Beispiele zum Delegieren der Azure-Rollenzuweisungsverwaltung mit Bedingungen

In diesem Artikel werden Beispiele für das Delegieren der Azure-Rollenzuweisungsverwaltung an andere Benutzer mit Bedingungen aufgeführt.

Voraussetzungen

Informationen zu den Voraussetzungen für das Hinzufügen oder Bearbeiten von Rollenzuweisungsbedingungen finden Sie unter Voraussetzungen für Bedingungen.

Beispiel: Einschränken von Rollen

Mit dieser Bedingung kann ein Delegat nur Rollenzuweisungen für die Rollen Backup Mitwirkender oder Backup Leser hinzufügen oder entfernen.

Sie müssen diese Bedingung allen Rollenzuweisungen für den Delegat hinzufügen, die die folgenden Aktionen enthalten.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagramm der Rollenzuweisungen, die auf die Rollen

Hier sind die Einstellungen zum Hinzufügen dieser Bedingung mithilfe des Azure-Portals und einer Bedingungsvorlage.

Bedingung Einstellung
Vorlage Rollen einschränken
Rollen Mitwirkender für Sicherungen
Sicherungsleser

Beispiel: Einschränken von Rollen und Prinzipaltypen

Mit dieser Bedingung kann ein Delegat nur Rollenzuweisungen für die Rollen Backup Mitwirkender oder Backup Leser hinzufügen oder entfernen. Außerdem kann der Delegat diese Rollen nur Prinzipale des Typs "Benutzer" oder "Gruppe" zuweisen.

Sie müssen diese Bedingung allen Rollenzuweisungen für den Delegat hinzufügen, die die folgenden Aktionen enthalten.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagramm der Rollenzuweisungen mit eingeschränkten Backup Mitwirkender oder Backup Leser-Rollen und Benutzer- oder Gruppenprinzipaltypen.

Hier sind die Einstellungen zum Hinzufügen dieser Bedingung mithilfe des Azure-Portals und einer Bedingungsvorlage.

Bedingung Einstellung
Vorlage Einschränken von Rollen und Prinzipaltypen
Rollen Mitwirkender für Sicherungen
Sicherungsleser
Prinzipaltypen Benutzer
Gruppen

Beispiel: Einschränken von Rollen und bestimmten Gruppen

Mit dieser Bedingung kann ein Delegat nur Rollenzuweisungen für die Rollen Backup Mitwirkender oder Backup Leser hinzufügen oder entfernen. Außerdem kann der Delegat diese Rollen nur bestimmten Gruppen mit dem Namen Marketing (28c35fea-2099-4cf5-8ad9-473547bc9423) oder Sales (86951b8b-723a-407b-a74a-1bca3f0c95d0) zuweisen.

Sie müssen diese Bedingung allen Rollenzuweisungen für den Delegat hinzufügen, die die folgenden Aktionen enthalten.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagramm der Rollenzuweisungen, die auf die Rollen

Hier sind die Einstellungen zum Hinzufügen dieser Bedingung mithilfe des Azure-Portals und einer Bedingungsvorlage.

Bedingung Einstellung
Vorlage Einschränken von Rollen und Prinzipale
Rollen Mitwirkender für Sicherungen
Sicherungsleser
Principals Marketing
Sales

Beispiel: Einschränken der Verwaltung virtueller Computer

Mit dieser Bedingung kann ein Delegat nur Rollenzuweisungen für die Administratoranmeldung des virtuellen Computers oder die Benutzeranmeldungsrollen des virtuellen Computers hinzufügen oder entfernen. Außerdem kann der Delegat diese Rollen nur einem bestimmten Benutzer namens Dara zuweisen (ea585310-c95c-4a68-af22-49af4363bbb1).

Diese Bedingung ist nützlich, wenn Sie zulassen möchten, dass eine Stellvertretung eine Anmelderolle eines virtuellen Computers selbst für einen virtuellen Computer zuweist, den sie gerade erstellt haben.

Sie müssen diese Bedingung allen Rollenzuweisungen für den Delegat hinzufügen, die die folgenden Aktionen enthalten.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagramm der Rollenzuweisungen, die auf Administratoranmeldungs- oder Benutzeranmeldungsrollen für virtuelle Computer und einen bestimmten Benutzer beschränkt sind.

Hier sind die Einstellungen zum Hinzufügen dieser Bedingung mithilfe des Azure-Portals und einer Bedingungsvorlage.

