Azure rolleri, Microsoft Entra rolleri ve klasik abonelik yöneticisi rolleri

  • Makale

Azure'da yeniyseniz, Azure'daki tüm farklı rolleri anlamak biraz zor olabilir. Bu makalede aşağıdaki roller ve bunları kullanacağınız zamanlar açıklanmaktadır:

  • Azure rolleri
  • Microsoft Entra rolleri
  • Klasik abonelik yönetici rolleri

Azure'un geçmişine göz atmanız rolleri daha iyi anlamanıza yardımcı olabilir. Azure ilk kez kullanıma sunulduğunda kaynaklara erişim yalnızca üç yönetici rolüyle yönetiliyordu: Hesap Yöneticisi, Hizmet Yöneticisi ve Ortak Yönetici. Daha sonra Azure rol tabanlı erişim denetimi (Azure RBAC) eklendi. Azure RBAC, Azure kaynakları için daha ayrıntılı bir erişim yönetimi sunan daha yeni bir yetkilendirme sistemidir. Azure RBAC birçok yerleşik rol içerir, farklı kapsamlarda atanabilir ve kendi özel rollerinizi oluşturmanıza olanak tanır. Microsoft Entra Id'de kullanıcılar, gruplar ve etki alanları gibi kaynakları yönetmek için çeşitli Microsoft Entra rolleri vardır.

Aşağıdaki diyagram, Azure rollerinin, Microsoft Entra rollerinin ve klasik abonelik yöneticisi rollerinin nasıl ilişkili olduğunu gösteren üst düzey bir görünümdür.

Azure'daki farklı rollerin diyagramı.

Azure rolleri

Azure RBAC, işlem ve depolama gibi Azure kaynaklarına ayrıntılı erişim yönetimi sağlayan, Azure Resource Manager üzerinde oluşturulmuş bir yetkilendirme sistemidir. Azure RBAC 100'den fazla yerleşik rol içerir. Beş temel Azure rolü vardır. İlk üçü tüm kaynak türleri için geçerlidir:

Azure rolü İzinler Notlar
Sahip
  • Tüm kaynakları yönetmek için tam erişim verir
  • Azure RBAC'de rol atama
 Hizmet Yöneticisine ve Ortak Yöneticilere abonelik kapsamında Sahip rolü atanır
Tüm kaynak türleri için geçerlidir.
Katkıda Bulunan
  • Tüm kaynakları yönetmek için tam erişim verir
  • Azure RBAC'de roller atanamıyor
  • Azure Blueprints'te atamaları yönetemiyor veya görüntü galerilerini paylaşamıyorum
 Tüm kaynak türleri için geçerlidir.
Okuyucu
  • Azure kaynaklarını görüntüleme
 Tüm kaynak türleri için geçerlidir.
Rol Tabanlı Erişim Denetimi Yöneticisi
  • Azure kaynaklarına kullanıcı erişimini yönetme
  • Azure RBAC'de rol atama
  • Kendilerine veya başkalarına Sahip rolü atama
  • Azure İlkesi gibi başka yollarla erişim yönetemiyorum
Kullanıcı Erişimi Yöneticisi
  • Azure kaynaklarına kullanıcı erişimini yönetme
  • Azure RBAC'de rol atama
  • Kendilerine veya başkalarına Sahip rolü atama

Yerleşik rollerin diğerleri belirli Azure kaynakları için yönetim özellikleri sunar. Örneğin Sanal Makine Katılımcısı rolü, kullanıcının sanal makine oluşturmasını ve yönetmesini sağlar. Tüm yerleşik rollerin listesi için bkz. Azure yerleşik rolleri.

Azure RBAC yalnızca Azure portal ve Azure Resource Manager API'leri tarafından desteklenir. Azure rolleri atanmış olan kullanıcılar, gruplar ve uygulamalar Azure klasik dağıtım modeli API'lerini kullanamaz.

Azure portalında, Erişim denetimi (IAM) sayfasında Azure RBAC kullanan rol atamaları görüntülenir. Bu sayfa yönetim grupları, abonelikler, kaynak grupları ve çeşitli kaynaklar gibi portalda bulunabilir.

Azure portalındaki Erişim denetimi (IAM) sayfasının ekran görüntüsü.

Roller sekmesine tıkladığınızda yerleşik ve özel rollerin listesini görürsünüz.

Azure portalındaki yerleşik rollerin ekran görüntüsü.

Daha fazla bilgi edinmek için bkz. Azure portal kullanarak Azure rolleri atama.

