Назначение ролей Azure с помощью портал Azure

Чтобы назначать роли Azure необходимо наличие:

• Microsoft.Authorization/roleAssignments/writeразрешения, такие как администратор на основе ролей контроль доступа или администратор доступа пользователей

При назначении ролей необходимо указать область. Область — это набор ресурсов, к которым предоставляется доступ. В Azure область можно задать на четырех уровнях от широкого к узкому: на уровне группы управления, подписки, группы ресурсов или ресурса. Дополнительные сведения об области см. в этой статье.

1. Войдите на портал Azure.

2. В поле Поиск вверху найдите область, к которой требуется предоставить доступ. Например, найдите Группы управления, Подписки, Группы ресурсовили какой-то определенный ресурс.

3. Щелкните на конкретный ресурс в этой области.

   Ниже показан пример группы ресурсов.

   

Управление доступом (IAM) — страница, на которой обычно назначаются роли для предоставления доступа к ресурсам Azure. Она также известна как Система управления идентификацией и доступом, ее можно увидеть в нескольких местах на портале Azure.

1. Выберите Управление доступом (IAM).

   Ниже показан пример страницы "Управление доступом (IAM)" для группы ресурсов.

   

2. Откройте вкладку Назначения ролей, чтобы просмотреть назначения ролей в этой области.

3. Нажмите Добавить>Добавить назначение роли.

   Если у вас нет прав назначать роли, функция "Добавить назначение роли" будет неактивна.

   

   Откроется страница "Добавление назначения роли".

Чтобы выбрать роль, выполните следующие действия.

1. На вкладке "Роль" выберите роль, которую вы хотите использовать.

   Можно выполнить поиск роли по имени или описанию. Кроме того, можно отфильтровать роли по типу и категории.

   

2. Если вы хотите назначить привилегированную роль администратора, перейдите на вкладку "Привилегированные роли администратора ", чтобы выбрать эту роль.

   Рекомендации по использованию назначений ролей привилегированного администратора см. в рекомендациях по Azure RBAC.

   

3. В столбце Сведения щелкните Просмотреть, чтобы получить дополнительные сведения о роли.

   

4. Нажмите кнопку Далее.

Чтобы выбрать пользователей, которым требуется доступ, выполните следующие действия.

1. На вкладке Участники выберите Пользователь, группа или субъект-служба, чтобы назначить выбранную роль одному пользователю, группе или субъекту-службе (приложению) Microsoft Entra или нескольким.

   

2. Щелкните Выбрать членов.

3. Найдите и выберите пользователей, группы или субъекты-службы.

   В поле Выбор введите строку для поиска в каталоге по отображаемым именам или адресам электронной почты.

   

4. Щелкните " Выбрать ", чтобы добавить пользователей, групп или субъектов-служб в список участников.

5. Чтобы назначить выбранную роль одному управляемому удостоверению или нескольким, выберите Управляемое удостоверение.

6. Щелкните Выбрать членов.

7. В области Выбор управляемых удостоверений укажите тип управляемое удостоверение, назначаемое системой или управляемое удостоверение, назначаемое пользователем.

8. Найдите и выберите управляемые удостоверения.

   Для управляемых удостоверений, назначенных системой, можно выбрать управляемые удостоверения по экземпляру службы Azure.

   

9. Нажмите кнопку " Выбрать ", чтобы добавить управляемые удостоверения в список участников.

10. В поле Описание введите необязательное описание этого назначения роли.

    Позже это описание можно будет отобразить в списке назначений ролей.

11. Нажмите кнопку Далее.

Если выбрана роль, поддерживающая условия, откроется вкладка "Условия " и вы можете добавить условие в назначение роли. Определенное условие — это дополнительная проверка, которую можно дополнительно добавить к назначению роли, чтобы обеспечить более детализированный контроль доступа.

Вкладка "Условия" будет выглядеть по-разному в зависимости от выбранной роли.

Условие делегата

Если вы выбрали одну из следующих привилегированных ролей, выполните действия, описанные в этом разделе.

• Ответственное лицо
• Администратор контроль доступа на основе ролей
• Администратор доступа пользователей

1. На вкладке "Условия" в разделе "Что может сделать пользователь", выберите параметр "Разрешить пользователю назначать только выбранные роли выбранным субъектам (меньше привилегий).

