Delegar o gerenciamento de atribuição de função do Azure a outras pessoas com condições
Como administrador, você pode receber várias solicitações para conceder acesso aos recursos do Azure que deseja delegar a outra pessoa. Você pode atribuir a um usuário as funções de Proprietário ou Administrador de Acesso de Usuário, mas essas são funções altamente privilegiadas. Este artigo descreve uma maneira mais segura de delegar o gerenciamento de atribuição de função a outros usuários em sua organização, mas adicionar restrições para essas atribuições de função. Por exemplo, você pode restringir as funções que podem ser atribuídas ou restringir as entidades às quais as funções podem ser atribuídas.
O diagrama a seguir mostra como um delegado com condições só pode atribuir as funções de Colaborador de Backup ou Leitor de Backup somente aos grupos de Marketing ou Vendas.
Pré-requisitos
Para atribuir funções do Azure, tem de ter:
Microsoft.Authorization/roleAssignments/writepermissões, como Administrador de Controle de Acesso Baseado em Função ou Administrador de Acesso de Usuário
Etapa 1: Determinar as permissões de que o delegado precisa
Para ajudar a determinar as permissões de que o delegado precisa, responda às seguintes perguntas:
- Que funções o delegado pode atribuir?
- A que tipos de entidades o delegado pode atribuir funções?
- A quais entidades o delegado pode atribuir funções?
- O delegado pode remover quaisquer atribuições de função?
Depois de saber as permissões de que o delegado precisa, use as etapas a seguir para adicionar uma condição à atribuição de função do delegado. Para obter condições de exemplo, consulte Exemplos para delegar o gerenciamento de atribuição de função do Azure com condições.
Etapa 2: Iniciar uma nova atribuição de função
Inicie sessão no portal do Azure.
Siga as etapas para abrir a página Adicionar atribuição de função.
Na guia Funções, selecione a guia Funções de administrador privilegiadas.
Selecione a função Administrador de Controle de Acesso Baseado em Função .
A guia Condições é exibida.
Você pode selecionar qualquer função que inclua as ações ou , como Administrador de Acesso de Usuário, mas o Administrador de Controle de Acesso Baseado em
Microsoft.Authorization/roleAssignments/writeFunção tem menos permissões.Microsoft.Authorization/roleAssignments/deleteNa guia Membros, localize e selecione o delegado.
Etapa 3: adicionar uma condição
Há duas maneiras de adicionar uma condição. Você pode usar um modelo de condição ou um editor de condição avançado.
Na guia Condições, em O que o usuário pode fazer, selecione a opção Permitir que o usuário atribua apenas funções selecionadas a entidades selecionadas (menos privilégios).
Selecione Selecionar funções e entidades de segurança.
A página Adicionar condição de atribuição de função é exibida com uma lista de modelos de condição.
Selecione um modelo de condição e, em seguida, selecione Configurar.
Modelo de condição Selecione este modelo para Restringir funções Permitir que o usuário atribua apenas funções selecionadas Restringir funções e tipos principais Permitir que o usuário atribua apenas funções selecionadas
Permitir que o usuário atribua essas funções apenas aos tipos principais selecionados (usuários, grupos ou entidades de serviço)Restringir funções e princípios Permitir que o usuário atribua apenas funções selecionadas
Permitir que o usuário atribua essas funções apenas às entidades selecionadasPermitir todos, exceto funções específicas Permitir que o usuário atribua todas as funções, exceto as funções selecionadas No painel de configuração, adicione as configurações necessárias.
Selecione Salvar para adicionar a condição à atribuição de função.
Etapa 4: Atribuir função com condição para delegar
No separador Rever + atribuir, reveja as definições da atribuição de função.
Selecione Rever + atribuir para atribuir a função.
Após alguns momentos, o delegado recebe a função de Administrador de Controle de Acesso Baseado em Função com suas condições de atribuição de função.
Etapa 5: Delegar atribui funções com condições
O delegado agora pode seguir as etapas para atribuir funções.
Quando o delegado tenta atribuir funções no portal do Azure, a lista de funções será filtrada para mostrar apenas as funções que eles podem atribuir.
Se houver uma condição para os principais, a lista de principais disponíveis para atribuição também será filtrada.
Se o delegado tentar atribuir uma função que esteja fora das condições usando uma API, a atribuição de função falhará com um erro. Para obter mais informações, consulte Sintoma - Não é possível atribuir uma função.
Editar uma condição
Há duas maneiras de editar uma condição. Você pode usar o modelo de condição ou o editor de condições.
No portal do Azure, abra a página Controle de acesso (IAM) para a atribuição de função que tem uma condição que você deseja exibir, editar ou excluir.
Selecione a guia Atribuições de função e localize a atribuição de função.
Na coluna Condição, selecione Exibir/Editar.
Se não vir a ligação Ver/Editar , certifique-se de que está a ver o mesmo âmbito da atribuição de função.
A página Adicionar condição de atribuição de função é exibida. Esta página terá uma aparência diferente dependendo se a condição corresponde a um modelo existente.
Se a condição corresponder a um modelo existente, selecione Configurar para editá-la.
Se a condição não corresponder a um modelo existente, use o editor de condições avançado para editá-la.
Por exemplo, para editar uma condição, role para baixo até a seção de expressão de compilação e atualize os atributos, o operador ou os valores.
Para editar a condição diretamente, selecione o tipo de editor de código e, em seguida, edite o código para a condição.
Quando terminar, clique em Salvar para atualizar a condição.