Microsoft Entra rolleri

Microsoft Entra rolleri , kullanıcı oluşturma veya düzenleme, başkalarına yönetici rolleri atama, kullanıcı parolalarını sıfırlama, kullanıcı lisanslarını yönetme ve etki alanlarını yönetme gibi bir dizindeki Microsoft Entra kaynaklarını yönetmek için kullanılır. Aşağıdaki tabloda, daha önemli Microsoft Entra rollerinden birkaçı açıklanmaktadır.

Microsoft Entra rolü İzinler Notlar
Genel Yönetici
  • Microsoft Entra Id'deki tüm yönetim özelliklerine ve Microsoft Entra Id'ye federasyon sağlayan hizmetlere erişimi yönetme
  • Diğer kullanıcılara yönetici rolü atama
  • Tüm kullanıcıların ve diğer yöneticilerin parolasını sıfırlama
 Microsoft Entra kiracısı için kaydolan kişi Genel Yönetici olur.
Kullanıcı Yöneticisi
  • Kullanıcı ve grup oluşturma ve bunların tüm özelliklerini yönetme
  • Destek biletlerini yönetme
  • Hizmet durumunu izleme
  • Kullanıcıların, Yardım Masası yöneticilerinin ve Kullanıcı Yöneticilerinin parolalarını değiştirme
Faturalama Yöneticisi
  • Satın alma gerçekleştirme
  • Abonelikleri yönetme
  • Destek biletlerini yönetme
  • Hizmet durumunu izleme

Azure portalında, Roller ve yöneticiler sayfasında Microsoft Entra rollerinin listesini görebilirsiniz. Tüm Microsoft Entra rollerinin listesi için bkz . Microsoft Entra Id'de Yönetici rolü izinleri.

Azure portalında Microsoft Entra rollerinin ekran görüntüsü.

Azure rolleri ile Microsoft Entra rolleri arasındaki farklar

Azure rolleri, Azure kaynaklarını yönetme izinlerini üst düzeyde denetlerken, Microsoft Entra rolleri de Microsoft Entra kaynaklarını yönetme izinlerini denetler. Farkların bazıları aşağıdaki tabloda karşılaştırılmıştır.

Azure rolleri Microsoft Entra rolleri
Azure kaynaklarına erişimi yönetme Microsoft Entra kaynaklarına erişimi yönetme
Özel rolleri destekler Özel rolleri destekler
Birden fazla düzeyde (yönetim grubu, abonelik, kaynak grubu, kaynak) kapsam belirtilebilir Kapsam kiracı düzeyinde (kuruluş genelinde), yönetim biriminde veya tek bir nesnede (örneğin, belirli bir uygulama) belirtilebilir
Rol bilgilerine Azure portal, Azure CLI, Azure PowerShell, Azure Resource Manager şablonları, REST API'si aracılığıyla erişilebilir Rol bilgilerine Azure portalı, Microsoft Entra yönetim merkezi, Microsoft 365 yönetim merkezi, Microsoft Graph, Microsoft Graph PowerShell'de erişilebilir

Azure rolleri ve Microsoft Entra rolleri çakışıyor mu?

Varsayılan olarak, Azure rolleri ve Microsoft Entra rolleri Azure ve Microsoft Entra Kimliği'ne yayılmaz. Ancak Genel Yönetici, Azure portalında Azure kaynakları için Erişim yönetimi anahtarını seçerek erişimini yükseltirse, Genel Yöneticiye belirli bir kiracının tüm aboneliklerinde Kullanıcı Erişimi Yöneticisi rolü (Azure rolü) verilir. Kullanıcı Erişimi Yöneticisi, kullanıcının diğer kullanıcılara Azure kaynaklarına erişim izni vermesini sağlar. Bu seçenek bir aboneliğe yeniden erişim elde etmek konusunda faydalı olabilir. Daha fazla bilgi için bkz. Tüm Azure aboneliklerini ve yönetim gruplarını yönetmek amacıyla erişimi yükseltme.

Genel Yönetici ve Kullanıcı Yöneticisi rolleri gibi çeşitli Microsoft Entra rolleri Microsoft Entra Id ve Microsoft 365'e yayılmıştır. Örneğin, Genel Yönetici rolünün bir üyesiyseniz, Microsoft Entra Id ve Microsoft 365'te Microsoft Exchange ve Microsoft SharePoint'te değişiklik yapma gibi genel yönetici özelliklerine sahip olursunuz. Ancak Genel Yönetici varsayılan olarak Azure kaynaklarına erişim sahibi değildir.

Azure RBAC ile Microsoft Entra rollerini gösteren diyagram.

Klasik abonelik yönetici rolleri

Önemli

31 Ağustos 2024 itibarıyla Azure klasik yönetici rolleri (Klasik Azure kaynakları ve Azure Service Manager ile birlikte) kullanımdan kaldırılmıştır ve artık desteklenmez. Hala etkin Ortak Yönetici veya Hizmet Yöneticisi rol atamalarınız varsa, bu rol atamalarını hemen Azure RBAC'ye dönüştürün.

