登录 Azure 门户 。

在顶部的“搜索”框中，搜索要授予对其的访问权限的范围。 例如，搜索“管理组”、“订阅”、“资源组”或某个特定资源 。

单击该范围的特定资源。

下面展示了一个示例资源组。

步骤 2：打开“添加角色分配”页面

“访问控制(IAM)”是一个页面，通常用于分配角色以授予对 Azure 资源的访问权限。 该功能也称为标识和访问管理 (IAM)，会显示在 Azure 门户中的多个位置。

单击“访问控制(IAM)”。

下面显示了资源组的“访问控制(IAM)”页的示例。

单击“角色分配”选项卡以查看在此范围内的角色分配。

单击“添加”>“添加角色分配”。

如果没有分配角色的权限，则将禁用“添加角色分配”选项。

随即打开“添加角色分配”窗格。

步骤 3：选择合适的角色

在“ 角色 ”选项卡上，选择要使用的角色。

可按名称或说明搜索角色。 还可按类型和类别筛选角色。

如果要分配特权管理员角色，请选择“ 特权管理员角色 ”选项卡以选择该角色。

特权管理员角色是授予特权管理员访问权限的角色，例如管理 Azure 资源或将角色分配给其他用户的能力。 可以改为分配作业职能角色时，应避免分配特权管理员角色。 如果必须分配特权管理员角色，请使用较窄的范围，例如资源组或资源。 有关详细信息，请参阅 特权管理员角色 。

在“详细信息”列中，单击“查看”获取有关角色的更多详细信息 。

单击“下一步”。

步骤 4：选择需要访问权限的人员

在“成员”选项卡上选择“用户、组或服务主体”，将所选角色分配给一个或多个 Azure AD 用户、组或服务主体（应用程序） 。

单击“选择成员”。

查找并选择用户、组或服务主体。

可以在“选择”框中键入，以在目录中搜索显示名称或电子邮件地址。

单击“选择”，将用户、组或服务主体添加到“成员”列表中。

若要将所选角色分配给一个或多个托管标识，请选择“托管标识”。

单击“选择成员”。

在“选择托管标识”窗格中，选择该类型是 用户分配的托管标识 还是 系统分配的托管标识 。

查找并选择托管标识。

对于系统分配的托管标识，你可以通过 Azure 服务实例选择托管标识。

单击“选择”将托管标识添加到“成员”列表中。

在“说明”文本框中，输入此角色分配的可选说明。

稍后，可以在“角色分配”列表中显示此说明。

单击“下一步”。

步骤 5：（可选）添加条件（预览版）

如果选择了支持条件的角色，将显示“条件(可选)”选项卡，可以选择将条件添加到角色分配中。 条件 是可选择性地添加到角色分配中的一项额外检查，可提供更精细的访问控制。

目前，可将条件添加到具有 存储 blob 数据操作 的内置或自定义角色分配。 其中包括以下内置角色：

如果要根据存储 Blob 属性进一步优化角色分配，请单击“添加条件”。 有关详细信息，请参阅 添加或编辑 Azure 角色分配条件 。

单击“下一步”。

步骤 6：分配角色

在“查看 + 分配”选项卡上，查看角色分配设置。

单击“查看 + 分配”以分配角色。

片刻之后，会在所选范围内为安全主体分配角色。

如果看不到角色分配的说明，请单击“编辑列”以添加“说明”列 。