使用 Azure 入口網站指派 Azure 角色

  • 發行項

Azure 角色型存取控制 (Azure RBAC) 是您用來管理 Azure 資源的存取權的授權系統。 若要授與存取權,您可以將角色指派給特定範圍的使用者、群組、服務主體或受控識別。 本文說明如何使用 Azure 入口網站 指派角色。

如果您需要在 Microsoft Entra 識別符中指派系統管理員角色,請參閱 將 Microsoft Entra 角色指派給使用者

必要條件

若要指派 Azure 角色,您必須具備:

步驟 1:識別所需的範圍

指派角色時,必須指定範圍。 範圍是要套用存取權的一組資源。 在 Azure 中,您可以指定四個層級的範圍,範圍從廣泛到縮小: 管理群組、訂用帳戶、 資源群組和資源。 如需詳細資訊,請參閱 瞭解範圍

Diagram that shows the scope levels for Azure RBAC.

  1. 登入 Azure 入口網站

  2. 在頂端的 [搜尋] 方塊中,搜尋您要授與存取權的範圍。 例如,搜尋 [管理群組]、[訂用帳戶]、[資源群組] 或特定資源。

  3. 按兩下該範圍的特定資源。

    以下顯示資源群組範例。

    Screenshot of resource group overview page.

步驟 2:開啟 [新增角色指派] 頁面

[存取控制 (IAM)] 是您通常用來指派角色以授與 Azure 資源存取權的頁面。 這也稱為身分識別與存取管理 (IAM),會出現在 Azure 入口網站的數個位置上。

  1. 按一下 [存取控制 (IAM)]

    下面顯示某資源群組的 [存取控制 (IAM)] 頁面範例。

    Screenshot of Access control (IAM) page for a resource group.

  2. 按兩下 [ 角色指派] 索引 標籤,以檢視此範圍的角色指派。

  3. 按兩下 [新增>角色指派]。

    若您沒有指派角色的權限,[新增角色指派] 選項將會被停用。

    Screenshot of Add > Add role assignment menu.

    會開啟 [新增角色指派] 頁面。

步驟 3:選取適當的角色

  1. 在 [ 角色] 索引標籤上,選取您想要使用的角色。

    您可以依名稱或描述來搜尋角色。 您也可以依類型和類別來篩選角色。

    Screenshot of Add role assignment page with Role tab.

  2. 如果您想要指派特殊許可權系統管理員角色,請選取 [特殊許可權系統管理員角色 ] 索引卷標以選取角色。

    如需使用特殊許可權系統管理員角色指派時的最佳做法,請參閱 Azure RBAC 的最佳做法。

    Screenshot of Add role assignment page with Privileged administrator roles tab selected.

  3. 在 [詳細數據] 數據行中,按兩下 [檢視] 以取得角色的詳細數據。

    Screenshot of View role details pane with Permissions tab.

  4. 按一下 [下一步] 。

步驟 4:選取需要存取權的人員

  1. 在 [成員] 索引標籤上,選取 [使用者、群組或服務主體],將選取的角色指派給一或多個 Microsoft Entra 使用者、群組或服務主體 (應用程式)。

    Screenshot of Add role assignment page with Members tab.

  2. 按兩下 [ 選取成員]。

  3. 尋找使用者、群組或服務主體,並加以選取。

    您可以在 [選取] 方塊中輸入,以在目錄中搜尋顯示名稱或電子郵件地址。

    Screenshot of Select members pane.

  4. 按兩下 [ 選取 ] 將使用者、群組或服務主體新增至 [成員] 清單。

  5. 要將選取的角色指派給一或多個受控識別,請選取 [受控識別]。

  6. 按兩下 [ 選取成員]。

  7. 在 [選取受控識別] 窗格中,選取類型是使用者指派的受控識別還是系統指派的受控識別

  8. 尋找並選取受控識別。

    針對系統指派的受控識別,您可以依 Azure 服務執行個體選取受控識別。

    Screenshot of Select managed identities pane.

  9. 按兩下 [ 選取 ] 將受控識別新增至 [成員] 清單。

  10. 在 [描述] 方塊中,輸入此角色指派的選用描述。

    稍後您可以在角色指派清單中看到此描述。

  11. 按一下 [下一步] 。

步驟 5:(選擇性) 新增條件

如果您選取支援條件的角色,則會出現 [ 條件 ] 索引標籤,而且您可以選擇將條件新增至角色指派。 條件是額外的檢查,您可以選擇性地將其新增至您的角色指派,以提供更精細的存取控制。

[條件] 索引標籤會根據您選取的角色而有所不同。

重要

使用條件委派 Azure 角色指派管理目前處於預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。

如果您選取下列其中一個特殊許可權角色,請遵循本節中的步驟。

  1. 在 [使用者可以執行的動作] 下的 [條件] 索引標籤上,選取 [允許使用者只將選取的角色指派給選取的主體(許可權較少)] 選項。

    Screenshot of Add role assignment with the Constrained option selected.

  2. 按兩下 [ 選取角色和主體 ] 以新增條件,以限制此使用者可指派角色的角色和主體。

  3. 請遵循將 Azure 角色指派管理委派給有條件的其他人中的步驟。

步驟 6:指派角色

  1. 在 [檢閱 + 指派] 索引標籤上,檢閱角色指派設定。

    Screenshot of Assign a role page with Review + assign tab.

  2. 按兩下 [ 檢閱 + 指派] 以指派 角色。

    在幾分鐘之後,即會在所選範圍中指派安全性主體的角色。

    Screenshot of role assignment list after assigning role.

  3. 如果您沒有看到角色指派的描述,請按兩下 [編輯 資料行] 以新增 [描述] 資料行。

下一步