要将用户设置为 Azure 订阅的管理员,请在订阅范围为其分配所有者角色。 “所有者”角色授予用户对订阅中所有资源的完全访问权限,包括将访问权限授予其他用户的权限。 由于“所有者”角色属于高度特权角色,因此 Microsoft 建议添加条件来约束角色分配。 例如,可以允许用户仅将虚拟机参与者角色分配给服务主体。
本文介绍如何有条件地将用户分配为 Azure 订阅管理员。 这些步骤与任何其他角色分配是相同的。
有条件地将用户分配为 Azure 订阅管理员
先决条件
若要分配 Azure 角色,必须具有:
Microsoft.Authorization/roleAssignments/write权限,例如基于角色的访问控制管理员或用户访问管理员
步骤 1:打开订阅
执行以下步骤:
登录 Azure 门户。
在顶部的“搜索”框中,搜索订阅。
单击想要使用的订阅。
下面显示了一个示例订阅。
步骤 2:打开“添加角色分配”页面
“访问控制(IAM)”是一个页面,通常用于分配角色以授予对 Azure 资源的访问权限。 该功能也称为标识和访问管理 (IAM),会显示在 Azure 门户中的多个位置。
单击“访问控制(IAM)”。
下面显示了订阅的“访问控制(IAM)”页面的示例。
单击“角色分配”选项卡以查看在此范围内的角色分配。
单击“添加”>“角色分配”。
如果没有分配角色的权限,则将禁用“添加角色分配”选项。
“添加角色分配”页面随即打开。
步骤 3:选择“所有者”角色
所有者角色授予管理所有资源的完全访问权限,包括允许在 Azure RBAC 中分配角色。 最多只能有 3 个订阅所有者,这样可降低被入侵的所有者做出违规行为的可能性。
在“角色”选项卡上,选择“特权管理员角色”选项卡。
选择“所有者”角色。
单击 “下一步” 。
步骤 4:选择需要访问权限的人员
执行以下步骤:
在“成员”选项卡上,选择“用户、组或服务主体” 。
单击“选择成员”。
查找并选择用户。
可以在“选择”框中键入,以在目录中搜索显示名称或电子邮件地址。
单击“保存”,将用户添加到“成员”列表。
在“说明”框中,输入此角色分配的可选说明。
稍后,可以在“角色分配”列表中显示此说明。
单击 “下一步” 。
步骤 5:添加条件
由于“所有者”角色属于高度特权角色,因此 Microsoft 建议添加条件来约束角色分配。
在“条件”选项卡上“用户可以执行的操作”下,选择“允许用户仅将所选角色分配给所选主体”选项(权限较少)”。
选择“选择角色和主体”。
此时会显示“添加角色分配条件”页,其中包含条件模板列表。
选择条件模板,然后选择“配置”。
条件模板 选择此模板以 约束角色 允许用户仅分配你选择的角色 约束角色和主体类型 允许用户仅分配你选择的角色
允许用户仅将这些角色分配给你选择的主体类型(用户、组或服务主体)约束角色和主体 允许用户仅分配你选择的角色
允许用户仅将这些角色分配给你选择的主体提示
如果要允许大多数角色分配,但不允许特定角色分配,可以使用高级条件编辑器并手动添加条件。
在配置窗格中,添加所需的配置。
选择“保存”以将条件添加到角色分配。
步骤 6:分配角色
执行以下步骤:
在“查看 + 分配”选项卡上,查看角色分配设置。
单击“查看 + 分配”以分配角色。
片刻之后,会为用户分配订阅的“所有者”角色。