Daha fazla bilgi için bkz. Azure klasik abonelik yöneticileri.

Hesap Yöneticisi, Hizmet Yöneticisi ve Ortak Yönetici, Azure'daki üç klasik abonelik yönetici rolüdür. Klasik abonelik yöneticileri, Azure aboneliğinde tam erişime sahiptir. Bu yöneticiler Azure portal, Azure Resource Manager API'leri ve klasik dağıtım modeli API'leri aracılığıyla kaynakları yönetebilir. Azure'a kaydolmak için kullanılan hesap otomatik olarak hem Hesap Yöneticisi hem de Hizmet Yöneticisi olarak ayarlanır. Kayıt işleminin ardından ek Ortak Yöneticiler eklenebilir. Hizmet Yöneticisi ve Ortak Yöneticiler, abonelik kapsamında Sahip rolü (bir Azure rolüdür) atanmış olan kullanıcılarla eşit düzeyde erişime sahiptir. Aşağıdaki tabloda bu üç klasik abonelik yönetici rolü arasındaki farklar gösterilmiştir.

Klasik abonelik yöneticisi Sınır İzinler Notlar
Hesap Yöneticisi Azure hesabı başına 1
  • Azure portala erişme ve faturalamayı yönetme
  • Hesaptaki tüm abonelikler için faturalamayı yönetme
  • Yeni abonelik oluşturma
  • Abonelikleri iptal etme
  • Aboneliğin faturalama bilgilerini değiştirme
  • Hizmet Yöneticisini değiştirme
  • Hizmet Yöneticisi veya abonelik Sahibi rolü olmadığı sürece abonelikler iptal edilemiyor
 Kavramsal açıdan aboneliğin faturalama sahibidir.
Hizmet Yöneticisi Azure aboneliği başına 1
  • Azure portal'da hizmetleri yönetme
  • Aboneliği iptal etme
  • Ortak Yönetici rolüne kullanıcı atama
 Yeni bir abonelikte Hesap Yöneticisi varsayılan olarak Hizmet Yöneticisi olur.
Hizmet Yöneticisi, abonelik kapsamında Sahip rolü atanmış olan kullanıcıyla eşit düzeyde erişime sahiptir.
Hizmet Yöneticisi’nin Azure portala tam erişimi vardır.
Ortak Yönetici Abonelik başına 200
  • Hizmet Yöneticisi ile aynı erişim ayrıcalıkları, ancak aboneliklerin Microsoft Entra dizinleriyle ilişkisini değiştiremez
  • Ortak Yönetici rolüne kullanıcı atayabilir ancak Hizmet Yöneticisini değiştiremez
 Ortak Yönetici, abonelik kapsamında Sahip rolü atanmış olan kullanıcıyla eşit düzeyde erişime sahiptir.

Azure portalda Klasik yöneticiler sekmesini kullanarak Ortak Yöneticileri yönetebilir veya Hizmet Yöneticisini görüntüleyebilirsiniz.

Azure portalındaki klasik Azure abonelik yöneticilerinin ekran görüntüsü.

Daha fazla bilgi için bkz. Azure klasik abonelik yöneticileri.

Azure hesabı ve Azure abonelikleri

Faturalama ilişkisi kurmak için Bir Azure hesabı kullanılır. Azure hesabı bir kullanıcı kimliğinden, bir veya daha fazla Azure aboneliğinden ve ilgili Azure kaynakları kümesinden oluşur. Hesabı oluşturan kişi, bu hesapta oluşturulan tüm aboneliklerin Hesap Yöneticisi olur. Bu kişi ayrıca aboneliğin varsayılan Hizmet Yöneticisi de olur.

Azure abonelikleri, Azure kaynaklarına erişimi düzenlemenize de yardımcı olur. Ayrıca kaynak kullanımının nasıl raporlandığını, faturalandırıldığını ve ödendiği denetlemenize yardımcı olur. Her aboneliğin farklı bir faturalama ve ödeme düzeni olabileceği için örneğin ofise, departmana ve projeye göre farklı abonelikleriniz ve farklı planlarınız olabilir. Hizmetlerin çoğu aboneliğe aittir ve programlı işlemler için abonelik kimliği gerekebilir.

Her abonelik bir Microsoft Entra diziniyle ilişkilendirilir. Aboneliğin ilişkili olduğu dizini bulmak için Azure portalında Abonelikler'i açın ve dizini görmek için bir abonelik seçin.

Hesaplar ve abonelikler Azure portalında yönetilir.

Sonraki adımlar