Funções e permissões
Saiba como gerenciar o acesso a recomendações e revisões para sua organização.
Funções e acesso associado
O Assistente usa as funções internas fornecidas pelo RBAC (controle de acesso baseado em função) do Azure.
Examine a seção a seguir para saber mais sobre cada função e o acesso associado.
Funções para exibir, ignorar e adiar recomendações
| Função | Exibir recomendações | Ignorar e adiar recomendações |
|---|---|---|
| Leitor de assinatura | X | |
| Colaborador da assinatura | X | X |
| Proprietário da assinatura | X | X |
| Leitor do grupo de recursos | X | |
| Colaborador do grupo de recursos | X | X |
| Proprietário do grupo de recursos | X | X |
| Leitor do recurso | X | |
| Colaborador do recurso | X | X |
| Proprietário do recurso | X | X |
Funções para editar regras e configurações
| Função | Editar regras | Editar configuração da assinatura | Editar configuração do grupo de recursos |
|---|---|---|---|
| Colaborador da assinatura | X | X | X |
| Proprietário da assinatura | X | X | X |
| Colaborador do grupo de recursos | X | ||
| Proprietário do grupo de recursos | X |
Observação
Você deve ter acesso ao recurso associado à recomendação para exibir uma recomendação.
Para saber mais sobre as funções internas, confira Funções internas do Azure. Para saber mais sobre o controle de acesso baseado em função do Azure, confira O que é o RBAC do Azure (controle de acesso baseado em função do Azure)?.
Avaliações e recomendações personalizadas
Funções para gerenciar o acesso às avaliações do Assistente
As permissões variam de acordo com a função. Essas funções precisam ser configuradas para a assinatura que foi usada para publicar a avaliação.
| Função | Exibir avaliações de uma carga de trabalho e todas as recomendações associadas às avaliações | Recomendações de triagem associadas às avaliações |
|---|---|---|
| Leitor de Avaliações do Assistente | X | |
| Colaborador de Avaliações do Assistente | X | X |
| Leitor de assinatura | X | |
| Colaborador da assinatura | X | X |
| Proprietário da assinatura | X | X |
Funções para gerenciar o acesso às recomendações personalizadas do Assistente
Essas funções precisam ser configuradas para as assinaturas incluídas na carga de trabalho em uma avaliação.
| Função | Exibir recomendações aceitas | Gerenciar o ciclo de vida de uma recomendação |
|---|---|---|
| Colaborador de Recomendações do Assistente (Avaliações) | X | X |
| Leitor de assinatura | X | |
| Colaborador da assinatura | X | |
| Proprietário da assinatura | X |
Para saber como atribuir uma função do Azure, confira Etapas para atribuir uma função do Azure.
Exibir e gerenciar avaliações
Funções para exibir e gerenciar avaliações e recomendações associadas
Gerenciar o acesso ao WAF (Advisor Well-Architected Framework) usando funções internas. As permissões variam de acordo com a função.
| Função | Detalhe |
|---|---|
| Leitor | Exibir avaliações de uma assinatura ou carga de trabalho e as recomendações associadas. |
| Colaborador | Crie avaliações para uma assinatura ou carga de trabalho e gerencie o ciclo de vida das recomendações associadas. |
Observação
A função deve ser configurada para a assinatura relevante para criar a avaliação e exibir as recomendações correspondentes.
Ações disponíveis para criar funções personalizadas
Se a sua organização exigir funções que não correspondam às funções internas do Azure, crie sua própria função personalizada. Uma função personalizada funciona como uma função interna e permite a você atribuí-la a usuários, grupos e entidades de serviço nos escopos de grupo de gerenciamento, assinatura e grupo de recursos. Use as ações a seguir para criar sua função personalizada.
