使用 Azure 门户分配 Azure 角色

Azure 基于角色的访问控制 (Azure RBAC) 是用于管理 Azure 资源访问权限的授权系统。 若要授予访问权限,请将角色分配给特定范围内的用户、组、服务主体或托管标识。 本文介绍如何使用 Azure 门户分配角色。

如果需要在 Azure Active Directory 中分配管理员角色,请参阅向用户分配 Azure AD 角色

先决条件

若要分配 Azure 角色,必须具有:

选择体验

Azure RBAC 为在 Azure 门户中分配 Azure 角色提供了一种新体验,目前为公共预览版。 若要尝试这个新体验,请按照“(预览版)”选项卡中的步骤操作。

步骤 1:识别所需的范围

分配角色时,必须指定一个范围。 范围是访问权限适用于的资源集。 在 Azure 中,可在从广义到狭义的四个级别指定范围:管理组、订阅、资源组或资源。 有关详细信息,请参阅了解范围

显示 Azure RBAC 的范围级别的关系图。

  1. 登录 Azure 门户

  2. 在顶部的“搜索”框中,搜索要授予对其的访问权限的范围。 例如,搜索“管理组”、“订阅”、“资源组”或某个特定资源 。

  3. 单击该范围的特定资源。

    下面展示了一个示例资源组。

    资源组概述页的屏幕截图。

步骤 2:打开“添加角色分配”窗格

“访问控制(IAM)”是一个页面,通常用于分配角色以授予对 Azure 资源的访问权限。 该功能也称为标识和访问管理 (IAM),会显示在 Azure 门户中的多个位置。

  1. 单击“访问控制(IAM)”。

    下面显示了资源组的“访问控制(IAM)”页的示例。

    资源组的“访问控制(IAM)”页屏幕截图。

  2. 单击“角色分配”选项卡以查看在此范围内的角色分配。

  3. 单击“添加” > “角色分配”。 如果没有分配角色的权限,则将禁用“添加角色分配”选项。

    “添加”>“添加角色分配”菜单的屏幕截图。

    将打开“添加角色分配”窗格。

    “添加角色分配”页的屏幕截图,其中显示了“角色”、“将访问权限分配到”和“选择选项”。

步骤 3:选择合适的角色

  1. 在“角色”列表中,搜索或滚动查找要分配的角色。

    为了确定合适的角色,你可以将鼠标指针悬停在信息图标上,以显示角色的说明。 有关更多信息,可以查看 Azure 内置角色一文。

    “添加角色分配”中的“选择角色列表”的屏幕截图。

  2. 单击以选择角色。

步骤 4:选择需要访问权限的人员

  1. 在“将访问权限分配给”列表中,选择要为其分配访问权限的安全主体的类型。

    类型 说明
    用户、组或服务主体 如果要将角色分配给用户、组或服务主体(应用程序),请选择此类型。
    用户分配的托管标识 如果要将角色分配给用户分配的托管标识,请选择此类型。
    系统分配托管标识 如果要将角色分配给系统分配的托管标识,请选择托管标识所在的 Azure 服务实例。

    在“添加角色分配”中选择安全主体的屏幕截图。

  2. 如果你选择了用户分配的托管标识或系统分配的托管标识,请选择该托管标识所在的“订阅”。

  3. 在“选择”部分,通过输入字符串或滚动浏览列表来搜索安全主体。

    在“添加角色分配”中选择用户的屏幕截图。

  4. 找到安全主体后,单击以将其选中。

步骤 5:分配角色

  1. 若要分配角色,请单击“保存”。

    片刻之后,会在所选范围内为安全主体分配角色。

  2. 在“角色分配”选项卡上,验证列表是否显示了该角色分配。

    分配角色后的角色分配列表的屏幕截图。

后续步骤