Назначение ролей Azure с помощью портала Azure

Управление доступом на основе ролей Azure (Azure RBAC) — это система авторизации, используемая для управления доступом к ресурсам в Azure. Чтобы предоставить доступ, необходимо назначить роли пользователям, группам, служебным принципалам или управляемым удостоверениям в определенном контексте. В этой статье описывается назначение ролей с помощью портала Azure.

Если вам нужно назначить роли администратора в идентификаторе Microsoft Entra, см. статью "Назначение ролей Microsoft Entra пользователям".

Предпосылки

Чтобы назначать роли Azure необходимо наличие:

• Microsoft.Authorization/roleAssignments/writeразрешения, такие как администратор управления доступом на основе ролей или администратор управления доступом пользователей

Шаг 1. Определение необходимой области

При назначении ролей необходимо указать область. Область — это набор ресурсов, к которые применяется доступ. В Azure можно указать область на четырех уровнях от широкого до узкого: группы управления, подписки, группы ресурсов и ресурса. Для получения дополнительной информации см. Понимание области применения.

1. Войдите на портал Azure.

2. В поле Поиск вверху найдите область, к которой требуется предоставить доступ. Например, найдите Группы управления, Подписки, Группы ресурсовили какой-то определенный ресурс.

3. Щелкните на определенный ресурс для этой области применения.

   Ниже показан пример группы ресурсов.

   

Шаг 2. Откройте страницу «Добавление роли»

Управление доступом (IAM) — страница, на которой обычно назначаются роли для предоставления доступа к ресурсам Azure. Она также известна как Система управления идентификацией и доступом, ее можно увидеть в нескольких местах на портале Azure.

1. Выберите Управление доступом (IAM).

   Ниже показан пример страницы "Управление доступом (IAM)" для группы ресурсов.

   

2. Откройте вкладку Назначения ролей, чтобы просмотреть назначения ролей в этой области.

3. Нажмите кнопку Добавить>Добавить назначение ролей.

   Если у вас нет прав назначать роли, функция "Добавить назначение роли" будет неактивна.

   

   Откроется страница "Добавление назначения роли".

Шаг 3. Выбор подходящей роли

Чтобы выбрать роль, выполните следующие действия.

1. На вкладке Роль выберите нужную роль.

   Можно выполнить поиск роли по имени или описанию. Кроме того, можно отфильтровать роли по типу и категории.

   

   Обратите внимание, что если вы не уверены, какую роль необходимо назначить, теперь можно использовать Copilot, чтобы помочь вам выбрать соответствующую роль. (Ограниченная предварительная версия. Эта функция развертывается поэтапно, поэтому она может быть недоступна в вашем арендаторе или интерфейс может выглядеть иначе.)

2. (Необязательно) На вкладке "Роль" нажмите кнопку "Copilot", чтобы выбрать роль . Откроется диалоговое окно Copilot.

   

   В диалоговом окне можно добавить описательные запросы, чтобы сообщить Copilot о своих требованиях к роли, и что требуется пользователю, чтобы он был авторизован для выполнения, например "Помочь мне выбрать роль для развертывания функций Azure и управления ими". Или "Какую роль следует использовать, если нужно, чтобы пользователь управлял рабочей областью?" Используя такие фразы, как "Помочь мне выбрать..." или "Какая роль должна я использовать для...", помогает Copilot лучше понять ваше намерение, чтобы обеспечить лучшие результаты.

   Исходя из вашего запроса, Copilot предлагает роль или несколько ролей на основе предоставленных требований. Copilot запрашивает подтверждение с помощью выбора разрешений. Затем Copilot рекомендует роль на основе указанных критериев. Вы можете выбрать роль или попросить Copilot рекомендовать другие роли. Если вы выберете Выбрать роль, вы возвращаетесь на страницу Добавить назначение ролей, где можно выбрать рекомендуемую роль и просмотреть её сведения.

3. Если вы хотите назначить привилегированную роль администратора, перейдите на вкладку Привилегированные роли администратора и выберите эту роль.

   Рекомендации по использованию назначений ролей привилегированного администратора см. в рекомендациях по Azure RBAC.

   

4. В столбце "Сведения" нажмите кнопку "Вид ", чтобы получить дополнительные сведения о роли.

   

5. Нажмите кнопку Далее.

Шаг 4. Выберите пользователей, которым требуется доступ

Чтобы выбрать пользователей, которым требуется доступ, выполните следующие действия.

1. На вкладке Участники выберите Пользователь, группа или субъект-служба, чтобы назначить выбранную роль одному пользователю, группе или субъекту-службе (приложению) Microsoft Entra или нескольким.

   

2. Нажмите кнопку "Выбрать участников".

3. Найдите и выберите пользователей, группы или субъекты-службы.

   В поле Выбор введите строку для поиска в каталоге по отображаемым именам или адресам электронной почты.

   

4. Щелкните "Выбрать ", чтобы добавить пользователей, групп или субъектов-служб в список участников.

5. Чтобы назначить выбранную роль одному управляемому удостоверению или нескольким, выберите Управляемое удостоверение.

6. Нажмите кнопку "Выбрать участников".

7. В области Выбор управляемых удостоверений укажите тип управляемое удостоверение, назначаемое системой или управляемое удостоверение, назначаемое пользователем.

8. Найдите и выберите управляемые удостоверения.

   Для управляемых удостоверений, назначенных системой, можно выбрать управляемые удостоверения по экземпляру службы Azure.

   

9. Нажмите кнопку "Выбрать", чтобы добавить управляемые удостоверения в список участников.

10. В поле Описание введите необязательное описание этого назначения роли.

