Назначение ролей Azure с помощью портал Azure

Управление доступом на основе ролей Azure (Azure RBAC) — это система авторизации, используемая для управления доступом к ресурсам в Azure. Чтобы предоставить доступ, необходимо назначить роли пользователям, группам, субъектам-службам или управляемым удостоверениям в определенной области. В этой статье описывается назначение ролей с помощью портал Azure.

Если вам нужно назначить роли администратора в идентификаторе Microsoft Entra, см. статью "Назначение ролей Microsoft Entra пользователям".

Необходимые компоненты

Чтобы назначать роли Azure необходимо наличие:

Шаг 1. Определение необходимой области

При назначении ролей необходимо указать область. Область — это набор ресурсов, к которым предоставляется доступ. В Azure область можно задать на четырех уровнях от широкого к узкому: на уровне группы управления, подписки, группы ресурсов или ресурса. Дополнительные сведения об области см. в этой статье.

Схема, показывая уровни областей для Azure RBAC.

  1. Войдите на портал Azure.

  2. В поле Поиск вверху найдите область, к которой требуется предоставить доступ. Например, найдите Группы управления, Подписки, Группы ресурсовили какой-то определенный ресурс.

  3. Щелкните на конкретный ресурс в этой области.

    Ниже показан пример группы ресурсов.

    Снимок экрана: страница с обзором сведений о группе ресурсов

Шаг 2. Открытие страницы назначения ролей

Управление доступом (IAM) — страница, на которой обычно назначаются роли для предоставления доступа к ресурсам Azure. Она также известна как Система управления идентификацией и доступом, ее можно увидеть в нескольких местах на портале Azure.

  1. Выберите Управление доступом (IAM).

    Ниже показан пример страницы "Управление доступом (IAM)" для группы ресурсов.

    Снимок экрана: страница

  2. Откройте вкладку Назначения ролей, чтобы просмотреть назначения ролей в этой области.

  3. Нажмите Добавить>Добавить назначение роли.

    Если у вас нет прав назначать роли, функция "Добавить назначение роли" будет неактивна.

    Снимок экрана: меню добавления > назначения ролей.

    Откроется страница "Добавление назначения роли".

Шаг 3. Выбор соответствующей роли

Чтобы выбрать роль, выполните следующие действия.

  1. На вкладке "Роль" выберите роль, которую вы хотите использовать.

    Можно выполнить поиск роли по имени или описанию. Кроме того, можно отфильтровать роли по типу и категории.

    Снимок экрана: страница добавления назначения ролей с вкладкой

  2. Если вы хотите назначить привилегированную роль администратора, перейдите на вкладку "Привилегированные роли администратора ", чтобы выбрать эту роль.

    Рекомендации по использованию назначений ролей привилегированного администратора см. в рекомендациях по Azure RBAC.

    Снимок экрана: страница добавления назначения ролей с выбранной вкладкой

  3. В столбце Сведения щелкните Просмотреть, чтобы получить дополнительные сведения о роли.

    Снимок экрана: панель сведений о роли с вкладкой

  4. Нажмите кнопку Далее.

Шаг 4. Выбор пользователей, которым требуется доступ

Чтобы выбрать пользователей, которым требуется доступ, выполните следующие действия.

  1. На вкладке Участники выберите Пользователь, группа или субъект-служба, чтобы назначить выбранную роль одному пользователю, группе или субъекту-службе (приложению) Microsoft Entra или нескольким.

    Снимок экрана: страница

  2. Щелкните Выбрать членов.

  3. Найдите и выберите пользователей, группы или субъекты-службы.

    В поле Выбор введите строку для поиска в каталоге по отображаемым именам или адресам электронной почты.

    Снимок экрана: область

  4. Щелкните " Выбрать ", чтобы добавить пользователей, групп или субъектов-служб в список участников.

  5. Чтобы назначить выбранную роль одному управляемому удостоверению или нескольким, выберите Управляемое удостоверение.

  6. Щелкните Выбрать членов.

  7. В области Выбор управляемых удостоверений укажите тип управляемое удостоверение, назначаемое системой или управляемое удостоверение, назначаемое пользователем.

  8. Найдите и выберите управляемые удостоверения.

    Для управляемых удостоверений, назначенных системой, можно выбрать управляемые удостоверения по экземпляру службы Azure.

    Снимок экрана: панель выбора управляемых удостоверений.

  9. Нажмите кнопку " Выбрать ", чтобы добавить управляемые удостоверения в список участников.

  10. В поле Описание введите необязательное описание этого назначения роли.

    Позже это описание можно будет отобразить в списке назначений ролей.

  11. Нажмите кнопку Далее.

Шаг 5. Добавление условия (необязательно)

Если выбрана роль, поддерживающая условия, откроется вкладка "Условия " и вы можете добавить условие в назначение роли. Определенное условие — это дополнительная проверка, которую можно дополнительно добавить к назначению роли, чтобы обеспечить более детализированный контроль доступа.

Вкладка "Условия" будет выглядеть по-разному в зависимости от выбранной роли.