   

2. Нажмите кнопку "Выбрать роли и субъекты", чтобы добавить условие, которое ограничивает роли и субъекты , которыми пользователь может назначать роли.

3. Выполните действия, описанные в разделе "Делегирование управления назначениями ролей Azure для других пользователей с условиями".

Условие хранения

Если вы выбрали одну из следующих ролей хранилища, выполните действия, описанные в этом разделе.

• участник данных BLOB-объектов хранилища;
• владелец данных BLOB-объектов хранилища;
• читатель данных больших двоичных объектов хранилища.
• Участник для данных очереди хранилища
• Обработчик сообщений данных в очереди хранилища
• Отправитель сообщений данных в очередь хранилища
• Читатель данных очереди хранилища

1. Нажмите кнопку "Добавить условие ", если вы хотите дополнительно уточнить назначения ролей на основе атрибутов хранилища.

   

2. Выполните действия, описанные в разделе "Добавление или изменение условий назначения ролей Azure".

Если у вас есть лицензия Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra, вкладка "Тип назначения" будет отображаться для областей групп управления, подписки и групп ресурсов. Используйте соответствующие назначения, чтобы предоставить JIT-доступ к роли. Эта возможность развертывается на этапах, поэтому она может быть недоступна в клиенте или интерфейсе может выглядеть иначе. Дополнительные сведения см. в разделе "Интеграция с управление привилегированными пользователями (предварительная версия)".

Если вы не хотите использовать функцию PIM, выберите тип активного назначения и параметры длительности постоянного назначения. Эти параметры создают назначение ролей, где субъект всегда имеет разрешения в роли.

1. На вкладке "Тип назначения" выберите тип назначения.

   • Возможно , пользователь должен выполнить одно или несколько действий, чтобы использовать эту роль, например выполнить проверку многофакторной проверки подлинности, предоставить бизнес-обоснование или запросить утверждение от назначенных утверждающих. Невозможно создать подходящие назначения ролей для приложений, субъектов-служб или управляемых удостоверений, так как они не могут выполнить действия активации.
   • Активный — пользователю не нужно выполнять никаких действий для использования роли.

   

2. В зависимости от параметров в течение длительности назначения выберите постоянную или временную привязку.

   Выберите постоянный, если вы хотите, чтобы член всегда был разрешен для активации или использования роли. Выберите ограничение времени, чтобы указать даты начала и окончания. Этот параметр может быть отключен, если создание постоянных назначений запрещено политикой PIM.

3. Если выбрана привязка времени, задайте дату и время начала и дату и время начала, чтобы указать, когда пользователю разрешено активировать или использовать роль.

   В будущем можно задать дату начала. Максимальная допустимая длительность зависит от политики управление привилегированными пользователями (PIM).

4. (Необязательно) Используйте политику PIM для настройки параметров истечения срока действия, требований к активации ролей (утверждение, многофакторная проверка подлинности или контекст проверки подлинности условного доступа) и других параметров.

   При выборе ссылки политики обновления PIM отображается страница PIM. Выберите параметры , чтобы настроить политику PIM для ролей. Дополнительные сведения см. в разделе "Настройка параметров роли ресурсов Azure" в управление привилегированными пользователями.

5. Нажмите кнопку Далее.

Выполните следующие действия:

1. На вкладке Проверка и назначение проверьте параметры назначения роли.

   

2. Щелкните Review + assign (Проверка и назначение), чтобы назначить роль.

   Через несколько секунд субъекту безопасности будет назначена роль в выбранной области.

   

3. Если описание назначения роли не отображается, нажмите кнопку Изменить столбцы, чтобы добавить столбец Описание.

Если у вас есть лицензия Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra, можно изменить параметры типа назначения ролей. Дополнительные сведения см. в разделе "Интеграция с управление привилегированными пользователями (предварительная версия)".

1. На странице управления доступом (IAM) щелкните вкладку "Назначения ролей", чтобы просмотреть назначения ролей в этой области.

2. Найдите назначение роли, которое требуется изменить.

3. В столбце "Состояние" щелкните ссылку, например "Допустимые сроки" или "Активный".

   Откроется область "Изменить назначение" , где можно обновить параметры типа назначения роли. Чтобы открыть панель, может потребоваться несколько минут.

   

4. По завершении щелкните Сохранить.

   Обновления могут занять некоторое время, чтобы обрабатываться и отражаться на портале.