| Ação | Detalhes |
|---|---|
Microsoft.Advisor/generateRecommendations/action |
Criar uma Recomendação. |
Microsoft.Advisor/register/action |
Registrar com o Provedor. |
Microsoft.Advisor/unregister/action |
Cancelar o registro com o Provedor. |
Microsoft.Advisor/advisorScore/read |
Obtém a pontuação do Assistente. |
Microsoft.Advisor/configurations/read |
Ler as Configurações. |
Microsoft.Advisor/configurations/write |
Criar ou Atualizar a Configuração. |
Microsoft.Advisor/generateRecommendations/read |
Obter status de ação generateRecommendations. |
Microsoft.Advisor/metadata/read |
Ler metadados. |
Microsoft.Advisor/operations/read |
Obter operações. |
Microsoft.Advisor/recommendations/read |
Ler as recomendações. |
Microsoft.Advisor/recommendations/write |
Criar recomendações. |
Microsoft.Advisor/recommendations/available/action |
Uma nova recomendação está disponível. |
Microsoft.Advisor/recommendations/suppressions/read |
Ler as Supressões. |
Microsoft.Advisor/recommendations/suppressions/write |
Criar ou atualizar as Supressões. |
Microsoft.Advisor/recommendations/suppressions/delete |
Excluir a Supressão. |
Microsoft.Advisor/suppressions/read |
Ler as Supressões. |
Microsoft.Advisor/suppressions/write |
Criar ou atualizar as Supressões. |
Microsoft.Advisor/suppressions/delete |
Excluir a Supressão. |
Microsoft.Advisor/assessmentTypes/read |
Lê AssessmentTypes. |
Microsoft.Advisor/assessments/read |
Lê avaliações. |
Microsoft.Advisor/assessments/write |
Criar avaliações. |
Microsoft.Advisor/resiliencyReviews/read |
Lê resiliencyReviews. |
Microsoft.Advisor/triageRecommendations/read |
Lê triageRecommendations. |
Microsoft.Advisor/triageRecommendations/approve/action |
Aprova triageRecommendations. |
Microsoft.Advisor/triageRecommendations/reject/action |
Rejeita triageRecommendations. |
Microsoft.Advisor/triageRecommendations/reset/action |
Redefine triageRecommendations. |
Microsoft.Advisor/workloads/read |
Lê cargas de trabalho. |
Observação
Por exemplo, você deve ter um nível de permissão suficiente para uma VM (máquina virtual) exibir recomendações associadas à VM.
Para saber mais sobre as funções personalizadas, confira Funções personalizadas do Azure.
Permissões e ações não disponíveis
Se o nível de permissão for muito baixo, o acesso à ação associada será bloqueado. Examine os problemas comuns na seção a seguir.
A configuração da assinatura ou do grupo de recursos está bloqueada
Quando você tenta configurar uma assinatura ou grupo de recursos, a opção para incluir ou excluir é bloqueada. O status bloqueado indica que o nível de permissão desse grupo de recursos ou assinatura é insuficiente. Para saber como alterar o nível de permissão, consulte Tutorial: permitir acesso a um usuário aos recursos do Azure usando o portal do Azure.
Adiar ou ignorar é permitido, mas envia um erro
Ao tentar adiar ou ignorar uma recomendação, você recebe um erro. O erro indica que o nível de permissão é insuficiente. Você deve ter um nível de permissão suficiente para ignorar as recomendações.
Dica
Depois de ignorar uma recomendação, você deve reativar manualmente antes que ela seja adicionada à sua lista de recomendações. Se você ignorar uma recomendação, poderá perder conselhos importantes que otimizam sua implantação do Azure.
Para adiar ou ignorar uma recomendação, verifique se o nível de permissão do recurso associado à recomendação está definido como Colaborador ou melhor. Para saber como alterar o nível de permissão, consulte Tutorial: permitir acesso a um usuário aos recursos do Azure usando o portal do Azure.
Conteúdo relacionado
Este artigo forneceu uma visão geral de como o Assistente usa o RBAC (controle de acesso baseado em função) do Azure para controlar as permissões do usuário e como resolver problemas comuns. Para saber mais sobre o Assistente, consulte os seguintes artigos.