有条件地将用户分配为 Azure 订阅管理员

要将用户设置为 Azure 订阅的管理员,请在订阅范围为其分配所有者角色。 “所有者”角色授予用户对订阅中所有资源的完全访问权限,包括将访问权限授予其他用户的权限。 由于“所有者”角色属于高度特权角色,因此 Microsoft 建议添加条件来约束角色分配。 例如,可以允许用户仅将虚拟机参与者角色分配给服务主体。

本文介绍如何有条件地将用户分配为 Azure 订阅管理员。 这些步骤与任何其他角色分配是相同的。

先决条件

若要分配 Azure 角色,必须具有:

步骤 1:打开订阅

执行以下步骤:

  1. 登录 Azure 门户

  2. 在顶部的“搜索”框中,搜索订阅。

  3. 单击想要使用的订阅。

    下面显示了一个示例订阅。

    订阅概述的屏幕截图

步骤 2:打开“添加角色分配”页面

“访问控制(IAM)”是一个页面,通常用于分配角色以授予对 Azure 资源的访问权限。 该功能也称为标识和访问管理 (IAM),会显示在 Azure 门户中的多个位置。

  1. 单击“访问控制(IAM)”。

    下面显示了订阅的“访问控制(IAM)”页面的示例。

    订阅的“访问控制(IAM)”页面的屏幕截图。

  2. 单击“角色分配”选项卡以查看在此范围内的角色分配。

  3. 单击“添加”>“角色分配”。

    如果没有分配角色的权限,则将禁用“添加角色分配”选项。

    “添加”>“添加角色分配”菜单的屏幕截图。

    “添加角色分配”页面随即打开。

步骤 3:选择“所有者”角色

所有者角色授予管理所有资源的完全访问权限,包括允许在 Azure RBAC 中分配角色。 最多只能有 3 个订阅所有者,这样可降低被入侵的所有者做出违规行为的可能性。

  1. 在“角色”选项卡上,选择“特权管理员角色”选项卡。

    一个屏幕截图,显示了“添加角色分配”页,其中选择了“特权管理员角色”选项卡。

  2. 选择“所有者”角色。

  3. 单击 “下一步”

步骤 4:选择需要访问权限的人员

执行以下步骤:

  1. 在“成员”选项卡上,选择“用户、组或服务主体” 。

    含有“添加成员”选项卡的“添加角色分配”页面的屏幕截图。

  2. 单击“选择成员”。

  3. 查找并选择用户。

    可以在“选择”框中键入,以在目录中搜索显示名称或电子邮件地址。

    “选择成员”窗格的屏幕截图。

  4. 单击“保存”,将用户添加到“成员”列表。

  5. 在“说明”框中,输入此角色分配的可选说明。

    稍后,可以在“角色分配”列表中显示此说明。

  6. 单击 “下一步”

步骤 5:添加条件

由于“所有者”角色属于高度特权角色,因此 Microsoft 建议添加条件来约束角色分配。

  1. 在“条件”选项卡上“用户可以执行的操作”下,选择“允许用户仅将所选角色分配给所选主体”选项(权限较少)”。

    添加角色分配的屏幕截图,其中选择了受约束选项。

  2. 选择“选择角色和主体”

    此时会显示“添加角色分配条件”页,其中包含条件模板列表。

    添加角色分配条件的屏幕截图,其中包含条件模板列表。

  3. 选择条件模板,然后选择“配置”

    条件模板 选择此模板以
    约束角色 允许用户仅分配你选择的角色
    约束角色和主体类型 允许用户仅分配你选择的角色
    允许用户仅将这些角色分配给你选择的主体类型(用户、组或服务主体)
    约束角色和主体 允许用户仅分配你选择的角色
    允许用户仅将这些角色分配给你选择的主体

    提示

    如果要允许大多数角色分配,但不允许特定角色分配,可以使用高级条件编辑器并手动添加条件。

  4. 在配置窗格中,添加所需的配置。

    已添加所选内容的条件的配置窗格的屏幕截图。

  5. 选择“保存”以将条件添加到角色分配。

步骤 6:分配角色

执行以下步骤:

  1. 在“查看 + 分配”选项卡上,查看角色分配设置。

  2. 单击“查看 + 分配”以分配角色。

    片刻之后,会为用户分配订阅的“所有者”角色。

    分配角色后的角色分配列表屏幕截图。