Bedingung Einstellung
Vorlage Einschränken von Rollen und Prinzipale
Rollen VM-Administratoranmeldung
VM-Benutzeranmeldung
Principals Dara

Beispiel: Einschränken der AKS-Clusterverwaltung

Mit dieser Bedingung kann ein Delegat nur Rollenzuweisungen für den Azure Kubernetes Service RBAC Admin, Azure Kubernetes Service RBAC Cluster Admin, Azure Kubernetes Service RBAC Reader oder Azure Kubernetes Service RBAC Writer-Rollen hinzufügen oder entfernen. Außerdem kann der Delegat diese Rollen nur einem bestimmten Benutzer namens Dara zuweisen (ea585310-c95c-4a68-af22-49af4363bbb1).

Diese Bedingung ist nützlich, wenn Sie zulassen möchten, dass ein Delegat Azure Kubernetes Service (AKS)-Clusterdatenebenenautorisierungsrollen sich selbst für einen soeben erstellten Cluster zuweisen kann.

Sie müssen diese Bedingung allen Rollenzuweisungen für den Delegat hinzufügen, die die folgenden Aktionen enthalten.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagramm der Rollenzuweisungen, die auf Azure Kubernetes Service RBAC Admin, Azure Kubernetes Service RBAC Cluster Admin, Azure Kubernetes Service RBAC Reader oder Azure Kubernetes Service RBAC Writer-Rollen und einen bestimmten Benutzer beschränkt sind.

Hier sind die Einstellungen zum Hinzufügen dieser Bedingung mithilfe des Azure-Portals und einer Bedingungsvorlage.

Beispiel: Einschränken der ACR-Verwaltung

Mit dieser Bedingung kann ein Delegat nur Rollenzuweisungen für die AcrPull-Rolle hinzufügen oder entfernen. Außerdem kann der Delegat diese Rollen nur Prinzipale des Dienstprinzipals zuweisen.

Diese Bedingung ist nützlich, wenn Sie es einem Entwickler ermöglichen möchten, die AcrPull-Rolle einer verwalteten Identität selbst zuzuweisen, damit Bilder aus der Azure Container Registry (ACR) abgerufen werden können.

Sie müssen diese Bedingung allen Rollenzuweisungen für den Delegat hinzufügen, die die folgenden Aktionen enthalten.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagramm der Rollenzuweisungen, die auf den AcrPull-Rollen- und Dienstprinzipaltyp beschränkt sind.

Hier sind die Einstellungen zum Hinzufügen dieser Bedingung mithilfe des Azure-Portals und einer Bedingungsvorlage.

Bedingung Einstellung
Vorlage Einschränken von Rollen und Prinzipaltypen
Rollen AcrPull
Prinzipaltypen Dienstprinzipale

Beispiel: Einschränken des Hinzufügens von Rollenzuweisungen

Mit dieser Bedingung kann ein Delegat nur Rollenzuweisungen für die Rollen Backup Mitwirkender oder Backup Leser hinzufügen. Der Delegat kann alle Rollenzuweisungen entfernen.

Sie müssen diese Bedingung allen Rollenzuweisungen hinzufügen, die die folgende Aktion enthalten.

  • Microsoft.Authorization/roleAssignments/write

Diagramm zum Hinzufügen und Entfernen von Rollenzuweisungen, die auf die Rollen

Keine

Beispiel: Zulassen der meisten Rollen, aber nicht zulassen, dass andere Rollen zuweisen

Mit dieser Bedingung kann ein Delegat Rollenzuweisungen für alle Rollen hinzufügen oder entfernen, mit Ausnahme der Rollen Besitzer, Rollenbasierter Zugriffssteuerungsadministrator und Benutzerzugriffsadministrator.

Diese Bedingung ist nützlich, wenn Sie zulassen möchten, dass eine Stellvertretung die meisten Rollen zuweist, aber nicht zulassen, dass andere Personen Rollen zuweisen können.

Hinweis

Diese Bedingung sollte mit Vorsicht verwendet werden. Wenn später eine neue integrierte oder benutzerdefinierte Rolle hinzugefügt wird, die die Berechtigung zum Erstellen von Rollenzuweisungen enthält, würde diese Bedingung nicht verhindern, dass der Delegat Rollen zuweist. Die Bedingung muss aktualisiert werden, um die neue integrierte oder benutzerdefinierte Rolle einzuschließen.

Sie müssen diese Bedingung allen Rollenzuweisungen für den Delegat hinzufügen, die die folgenden Aktionen enthalten.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagramm zum Hinzufügen und Entfernen von Rollenzuweisungen für alle Rollen mit Ausnahme des Besitzers, des Rollenbasierten Zugriffssteuerungsadministrators und des Benutzerzugriffsadministrators.

Hier sind die Einstellungen zum Hinzufügen dieser Bedingung mithilfe des Azure-Portals und einer Bedingungsvorlage.

Bedingung Einstellung
Vorlage Alle außer bestimmte Rollen zulassen
Rollen ausschließen Besitzer
Administrator:in für rollenbasierte Zugriffssteuerung
Benutzerzugriffsadministrator

Nächste Schritte