你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
作为管理员,可能会收到多个请求,以授予对要委派给其他人的 Azure 资源的访问权限。 你可以为用户分配 所有者 或 用户访问管理员 角色,但这些角色是高特权角色。 本文介绍将 角色分配管理委派 给组织中的其他用户的更安全方法,但为这些角色分配添加限制。 例如,可以约束可分配的角色,或限制可向其分配角色的主体。
下图显示,在特定条件下,委托人只能将“备份参与者”或“备份读取者”角色分配给市场营销组或销售组。
先决条件
若要分配 Azure 角色,必须具有:
-
Microsoft.Authorization/roleAssignments/write权限,例如 基于角色的访问控制管理员 或 用户访问管理员
步骤 1:确定委托所需的权限
若要帮助确定委托所需的权限,请回答以下问题:
- 委托人可以分配哪些角色?
- 委托人可以向哪些类型的主体分配角色?
- 委托人可以向哪些主体分配角色?
- 委托人是否可以删除任何角色分配?
知道委托所需的权限后,可以使用以下步骤向委托的角色分配添加条件。 有关示例条件,请参阅 使用条件委托 Azure 角色分配管理的示例。
步骤 2:启动新的角色分配
登录到 Azure 门户。
按照步骤 打开“添加角色分配”页。
在“ 角色 ”选项卡上,选择 “特权管理员角色 ”选项卡。
选择 “基于角色的访问控制管理员 ”角色。
此时会显示“ 条件 ”选项卡。
可以选择包含
Microsoft.Authorization/roleAssignments/write或Microsoft.Authorization/roleAssignments/delete作的任何角色,例如 用户访问管理员,但 基于角色的访问控制管理员 的权限更少。在“成员”选项卡上,找到并选择委派。
步骤 3:添加条件
可通过两种方式添加条件。 可以使用条件模板,也可以使用高级条件编辑器。
在“条件”选项卡上的“用户可以执行的作”下,选择“允许用户仅将所选角色分配给所选主体”选项(权限更少)。
选择 “选择角色和主体”。
此时会显示“添加角色分配条件”页,其中包含条件模板列表。
选择条件模板,然后选择“ 配置”。
条件模板 选择此模板 约束角色 允许用户仅分配你选择的角色 约束角色和主体类型 允许用户仅分配你选择的角色
允许用户仅将这些角色分配给你选择的主体类型(用户、组或服务主体)约束角色和主体 允许用户仅分配你选择的角色
允许用户仅将这些角色分配给你选择的主体允许所有角色,除了特定角色 允许用户分配除所选角色之外的所有角色 在配置窗格中,添加所需的配置。
选择 “保存 ”,将条件添加到角色分配。
步骤 4:根据条件将角色分配给委托人
在“查看 + 分配”选项卡上,查看角色分配设置。
选择“查看 + 分配”以分配角色。
片刻之后,代表根据您的角色分配条件被分配为角色访问控制管理员。
步骤 5:由委派者在具备条件的情况下分配角色
代理人现在可以按照步骤来分配角色。
当委托尝试在 Azure 门户中分配角色时,将筛选角色列表以仅显示他们可分配的角色。
如果主体有特定条件,则可用于分配的主体列表也会受到筛选。
如果委托尝试使用 API 分配超出条件的角色,则角色分配失败并出现错误。 有关详细信息,请参阅 症状 - 无法分配角色。
编辑条件
可通过两种方式编辑条件。 可以使用条件模板,也可以使用条件编辑器。
在 Azure 门户中,打开角色分配的 访问控制(IAM) 页,其中包含要查看、编辑或删除的条件。
选择 “角色分配 ”选项卡并查找角色分配。
在 “条件 ”列中,选择“ 视图/编辑”。
如果看不到 “视图/编辑” 链接,请确保你的查看范围与你的角色分配一致。
此时会显示 “添加角色分配条件 ”页。 此页将有所不同,具体取决于条件是否与现有模板匹配。
如果条件与现有模板匹配,请选择“ 配置 ”以编辑条件。
如果条件与现有模板不匹配,请使用高级条件编辑器编辑条件。
例如,若要编辑条件,请向下滚动到生成表达式部分并更新属性、运算符或值。
若要直接编辑条件,请选择 代码 编辑器类型,然后编辑条件的代码。
完成后,单击“ 保存 ”以更新条件。
