Назначение ролей Azure с помощью портала Azure

Управление доступом на основе ролей Azure (Azure RBAC) — это система авторизации, используемая для управления доступом к ресурсам в Azure. Чтобы предоставить доступ, необходимо назначить роли пользователям, группам, служебным принципалам или управляемым удостоверениям в определенном контексте. В этой статье описывается назначение ролей с помощью портала Azure.

Если вам нужно назначить роли администратора в идентификаторе Microsoft Entra, см. статью "Назначение ролей Microsoft Entra пользователям".

Предпосылки

Чтобы назначать роли Azure необходимо наличие:

Шаг 1. Определение необходимой области

При назначении ролей необходимо указать область. Область — это набор ресурсов, к которые применяется доступ. В Azure можно указать область на четырех уровнях от широкого до узкого: группы управления, подписки, группы ресурсов и ресурса. Для получения дополнительной информации см. Понимание области применения.

Схема, показывающая уровни доступа в Azure RBAC.

  1. Войдите на портал Azure.

  2. В поле Поиск вверху найдите область, к которой требуется предоставить доступ. Например, найдите Группы управления, Подписки, Группы ресурсовили какой-то определенный ресурс.

  3. Щелкните на определенный ресурс для этой области применения.

    Ниже показан пример группы ресурсов.

    Снимок экрана: страница обзора группы ресурсов.

Шаг 2. Откройте страницу «Добавление роли»

Управление доступом (IAM) — страница, на которой обычно назначаются роли для предоставления доступа к ресурсам Azure. Она также известна как Система управления идентификацией и доступом, ее можно увидеть в нескольких местах на портале Azure.

  1. Выберите Управление доступом (IAM).

    Ниже показан пример страницы "Управление доступом (IAM)" для группы ресурсов.

    Снимок экрана: страница управления доступом (IAM) для группы ресурсов.

  2. Откройте вкладку Назначения ролей, чтобы просмотреть назначения ролей в этой области.

  3. Нажмите кнопку Добавить>Добавить назначение ролей.

    Если у вас нет прав назначать роли, функция "Добавить назначение роли" будет неактивна.

    Снимок экрана: меню добавления > назначения ролей.

    Откроется страница "Добавление назначения роли".

Шаг 3. Выбор подходящей роли

Чтобы выбрать роль, выполните следующие действия.

  1. На вкладке "Роль" выберите вкладку для типа роли, которую вы хотите назначить.

    • Роли должностных функций — роли для общего управления ресурсами Azure или для конкретных служб.
    • Роли привилегированного администратора — роли , предоставляющие привилегированный доступ, такие как владелец, участник, администратор доступа пользователей или администратор управления доступом на основе ролей. Рекомендации по использованию назначений ролей привилегированного администратора см. в рекомендациях по Azure RBAC.

    Снимок экрана: страница добавления назначения ролей с вкладкой

  2. Выберите роль из списка, щелкнув ее.

    Используйте поле поиска для фильтрации списка ролей по имени или описанию. Вы также можете отфильтровать роли по типу и категории , чтобы сузить результаты.

  3. В столбце "Сведения" нажмите кнопку "Вид ", чтобы получить дополнительные сведения о роли.

    Снимок экрана: панель сведений о роли с вкладкой

    Подсказка

    Если вы не уверены, какую роль назначить, можно использовать Copilot, чтобы помочь вам выбрать соответствующую роль. На вкладке "Роль" нажмите "Copilot может помочь выбрать роль", чтобы открыть диалоговое окно Copilot.

    Снимок экрана: кнопка Copilot на странице добавления назначения ролей.

    В диалоговом окне опишите, какие действия пользователь должен быть правомочен выполнять. Например, "Помогите мне выбрать роль для развертывания функций Azure и управления ими" или "Какую роль следует использовать, если требуется, чтобы пользователь управлял рабочей областью и просматривал ее?"

    Copilot предлагает одну или несколько ролей на основе ваших требований. Щелкните "Выбрать разрешения ", чтобы подтвердить, а затем выберите роль , чтобы применить рекомендацию, или нажмите кнопку "Рекомендовать другие роли", чтобы просмотреть альтернативные варианты .

  4. Нажмите кнопку Далее.

Шаг 4. Выберите пользователей, которым требуется доступ

Чтобы выбрать пользователей, которым требуется доступ, выполните следующие действия.

  1. На вкладке Участники выберите Пользователь, группа или субъект-служба, чтобы назначить выбранную роль одному пользователю, группе или субъекту-службе (приложению) Microsoft Entra или нескольким.

    Снимок экрана: страница добавления назначения ролей с вкладкой

  2. Нажмите кнопку "Выбрать участников".

  3. Найдите и выберите пользователей, группы или субъекты-службы.

    В поле Выбор введите строку для поиска в каталоге по отображаемым именам или адресам электронной почты.

    Снимок экрана: область

  4. Щелкните "Выбрать ", чтобы добавить пользователей, групп или субъектов-служб в список участников.

  5. Чтобы назначить выбранную роль одному или нескольким управляемым удостоверениям, выберите Управляемое удостоверение.

  6. Нажмите кнопку "Выбрать участников".

  7. В области Выбор управляемых удостоверений укажите тип управляемое удостоверение, назначаемое системой или управляемое удостоверение, назначаемое пользователем.

  8. Найдите и выберите управляемые удостоверения.

    Для управляемых удостоверений, назначенных системой, можно выбрать управляемые удостоверения по экземпляру службы Azure.

    Снимок экрана панели выбора управляемых удостоверений.

  9. Нажмите кнопку "Выбрать", чтобы добавить управляемые удостоверения в список участников.

