 Azure 角色

Azure 角色型存取控制 (Azure RBAC) 是您用來管理 Azure 資源存取權的授權系統。 若要授與存取權，您可以將角色指派給特定範圍的使用者、群組、服務主體或受控識別。 本文說明如何使用Azure 入口網站指派角色。

如果您需要在 Azure Active Directory 中指派系統管理員角色，請參閱 將 Azure AD 角色指派給使用者。

必要條件

若要指派 Azure 角色，您必須具備：

• Microsoft.Authorization/roleAssignments/write 許可權，例如 使用者存取管理員 或 擁有者

步驟 1：識別所需的範圍

指派角色時，必須指定範圍。 範圍是要套用存取權的一組資源。 在 Azure 中，您可以在四個層級指定範圍，範圍從廣泛到縮小： 管理群組、訂用帳戶、 資源群組和資源。 如需詳細資訊，請參閱 瞭解範圍。

1. 登入 Azure 入口網站。

2. 在頂端的搜尋方塊中，搜尋您要授與存取權的範圍。 例如，搜尋 [管理群組]、[訂用帳戶]、[資源群組] 或特定資源。

3. 按一下該範圍的特定資源。

   以下顯示資源群組範例。

   

步驟 2：開啟 [新增角色指派] 頁面

[存取控制 (IAM)] 是您通常用來指派角色以授與 Azure 資源存取權的頁面。 這也稱為身分識別與存取管理 (IAM)，會出現在 Azure 入口網站的數個位置上。

1. 按一下 [存取控制 (IAM)]。

   下面顯示某資源群組的 [存取控制 (IAM)] 頁面範例。

   

2. 按一下 [角色指派] 索引標籤，以檢視此範圍中的角色指派。

3. 按一下 [新增]>[新增角色指派]。

   若您沒有指派角色的權限，[新增角色指派] 選項將會被停用。

   

   即會開啟 [新增角色指派] 頁面。

步驟 3：選取適當的角色

1. 在 [角色] 索引標籤上，選取您要使用的角色。

   您可以依名稱或描述來搜尋角色。 您也可以依類型和類別來篩選角色。

   

2. 在 [ 詳細資料] 資料行中，按一下 [ 檢視 ] 以取得角色的詳細資料。

   

3. 按 [下一步] 。

步驟 4：選取需要存取權的人員

1. 在 [成員] 索引標籤上，選取 [使用者、群組或服務主體]，將選取的角色指派給一或多個 Azure AD 使用者、群組或服務主體 (應用程式)。

   

2. 按一下 [選取成員]。

3. 尋找使用者、群組或服務主體，並加以選取。

   您可以在 [選取] 方塊中輸入，以在目錄中搜尋顯示名稱或電子郵件地址。

   

4. 按一下 [選取 ] 將使用者、群組或服務主體新增至 [成員] 清單。

5. 要將選取的角色指派給一或多個受控識別，請選取 [受控識別]。

6. 按一下 [選取成員]。

7. 在 [選取受控識別] 窗格中，選取類型是使用者指派的受控識別還是系統指派的受控識別。

8. 尋找並選取受控識別。

   針對系統指派的受控識別，您可以依 Azure 服務執行個體選取受控識別。

   

9. 按一下 [選取 ] 將受控識別新增至 [成員] 清單。

10. 在 [描述] 方塊中，輸入此角色指派的選用描述。

    稍後您可以在角色指派清單中看到此描述。

11. 按一下 [下一步] 。

步驟5：(選擇性) 新增條件 (預覽)

如果您選取支援條件的角色，則會出現條件 (選擇性) 索引標籤，而且您可以選擇將條件新增至角色指派。 條件是額外的檢查，您可以選擇性地將其新增至您的角色指派，以提供更精細的存取控制。

目前，您可以將條件新增至具有儲存體 Blob 資料動作的內建或自訂角色指派。 其中包括下列內建角色：

• 儲存體 Blob 資料參與者
• 儲存體 Blob 資料擁有者
• 儲存體 Blob 資料讀者
• 儲存體佇列資料參與者
• 儲存體佇列資料訊息處理者
• 儲存體佇列資料訊息傳送者
• 儲存體佇列資料讀者

1. 如果您想要根據儲存體 Blob 屬性進一步精簡角色指派，請按一下 [ 新增條件 ]。 如需詳細資訊，請參閱 新增或編輯 Azure 角色指派條件。

   

2. 按一下 [下一步] 。

步驟 6：指派角色

1. 在 [檢閱 + 指派] 索引標籤上，檢閱角色指派設定。

   

2. 按一下 [檢閱 + 指派] 以指派 角色。

   在幾分鐘之後，即會在所選範圍中指派安全性主體的角色。

   

3. 如果您沒有看到角色指派的描述，請按一下 [編輯 資料行] 以新增 [描述] 資料行。

下一步

• 將使用者指派為 Azure 訂用帳戶的系統管理員
• 移除 Azure 角色指派
• 疑難排解 Azure RBAC