使用 RBAC 和 Azure 门户管理对 Azure 资源的访问权限

可以通过基于角色的访问控制 (RBAC) 管理对 Azure 资源的访问权限。 本文介绍如何使用 RBAC 和 Azure 门户来管理用户、组、服务主体和托管标识的访问权限。

打开访问控制 (IAM)

“访问控制(IAM)”边栏选项卡(也称为标识和访问管理)显示在整个门户中。 要在门户中查看或管理访问权限,通常首先应在要查看或进行更改的范围内打开访问控制 (IAM) 边栏选项卡。

  1. 在 Azure 门户中,单击“所有服务”,然后选择要查看或管理的范围或资源。 例如,可以选择“管理组”、“订阅”、“资源组”或某个资源。

  2. 单击要查看或管理的特定资源。

  3. 单击“访问控制(IAM)”。

    下面显示了订阅的“访问控制(IAM)”边栏选项卡的示例。

    订阅的“访问控制(IAM)”边栏选项卡

查看角色和权限

角色定义是用于角色分配的权限的集合。 Azure 提供超过 70 个 Azure 资源的内置角色。 请按照以下步骤查看可在管理和数据平面上执行的角色和权限。

  1. 在要查看角色和权限的范围(例如管理组、订阅、资源组或资源)内打开“访问控制(IAM)”。

  2. 单击“角色”选项卡以查看包含所有内置角色和自定义角色的列表。

    在此范围内可以查看分配给每个角色的用户和组的数目。

    角色列表

  3. 单击某个角色以查看分配到该角色的人员,还可以查看该角色的权限。

    角色分配

查看角色分配

管理访问权限时,需了解谁有访问权限、其权限是什么,以及权限级别。 要列出用户、组、服务主体或托管标识的访问权限,请查看角色分配。

查看单个用户的角色分配

请按照以下步骤查看特定范围内单个用户、组、服务主体或托管标识的访问权限。

  1. 在要查看权限的范围(例如管理组、订阅、资源组或资源)内打开“访问控制(IAM)”。

  2. 单击“访问权限检查”选项卡。

    “访问控制”-“检查访问权限”选项卡

  3. 在“查找”列表中,选择要检查访问权限的安全主体类型。

  4. 在搜索框中,输入字符串以在目录中搜索显示名称、电子邮件地址或对象标识符。

    “检查访问权限”选择列表

  5. 单击安全主体以打开“分配”窗格。

    分配窗格

    在此窗格中,可以看到分配给所选安全主体和范围的角色。 如果此范围内有任何拒绝分配或继承到此范围的角色,则会将其列出。

查看某个范围内的所有角色分配

  1. 在要查看权限的范围(例如管理组、订阅、资源组或资源)内打开“访问控制(IAM)”。

  2. 单击“角色分配”选项卡(或单击“查看角色分配”磁贴上的“视图”按钮)以查看在此范围内的所有角色分配。

    “访问控制”-“角色分配”选项卡

    在“角色分配”选项卡上,可以看到谁有权访问此范围。 请注意,有些角色的权限范围已划归到此资源,还有一些角色是从另一范围 (继承的)。 访问权限可以专门分配给此资源,也可以从父作用域的分配继承。

添加角色分配

在 RBAC 中,要授予访问权限,请为用户、组、服务主体或托管标识分配角色。 通过以下步骤在不同的范围授予访问权限。

在范围内分配角色

  1. 在要授予访问权限的范围(例如管理组、订阅、资源组或资源)内打开“访问控制 (IAM)”。

  2. 单击“角色分配”选项卡以查看在此范围内的所有角色分配。

  3. 单击“添加角色分配”以打开“添加角色分配”窗格。

    如果没有分配角色的权限,则将禁用“添加角色分配”选项。

    “添加角色分配”窗格

  4. 在“角色”下拉列表中选择一个角色,例如“虚拟机参与者”。

  5. 在“选择”列表中,选择用户、组、服务主体或托管标识。 如果没有在列表中看到安全主体,则可在“选择”框中键入相应内容,以便在目录中搜索显示名称、电子邮件地址和对象标识符。

  6. 单击“保存”以分配该角色。

    片刻之后,会在所选范围内为安全主体分配角色。

将用户分配为订阅的管理员

若要使某个用户成为 Azure 订阅的管理员,请在订阅范围内为其分配所有者角色。 “所有者”角色授予用户对订阅中所有资源的完全访问权限,包括将访问权限委派给其他用户的权限。 这些步骤与任何其他角色分配是相同的。

  1. 在 Azure 门户中,依次单击“所有服务”、“订阅”。

  2. 单击要授予访问权限的订阅。

  3. 单击“访问控制(IAM)”。

  4. 单击“角色分配”选项卡以查看此订阅的所有角色分配。

  5. 单击“添加角色分配”以打开“添加角色分配”窗格。

    如果没有分配角色的权限,则将禁用“添加角色分配”选项。

    “添加角色分配”窗格

  6. 在“角色”下拉列表中,选择“所有者”角色。

  7. 在“选择”列表中,选择一个用户。 如果没有在列表中看到用户,则可在“选择”框中键入相应内容,以便在目录中搜索显示名称和电子邮件地址。

  8. 单击“保存”以分配该角色。

    片刻之后,会在订阅范围为用户分配“所有者”角色。

删除角色分配

在 RBAC 中,若要删除访问权限,请删除角色分配。 按这些步骤删除访问权限。

  1. 在要删除访问权限的范围(例如管理组、订阅、资源组或资源)内打开“访问控制(IAM)”。

  2. 单击“角色分配”选项卡以查看此订阅的所有角色分配。

  3. 在角色分配列表中,在需删除其角色分配的安全主体旁边添加复选标记。

    “删除角色分配”消息

  4. 单击“删除”。

    “删除角色分配”消息

  5. 在显示的“删除角色分配”消息中,单击“是”。

    不能删除继承的角色分配。 如果需要删除继承的角色分配,则必须在创建角色分配的作用域上进行操作。 在“作用域”列的“(继承)”旁,有一条链接指向分配了此角色的范围。 请转到该处列出的范围以删除角色分配。

    “删除角色分配”消息

后续步骤