Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Como administrador, você pode receber várias solicitações para conceder acesso aos recursos do Azure que deseja delegar a outra pessoa. Você pode atribuir a um usuário as funções de Administrador de Acesso de Usuário ou Proprietário, mas essas são funções altamente privilegiadas. Este artigo descreve uma maneira mais segura de delegar o gerenciamento de atribuição de função a outros usuários em sua organização, mas adicionar restrições para essas atribuições de função. Por exemplo, você pode restringir as funções que podem ser atribuídas ou restringir os princípios aos quais as funções podem ser atribuídas.
O diagrama a seguir mostra como um delegado com condições só pode atribuir as funções Colaborador de Backup ou Leitor de Backup apenas aos grupos marketing ou vendas.
Pré-requisitos
Para atribuir funções do Azure, é necessário ter:
-
Microsoft.Authorization/roleAssignments/writepermissões, como Administrador de Controle de Acesso Baseado em Função ou Administrador de Acesso do Usuário
Etapa 1: Determinar as permissões de que o delegado precisa
Para ajudar a determinar as permissões que o delegado precisa, responda às seguintes perguntas:
- Quais funções o delegado pode atribuir?
- A quais tipos de entidades de segurança o delegado pode atribuir funções?
- A quais entidades de segurança o delegado pode atribuir funções?
- O delegado pode remover as atribuições de função?
Depois de saber as permissões que o delegado precisa, use as etapas a seguir para adicionar uma condição à atribuição de função do delegado. Para obter condições de exemplo, consulte Exemplos para delegar o gerenciamento de atribuição de função do Azure com condições.
Etapa 2: Iniciar uma nova atribuição de função
Entre no portal do Azure.
Siga as etapas para abrir a página Adicionar atribuição de função.
Na guia Funções , selecione a guia Funções de administrador com privilégios .
Selecione a função Administrador de Controle de Acesso Baseado em Função .
A guia Condições é exibida.
Você pode selecionar qualquer função que inclua as ações
Microsoft.Authorization/roleAssignments/writeouMicrosoft.Authorization/roleAssignments/delete, como Administrador de Acesso do Usuário, mas o Administrador de Controle de Acesso Baseado em Função tem menos permissões.Na guia Membros , localize e selecione o delegado.
Etapa 3: Adicionar uma condição
Há duas maneiras de adicionar uma condição. Você pode usar um modelo de condição ou pode usar um editor de condições avançadas.
Na guia Condições, em O que o usuário pode fazer, selecione a opção Permitir que o usuário atribua funções selecionadas apenas a entidades de segurança selecionadas (menos privilégios).
Selecione Selecione funções e principais.
A página Adicionar condição de atribuição de função aparece com uma lista de modelos de condição.
Selecione um modelo de condição e selecione Configurar.
Modelo de condição Selecione este modelo para Restringir funções Permitir que o usuário atribua apenas funções selecionadas Restringir funções e tipos principais Permitir que o usuário atribua apenas funções selecionadas
Permitir que o usuário atribua essas funções apenas aos tipos de entidade de segurança que você selecionar (usuários, grupos ou entidades de serviço)Restringir funções e princípios Permitir que o usuário atribua apenas funções selecionadas
Permitir que o usuário atribua apenas essas funções aos principais que você selecionarPermitir todas, exceto funções específicas Permitir que o usuário atribua todas as funções, exceto as funções selecionadas No painel configurar, adicione as configurações necessárias.
Selecione Salvar para adicionar a condição à atribuição de função.
Etapa 4: Atribuir função com condição para delegar
Na guia Examinar + atribuir, examine as configurações de atribuição de função.
Selecione Examinar + atribuir para atribuir a função.
Após alguns momentos, o delegado recebe a função de Administrador de Controle de Acesso Baseado em Função com suas condições de atribuição de função.
Etapa 5: Delegar atribui funções com condições
O delegado agora pode seguir as etapas para atribuir funções.
Quando o delegado tenta atribuir funções no portal do Azure, a lista de funções será filtrada para mostrar apenas as funções que eles podem atribuir.
Se houver uma condição para as entidades de segurança, a lista de entidades de segurança disponíveis para atribuição também será filtrada.
Se o delegado tentar atribuir uma função que está fora das condições usando uma API, a atribuição de função falhará com um erro. Para obter mais informações, consulte Sintoma – Não é possível atribuir uma função.
Editar uma condição
Há duas maneiras de editar uma condição. Você pode usar o modelo de condição ou pode usar o editor de condições.
No portal do Azure, abra a página IAM (controle de acesso) para a atribuição de função que tem uma condição que você deseja exibir, editar ou excluir.
Selecione a guia Atribuições de função e localize a atribuição de função.
Na coluna Condição , selecione Exibir/Editar.
Se você não vir o link Exibir/Editar, certifique-se de que está visualizando o mesmo escopo da atribuição de função.
A página Adicionar condição de atribuição de função é exibida. Esta página terá aparência diferente dependendo de a condição corresponder a um template existente.
Se a condição corresponder a um modelo existente, selecione Configurar para editar a condição.
Se a condição não corresponder a um modelo existente, use o editor de condições avançadas para editar a condição.
Por exemplo, para editar uma condição, role para baixo até a seção de expressão de build e atualize os atributos, o operador ou os valores.
Para editar a condição diretamente, selecione o tipo de editor código e depois edite o código da condição.
Quando terminar, clique em Salvar para atualizar a condição.