  10. В поле Описание введите необязательное описание этого назначения роли.

    Позже это описание можно будет отобразить в списке назначений ролей.

  11. Нажмите кнопку Далее.

Шаг 5. Добавление условия (необязательно)

Если выбрана роль, поддерживающая условия, откроется вкладка "Условия " и вы можете добавить условие в назначение роли. Определенное условие — это дополнительная проверка, которую можно дополнительно добавить к назначению роли, чтобы обеспечить более детализированный контроль доступа.

Вкладка "Условия" будет выглядеть по-разному в зависимости от выбранной роли.

Условие делегата

Если вы выбрали одну из следующих привилегированных ролей, выполните действия, описанные в этом разделе.

  1. На вкладке "Условия" в разделе "Что может сделать пользователь", выберите параметр "Разрешить пользователю назначать только выбранные роли выбранным субъектам (меньше привилегий).

    Снимок экрана: добавление ролевого назначения с выбранной опцией

  2. Нажмите кнопку "Выбрать роли и субъекты" , чтобы добавить условие, которое ограничивает роли и субъекты, которыми пользователь может назначать роли.

  3. Выполните действия, описанные в разделе "Делегирование управления назначениями ролей Azure для других пользователей с условиями".

Условие хранения

Если вы выбрали одну из следующих ролей хранилища, выполните действия, описанные в этом разделе.

  1. Нажмите кнопку "Добавить условие ", если вы хотите дополнительно уточнить назначения ролей на основе атрибутов хранилища.

    Снимок экрана: страница добавления назначения ролей с вкладкой

  2. Выполните действия, описанные в разделе "Добавление или изменение условий назначения ролей Azure".

Шаг 6. Выбор типа назначения

Если у вас есть лицензия Microsoft Entra ID P2 или лицензия Microsoft Entra ID Governance, вкладка "Тип назначения" будет отображаться для областей применения групп управления, подписки и групп ресурсов. Используйте подходящие задания, чтобы предоставить доступ к роли в режиме реального времени. У пользователей, имеющих право на получение или имеющих ограниченные по времени назначения, должна быть действительная лицензия.

Если вы не хотите использовать функцию PIM, выберите тип активного назначения и параметры длительности постоянного назначения. Эти параметры создают назначение роли, где участник всегда обладает полномочиями этой роли.

Эта возможность развертывается поэтапно, так что она может быть недоступна в вашей клиентской среде, или ваш интерфейс может выглядеть иначе. Дополнительные сведения см. в статье "Допустимые и привязанные к времени назначения ролей" в Azure RBAC.

  1. На вкладке "Тип назначения" выберите тип назначения.

    • Правомочен - Пользователь должен выполнить одно или несколько действий, чтобы использовать эту роль, например, пройти многофакторную аутентификацию, предоставить бизнес-обоснование или запросить утверждение от назначенных утверждающих. Невозможно создать допустимые назначения ролей для приложений, служебных принципалов или управляемых удостоверений, поскольку они не могут выполнить шаги активации.
    • Активный — пользователю не нужно выполнять никаких действий для использования роли.

    Снимок экрана: добавление назначения ролей с параметрами типа назначения.

  2. Для длительности назначения в зависимости от ваших параметров выберите Постоянный или С ограничением по времени.

    Выберите "постоянно", если вы хотите, чтобы член всегда мог активировать или использовать роль. Выберите ограничение времени, чтобы указать даты начала и окончания. Этот параметр может быть отключен, если создание постоянных назначений запрещено политикой PIM.

  3. Если выбрана временная привязка, задайте дату и время начала и дату и время начала, чтобы указать, когда пользователю разрешено активировать или использовать роль.

    В будущем можно задать дату начала. Максимальная допустимая длительность зависит от политики Управления привилегированными идентификациями (PIM).

  4. (Необязательно) Используйте политику PIM для настройки параметров истечения срока действия, требований к активации ролей (утверждение, многофакторная проверка подлинности или контекст проверки подлинности условного доступа) и других параметров.

    При выборе ссылки политики обновления PIM отображается страница PIM. Выберите параметры , чтобы настроить политику PIM для ролей. Дополнительные сведения см. в разделе "Настройка параметров роли ресурсов Azure" в Управление привилегированными идентификационными данными.

  5. Нажмите кнопку Далее.

Шаг 7. Назначение роли

  1. На вкладке Проверка и назначение проверьте параметры назначения роли.

    Снимок экрана: страница

  2. Нажмите «Рецензирование и назначение», чтобы назначить роль.

    Спустя короткое время участнику системы безопасности назначается роль в выбранной области.

    Снимок экрана: список назначений ролей после назначения роли.

  3. Если описание назначения роли не отображается, нажмите кнопку "Изменить столбцы ", чтобы добавить столбец Description .

Изменить назначение

Если у вас есть лицензия Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra, можно изменить параметры типа назначения ролей. Дополнительные сведения см. в статье "Допустимые и привязанные к времени назначения ролей" в Azure RBAC.

  1. На странице управления доступом (IAM) щелкните вкладку "Назначения ролей ", чтобы просмотреть назначения ролей в этой области.

  2. Найдите назначение роли, которое требуется изменить.

  3. В столбце "Состояние" щелкните ссылку, например "Допустимый с ограничением по времени" или "Активный постоянный".

    Откроется область "Изменить назначение" , где можно обновить параметры типа назначения роли. Чтобы открыть панель, может потребоваться несколько минут.

    Снимок экрана: панель

  4. По завершении щелкните Сохранить.

    Обновления могут занять некоторое время, чтобы обрабатываться и отражаться на портале.

Связанный контент

  • Last updated on