Назначение пользователя администратору подписки Azure с условиями

Чтобы сделать пользователя администратором подписки Azure, назначьте им роль владельца в области подписки. Роль владельца предоставляет пользователю полный доступ ко всем ресурсам в подписке, включая разрешение на предоставление доступа другим пользователям. Так как роль владельца является ролью с высоким уровнем привилегий, корпорация Майкрософт рекомендует добавить условие, чтобы ограничить назначение роли. Например, можно разрешить пользователю назначать роль участника виртуальной машины только субъектам-службам.

В этой статье описывается, как назначить пользователя администратором подписки Azure с условиями. Этот процесс не отличается от любой процедуры назначения ролей.

Предпосылки

Чтобы назначать роли Azure необходимо наличие:

Шаг 1. Открытие подписки

  1. Войдите на портал Azure.

  2. В поле поиска вверху найдите подписки.

  3. Щелкните подписку, которую вы хотите использовать.

    Ниже показан пример подписки.

    Снимок экрана: обзор подписок.

Шаг 2. Откройте страницу «Добавление роли»

Управление доступом (IAM) — страница, на которой обычно назначаются роли для предоставления доступа к ресурсам Azure. Она также известна как Система управления идентификацией и доступом, ее можно увидеть в нескольких местах на портале Azure.

  1. Выберите Управление доступом (IAM).

    Ниже показан пример страницы управления доступом (IAM) для подписки.

    Снимок экрана: страница управления доступом (IAM) для подписки.

  2. Откройте вкладку Назначения ролей, чтобы просмотреть назначения ролей в этой области.

  3. Нажмите кнопку Добавить>Добавить назначение ролей.

    Если у вас нет прав назначать роли, функция "Добавить назначение роли" будет неактивна.

    Снимок экрана: меню добавления > назначения ролей.

    Откроется страница "Добавление назначения роли".

Шаг 3. Выбор роли владельца

Роль владельца предоставляет полный доступ для управления всеми ресурсами, включая возможность назначения ролей в Azure RBAC. У вас должно быть не более 3 владельцев подписки, чтобы снизить вероятность бреши в системе безопасности из-за компрометации владельца.

  1. На вкладке "Роль" выберите вкладку "Привилегированные роли администратора ".

    Снимок экрана: страница добавления назначения ролей с выбранной вкладкой

  2. Выберите роль владельца .

  3. Нажмите кнопку Далее.

Шаг 4. Выберите пользователей, которым требуется доступ

  1. На вкладке Члены выберите Пользователь, группа или субъект-служба.

    Снимок экрана: страница добавления назначения ролей с вкладкой

  2. Нажмите кнопку "Выбрать участников".

  3. Найдите и выберите пользователя.

    В поле Выбор введите строку для поиска в каталоге по отображаемым именам или адресам электронной почты.

    Снимок экрана: область

  4. Нажмите кнопку "Сохранить", чтобы добавить пользователя в список участников.

  5. В поле Описание введите необязательное описание этого назначения роли.

    Позже это описание можно будет отобразить в списке назначений ролей.

  6. Нажмите кнопку Далее.

Шаг 5. Добавление условия

Так как роль владельца является ролью с высоким уровнем привилегий, корпорация Майкрософт рекомендует добавить условие, чтобы ограничить назначение роли.

  1. На вкладке "Условия" в разделе "Что может сделать пользователь", выберите параметр "Разрешить пользователю назначать только выбранные роли выбранным субъектам (меньше привилегий).

    Снимок экрана: Добавление назначения роли с выбранным ограниченным параметром.

  2. Выберите роли и субъекты.

    Откроется страница "Добавить условие назначения ролей" со списком шаблонов условий.

    Снимок экрана: добавление условия назначения ролей со списком шаблонов условий.

  3. Выберите шаблон условия и нажмите кнопку "Настроить".

    Шаблон условия Выберите этот шаблон, чтобы
    Ограничение ролей Разрешить пользователю назначать только выбранные роли
    Ограничение ролей и типов субъектов Разрешить пользователю назначать только выбранные роли
    Разрешить пользователю назначать эти роли только выбранным типам субъектов (пользователи, группы или субъекты-службы)
    Ограничение ролей и субъектов Разрешить пользователю назначать только выбранные роли
    Разрешить пользователю назначать только эти роли принципалам, которых вы выбрали.

    Подсказка

    Если вы хотите разрешить большинство назначений ролей, но не разрешать назначения определенных ролей, можно использовать редактор расширенных условий и вручную добавить условие. Пример см. в примере : разрешить большинство ролей, но не разрешать другим пользователям назначать роли.

  4. В области настройки добавьте необходимые конфигурации.

    Снимок экрана панели настроек условия с добавленным элементом выбора.

  5. Нажмите кнопку "Сохранить", чтобы добавить условие в назначение роли.

Шаг 6. Назначение роли

  1. На вкладке Проверка и назначение проверьте параметры назначения роли.

  2. Нажмите «Рецензирование и назначение», чтобы назначить роль.

    Через несколько минут пользователю назначается роль владельца подписки.

    Снимок экрана: список назначений ролей после назначения роли.

Связанный контент

  • Last updated on