使用 RBAC 和 Azure 门户管理访问权限

可以在 Azure 中通过基于角色的访问控制 (RBAC) 这种方式管理对资源的访问。 本文介绍如何使用 RBAC 和 Azure 门户来管理用户、组和应用程序的访问权限。

列出角色

角色定义是用于角色分配的权限的集合。 Azure 有 70 个以上的内置角色。 在门户中按照以下步骤列出角色。

  1. 在 Azure 门户中选择“所有服务”,然后选择“订阅”。

  2. 选择订阅。

  3. 选择“访问控制(IAM)”。

    “角色”选项

  4. 选择“角色”即可看到一个包含所有内置角色和自定义角色的列表。

    “角色”选项

    可以查看分配给每个角色的用户和组的数目。

    角色列表

列出访问权限

管理访问权限时,需了解谁有访问权限、其权限是什么,以及权限级别。 若要列出访问权限,请列出角色分配。 按照以下步骤列出用户的访问权限,以及列出不同范围的访问权限。

列出用户的角色分配

  1. 在导航列表中选择“Azure Active Directory”。

  2. 选择“用户”,以便打开“所有用户”。

    Azure Active Directory 的“所有用户”边栏选项卡

  3. 在列表中选择单个用户。

  4. 在“管理”部分,选择“Azure 资源”。

    Azure Active Directory 用户 Azure 资源

    在“Azure 资源”边栏选项卡上,可以看到所选用户和所选订阅的角色分配。 此列表仅包括你有权读取的资源的角色分配。 例如,如果用户还有你无法读取的角色分配,则这些角色分配将不会显示在列表中。

  5. 如果有多个订阅,则可以选择“订阅”下拉列表,以查看不同订阅中的角色分配。

列出资源组的角色分配

  1. 在导航列表中,选择“资源组”。

  2. 选择资源组,然后选择“访问控制(IAM)”。

    在“访问控制(IAM)”(也称标识和访问管理)边栏选项卡上,可以查看谁可以访问此资源组。 请注意,有些角色的权限范围已划归到此资源,还有一些角色是从另一范围 (继承的)。 特定于资源组分配访问权限,或者从父订阅的分配继承访问权限。

    资源组

列出订阅的角色分配

  1. 在 Azure 门户中选择“所有服务”,然后选择“订阅”。

  2. 选择订阅。

  3. 选择“访问控制(IAM)”。

    在“访问控制(IAM)”边栏选项卡上,可以查看谁有此订阅及其角色的访问权限。

    订阅的“访问控制(IAM)”边栏选项卡

    经典订阅管理员和协同管理员被视为 RBAC 模型中订阅的所有者。

授予访问权限

在 RBAC 中,若要授予访问权限,请创建角色分配。 通过以下步骤在不同的范围授予访问权限。

创建资源组范围的角色分配

  1. 在导航列表中,选择“资源组”。

  2. 选择资源组。

  3. 选择“访问控制(IAM)”,在资源组范围查看角色分配的当前列表。

    资源组的“访问控制(IAM)”边栏选项卡

  4. 选择“添加”,打开“添加权限”窗格。

    如果无权分配角色,则不会看到“添加”选项。

    “添加权限”窗格

  5. 在“角色”下拉列表中选择一个角色,例如“虚拟机参与者”。

  6. 在“选择”列表中,选择用户、组或应用程序。 如果没有在列表中看到安全主体,则可在“选择”框中键入相应内容,以便在目录中搜索显示名称、电子邮件地址和对象标识符。

  7. 选择“保存”,创建角色分配。

    片刻之后,会在资源组范围为安全主体分配角色。

创建订阅范围的角色分配

  1. 在 Azure 门户中选择“所有服务”,然后选择“订阅”。

  2. 选择订阅。

  3. 选择“访问控制(IAM)”,在订阅范围查看角色分配的当前列表。

    订阅的“访问控制(IAM)”边栏选项卡

  4. 选择“添加”,打开“添加权限”窗格。

    如果无权分配角色,则不会看到“添加”选项。

    “添加权限”窗格

  5. 在“角色”下拉列表中选择一个角色,例如“虚拟机参与者”。

  6. 在“选择”列表中,选择用户、组或应用程序。 如果没有在列表中看到安全主体,则可在“选择”框中键入相应内容,以便在目录中搜索显示名称、电子邮件地址和对象标识符。

  7. 选择“保存”,创建角色分配。

    片刻之后,会在订阅范围为安全主体分配角色。

删除访问权限

在 RBAC 中,若要删除访问权限,请删除角色分配。 按这些步骤删除访问权限。

删除角色分配

  1. 针对需要删除其角色分配的订阅、资源组或资源,打开“访问控制(IAM)”边栏选项卡。

  2. 在角色分配列表中,在需删除其角色分配的安全主体旁边添加复选标记。

    “删除角色分配”消息

  3. 选择“删除”。

    “删除角色分配”消息

  4. 在显示的“删除角色分配”消息中,选择“是”。

    不能删除继承的角色分配。 如果需要删除继承的角色分配,则必须在创建角色分配的作用域上进行操作。 在“作用域”列的“(继承)”旁,有一条链接指向分配了此角色的范围。 请转到该处列出的范围以删除角色分配。

    “删除角色分配”消息

后续步骤