使用 Azure 入口網站指派 Azure 角色
Azure 角色型存取控制 (Azure RBAC) 是您用來管理 Azure 資源存取權的授權系統。 若要授與存取權,您可以將角色指派給特定範圍的使用者、群組、服務主體或受控識別。 本文說明如何使用 Azure 入口網站指派角色。
如果您需要在 Azure Active Directory 中指派系統管理員角色,請參閱將 Azure AD 角色指派給使用者。
必要條件
若要指派 Azure 角色,您必須具備:
步驟 1:識別所需的範圍
指派角色時,必須指定範圍。 範圍是要套用存取權的一組資源。 在 Azure 中,您可以在四個層級上指定範圍,從寬到窄:管理群組、訂用帳戶、資源群組和資源。 如需詳細資訊,請參閱了解範圍。
登入 Azure 入口網站。
在頂端的搜尋方塊中,搜尋您要授與存取權的範圍。 例如,搜尋 [管理群組]、[訂用帳戶]、[資源群組] 或特定資源。
按一下該範圍的特定資源。
以下顯示資源群組範例。
步驟 2:開啟 [新增角色指派] 頁面
[存取控制 (IAM)] 是您通常用來指派角色以授與 Azure 資源存取權的頁面。 這也稱為身分識別與存取管理 (IAM),會出現在 Azure 入口網站的數個位置上。
按一下 [存取控制 (IAM)]。
下面顯示某資源群組的 [存取控制 (IAM)] 頁面範例。
按一下 [角色指派] 索引標籤,以檢視此範圍中的角色指派。
按一下 [新增]>[新增角色指派]。
若您沒有指派角色的權限,[新增角色指派] 選項將會被停用。
![[新增] > [新增角色指派] 功能表的螢幕擷取畫面。](media/shared/add-role-assignment-menu.png)
即會開啟 [新增角色指派] 頁面。
步驟 3:選取適當的角色
在 [ 角色] 索引 標籤上,選取您想要使用的角色。
您可以依名稱或描述來搜尋角色。 您也可以依類型和類別來篩選角色。
![[新增角色指派] 頁面的螢幕擷取畫面,其中含有 [角色] 索引標籤。](media/shared/roles.png)
如果您想要指派具特殊許可權的系統管理員角色,請選取 [ 特殊許可權系統管理員角色 ] 索引標籤以選取角色。
特殊許可權系統管理員角色是授與特殊許可權系統管理員存取權的角色,例如管理 Azure 資源或指派角色給其他使用者的能力。 當可改為指派作業函式角色時,您應該避免指派具特殊許可權的系統管理員角色。 如果您必須指派具特殊許可權的系統管理員角色,請使用範圍窄的範圍,例如資源群組或資源。 如需詳細資訊,請參閱 特殊許可權系統管理員角色。
![[新增角色指派] 頁面的螢幕擷取畫面,其中已選取 [特殊許可權系統管理員角色] 索引標籤。](media/shared/privileged-administrator-roles.png)
在 [詳細資料] 資料行中,按一下 [檢視] 以取得關於角色的詳細資料。
![[檢視角色詳細資料] 窗格和 [權限] 索引標籤的螢幕擷取畫面。](media/role-assignments-portal/select-role-permissions.png)
按一下 [下一步] 。
步驟 4:選取需要存取權的人員
在 [成員] 索引標籤上,選取 [使用者、群組或服務主體],將選取的角色指派給一或多個 Azure AD 使用者、群組或服務主體 (應用程式)。
![[新增角色指派] 頁面的螢幕擷取畫面,其中具有 [成員] 索引標籤。](media/shared/members.png)
按一下 [選取成員]。
尋找使用者、群組或服務主體,並加以選取。
您可以在 [選取] 方塊中輸入,以在目錄中搜尋顯示名稱或電子郵件地址。
![[選取成員] 窗格的螢幕擷取畫面。](media/shared/select-members.png)
按一下 [選取],將使用者、群組或服務主體新增至 [成員] 清單。
要將選取的角色指派給一或多個受控識別,請選取 [受控識別]。
按一下 [選取成員]。
在 [選取受控識別] 窗格中,選取類型是使用者指派的受控識別還是系統指派的受控識別。
尋找並選取受控識別。
針對系統指派的受控識別,您可以依 Azure 服務執行個體選取受控識別。
按一下 [選取],將受控識別新增至 [成員] 清單。
在 [描述] 方塊中,輸入此角色指派的選用描述。
稍後您可以在角色指派清單中看到此描述。
按一下 [下一步] 。
步驟 5: (選擇性) 新增條件
如果您選取支援條件的角色,則會出現 [ 條件 ] 索引標籤,而且您可以選擇將條件新增至角色指派。 條件是額外的檢查,您可以選擇性地將其新增至您的角色指派,以提供更精細的存取控制。
[ 條件] 索引標籤看起來會根據您選取的角色而有所不同。
重要
使用條件委派 Azure 角色指派目前為預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。
如果您選取了下列其中一個特殊許可權角色,請遵循本節中的步驟。
在 [委派類型] 下的 [條件]索引標籤上,選取 [限制 (建議) ] 選項。
![[新增角色指派] 的螢幕擷取畫面,其中已選取 [限制] 選項。](media/shared/condition-constrained.png)
按一下 [新增條件 ] 以新增條件,以限制此使用者可以指派角色的角色和主體。
請遵循將 Azure 角色指派工作委派給具有預覽 (條件的其他人) 中的步驟。
![[新增角色指派] 的螢幕擷取畫面,其中已選取 [限制] 選項。](media/shared/condition-constrained.png#lightbox)
![[新增角色指派] 頁面的螢幕擷取畫面,其中包含 [新增條件] 索引標籤。](media/shared/condition.png)
步驟 6:指派角色
在 [檢閱 + 指派] 索引標籤上,檢閱角色指派設定。
![[指派角色] 頁面的螢幕擷取畫面,其中包含 [檢閱 + 指派] 索引標籤。](media/role-assignments-portal/review-assign.png)
按一下 [檢閱 + 指派] 即可指派角色。
在幾分鐘之後,即會在所選範圍中指派安全性主體的角色。
若未看到角色指派的描述,請按一下 [編輯資料行] 以新增 [描述] 資料行。