Условие делегата

Если вы выбрали одну из следующих привилегированных ролей, выполните действия, описанные в этом разделе.

  1. На вкладке "Условия" в разделе "Что может сделать пользователь", выберите параметр "Разрешить пользователю назначать только выбранные роли выбранным субъектам (меньше привилегий).

    Снимок экрана: добавление назначения ролей с выбранным параметром

  2. Нажмите кнопку "Выбрать роли и субъекты", чтобы добавить условие, которое ограничивает роли и субъекты , которыми пользователь может назначать роли.

  3. Выполните действия, описанные в разделе "Делегирование управления назначениями ролей Azure для других пользователей с условиями".

Условие хранения

Если вы выбрали одну из следующих ролей хранилища, выполните действия, описанные в этом разделе.

  1. Нажмите кнопку "Добавить условие ", если вы хотите дополнительно уточнить назначения ролей на основе атрибутов хранилища.

    Снимок экрана: страница добавления назначения ролей с вкладкой

  2. Выполните действия, описанные в разделе "Добавление или изменение условий назначения ролей Azure".

Шаг 6. Выбор типа назначения (предварительная версия)

Внимание

Интеграция назначения ролей Azure с управление привилегированными пользователями сейчас доступна в предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Если у вас есть лицензия Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra, вкладка "Тип назначения" будет отображаться для областей групп управления, подписки и групп ресурсов. Используйте соответствующие назначения, чтобы предоставить JIT-доступ к роли. Эта возможность развертывается на этапах, поэтому она может быть недоступна в клиенте или интерфейсе может выглядеть иначе. Дополнительные сведения см. в разделе "Интеграция с управление привилегированными пользователями (предварительная версия)".

Если вы не хотите использовать функцию PIM, выберите тип активного назначения и параметры длительности постоянного назначения. Эти параметры создают назначение ролей, где субъект всегда имеет разрешения в роли.

  1. На вкладке "Тип назначения" выберите тип назначения.

    • Возможно , пользователь должен выполнить одно или несколько действий, чтобы использовать эту роль, например выполнить проверку многофакторной проверки подлинности, предоставить бизнес-обоснование или запросить утверждение от назначенных утверждающих. Невозможно создать подходящие назначения ролей для приложений, субъектов-служб или управляемых удостоверений, так как они не могут выполнить действия активации.
    • Активный — пользователю не нужно выполнять никаких действий для использования роли.

    Снимок экрана: добавление назначения ролей с параметрами типа назначения.

  2. В зависимости от параметров в течение длительности назначения выберите постоянную или временную привязку.

    Выберите постоянный, если вы хотите, чтобы член всегда был разрешен для активации или использования роли. Выберите ограничение времени, чтобы указать даты начала и окончания. Этот параметр может быть отключен, если создание постоянных назначений запрещено политикой PIM.

  3. Если выбрана привязка времени, задайте дату и время начала и дату и время начала, чтобы указать, когда пользователю разрешено активировать или использовать роль.

    В будущем можно задать дату начала. Максимальная допустимая длительность зависит от политики управление привилегированными пользователями (PIM).

  4. (Необязательно) Используйте политику PIM для настройки параметров истечения срока действия, требований к активации ролей (утверждение, многофакторная проверка подлинности или контекст проверки подлинности условного доступа) и других параметров.

    При выборе ссылки политики обновления PIM отображается страница PIM. Выберите параметры , чтобы настроить политику PIM для ролей. Дополнительные сведения см. в разделе "Настройка параметров роли ресурсов Azure" в управление привилегированными пользователями.

  5. Нажмите кнопку Далее.

Шаг 7. Назначение роли

Выполните следующие действия:

  1. На вкладке Проверка и назначение проверьте параметры назначения роли.

    Снимок экрана: страница

  2. Щелкните Review + assign (Проверка и назначение), чтобы назначить роль.

    Через несколько секунд субъекту безопасности будет назначена роль в выбранной области.

    Снимок экрана: список назначений ролей после назначения роли.

  3. Если описание назначения роли не отображается, нажмите кнопку Изменить столбцы, чтобы добавить столбец Описание.

Изменение назначения (предварительная версия)

Внимание

Интеграция назначения ролей Azure с управление привилегированными пользователями сейчас доступна в предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Если у вас есть лицензия Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra, можно изменить параметры типа назначения ролей. Дополнительные сведения см. в разделе "Интеграция с управление привилегированными пользователями (предварительная версия)".

  1. На странице управления доступом (IAM) щелкните вкладку "Назначения ролей", чтобы просмотреть назначения ролей в этой области.

  2. Найдите назначение роли, которое требуется изменить.

  3. В столбце "Состояние" щелкните ссылку, например "Допустимые сроки" или "Активный".

    Откроется область "Изменить назначение" , где можно обновить параметры типа назначения роли. Чтобы открыть панель, может потребоваться несколько минут.

    Снимок экрана: панель

  4. По завершении щелкните Сохранить.

    Обновления могут занять некоторое время, чтобы обрабатываться и отражаться на портале.