    Позже это описание можно будет отобразить в списке назначений ролей.

11. Нажмите кнопку Далее.

Шаг 5. Добавление условия (необязательно)

Если выбрана роль, поддерживающая условия, откроется вкладка "Условия " и вы можете добавить условие в назначение роли. Определенное условие — это дополнительная проверка, которую можно дополнительно добавить к назначению роли, чтобы обеспечить более детализированный контроль доступа.

Вкладка "Условия" будет выглядеть по-разному в зависимости от выбранной роли.

Условие делегата

Если вы выбрали одну из следующих привилегированных ролей, выполните действия, описанные в этом разделе.

• Owner
• Администратор управления доступом на основе ролей
• Администратор доступа пользователей

1. На вкладке "Условия" в разделе "Что может сделать пользователь", выберите параметр "Разрешить пользователю назначать только выбранные роли выбранным субъектам (меньше привилегий).

   

2. Нажмите кнопку "Выбрать роли и субъекты" , чтобы добавить условие, которое ограничивает роли и субъекты, которыми пользователь может назначать роли.

3. Выполните действия, описанные в разделе "Делегирование управления назначениями ролей Azure для других пользователей с условиями".

Условие хранения

Если вы выбрали одну из следующих ролей хранилища, выполните действия, описанные в этом разделе.

• Сотрудник по работе с BLOB-данными хранилища
• Администратор данных BLOB-объектов хранилища
• Читатель данных блобов хранилища
• Конструктор данных очереди хранилища
• Очередь хранения данных - обработчик сообщений
• Отправитель данных сообщений в очередь хранения
• Считыватель данных очереди хранения

1. Нажмите кнопку "Добавить условие ", если вы хотите дополнительно уточнить назначения ролей на основе атрибутов хранилища.

   

2. Выполните действия, описанные в разделе "Добавление или изменение условий назначения ролей Azure".

Шаг 6. Выбор типа назначения

Если у вас есть лицензия Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra, вкладка "Тип назначения" будет отображаться для областей групп управления, подписки и групп ресурсов. Используйте подходящие задания, чтобы предоставить доступ к роли в режиме реального времени. У пользователей с соответствующими назначениями по времени и (или) должна быть действительная лицензия.

Если вы не хотите использовать функцию PIM, выберите тип активного назначения и параметры длительности постоянного назначения. Эти параметры создают назначение ролей, где субъект всегда имеет разрешения в роли.

Эта возможность развертывается поэтапно, так что она может быть недоступна в вашей клиентской среде, или ваш интерфейс может выглядеть иначе. Дополнительные сведения см. в статье "Допустимые и привязанные к времени назначения ролей" в Azure RBAC.

1. На вкладке "Тип назначения" выберите тип назначения.

   • Возможно , пользователь должен выполнить одно или несколько действий, чтобы использовать эту роль, например выполнить проверку многофакторной проверки подлинности, предоставить бизнес-обоснование или запросить утверждение от назначенных утверждающих. Невозможно создать подходящие назначения ролей для приложений, субъектов-служб или управляемых удостоверений, так как они не могут выполнить действия активации.
   • Активный — пользователю не нужно выполнять никаких действий для использования роли.

   

2. Для длительности назначения в зависимости от ваших параметров выберите Постоянный или С ограничением по времени.

   Выберите постоянный, если вы хотите, чтобы член всегда был разрешен для активации или использования роли. Выберите ограничение времени, чтобы указать даты начала и окончания. Этот параметр может быть отключен, если создание постоянных назначений запрещено политикой PIM.

3. Если выбрана привязка времени, задайте дату и время начала и дату и времяначала, чтобы указать, когда пользователю разрешено активировать или использовать роль.

   В будущем можно задать дату начала. Максимальная допустимая длительность зависит от политики управление привилегированными пользователями (PIM).

4. (Необязательно) Используйте политику PIM для настройки параметров истечения срока действия, требований к активации ролей (утверждение, многофакторная проверка подлинности или контекст проверки подлинности условного доступа) и других параметров.

   При выборе ссылки политики обновления PIM отображается страница PIM. Выберите параметры , чтобы настроить политику PIM для ролей. Дополнительные сведения см. в разделе "Настройка параметров роли ресурсов Azure" в управление привилегированными пользователями.

5. Нажмите кнопку Далее.

Шаг 7. Назначение роли

1. На вкладке Проверка и назначение проверьте параметры назначения роли.

   

2. Нажмите «Рецензирование и назначение», чтобы назначить роль.

   Спустя короткое время участнику системы безопасности назначается роль в выбранной области.

   

3. Если описание назначения роли не отображается, нажмите кнопку "Изменить столбцы ", чтобы добавить столбец Description .

Изменить назначение

Если у вас есть лицензия Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra, можно изменить параметры типа назначения ролей. Дополнительные сведения см. в статье "Допустимые и привязанные к времени назначения ролей" в Azure RBAC.

1. На странице управления доступом (IAM) щелкните вкладку "Назначения ролей ", чтобы просмотреть назначения ролей в этой области.

2. Найдите назначение роли, которое требуется изменить.

3. В столбце "Состояние" щелкните ссылку, например "Допустимый с ограничением по времени" или "Активный постоянный".

   Откроется область "Изменить назначение" , где можно обновить параметры типа назначения роли. Чтобы открыть панель, может потребоваться несколько минут.

   

4. По завершении щелкните Сохранить.

   Обновления могут занять некоторое время, чтобы обрабатываться и отражаться на портале.

Связанный контент

• Назначение пользователя в качестве администратора подписки Azure
• Удаление назначений ролей Azure
• Устранение неполадок Azure RBAC