Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O controle de acesso baseado em função do Azure (Azure RBAC) habilita o gerenciamento de acesso para recursos do Azure. Usando o RBAC do Azure, você pode segregar tarefas dentro de sua equipe e conceder apenas a quantidade de acesso a usuários, grupos e aplicativos de que eles precisam para executar seus trabalhos. Pode conceder o acesso baseado em funções aos utilizadores através do portal do Azure, das ferramentas de Linha de Comandos do Azure ou de APIs de Gestão do Azure.
Funções em contas de automação
Na Automatização do Azure, é concedido acesso ao atribuir a função do Azure adequada aos utilizadores, grupos e aplicações no âmbito da conta de Automatização. Seguem-se as funções incorporadas suportadas por uma conta de Automatização:
| Função | Descrição |
|---|---|
| Proprietário | A função de Proprietário permite o acesso a todos os recursos e ações numa conta de Automatização, incluindo fornecer acesso a outros utilizadores, grupos e aplicações para gerir a conta de Automatização. |
| Contribuidor | A função de Colaborador permite gerenciar tudo, exceto modificar as permissões de acesso de outros usuários a uma conta de Automação. |
| Leitor | A função de Leitor permite-lhe ver todos os recursos numa conta de Automatização, mas não permite efetuar quaisquer alterações. |
| Colaborador de automação | A função Contribuidor de Automatização permite-lhe gerir todos os recursos da conta de Automatização, exceto modificar as permissões de acesso de outros utilizadores a uma conta de Automatização. |
| Operador de Automação | A função Operador de Automatização permite-lhe ver o nome e as propriedades do runbook e criar e gerir tarefas para todos os runbooks numa conta de Automatização. Esta função é útil se pretender proteger os seus recursos da conta de Automatização como recursos de credenciais e runbooks contra a visualização ou modificação, mas ainda permite que os membros da sua organização executem estes runbooks. |
| Operador de Automação | A função Operador de Tarefas de Automatização permite-lhe criar e gerir tarefas para todos os runbooks numa conta de Automatização. |
| Operador de Runbook Automatizado | A função Operador de Runbook de Automatização permite-lhe ver o nome e as propriedades de um runbook. |
| Contribuidor do Log Analytics | A função de Colaborador do Log Analytics permite que você leia todos os dados de monitoramento e edite as configurações de monitoramento. A edição de configurações de monitoramento inclui adicionar a extensão de VM a VMs, ler chaves de conta de armazenamento para poder configurar a coleção de logs do armazenamento do Azure, criar e configurar contas de Automação, adicionar recursos de Automação do Azure e configurar o diagnóstico do Azure em todos os recursos do Azure. |
| Leitor de Log Analytics | A função Leitor do Log Analytics permite visualizar e pesquisar todos os dados de monitoramento, bem como visualizar as configurações de monitoramento. Isso inclui exibir a configuração do diagnóstico do Azure em todos os recursos do Azure. |
| Contribuidor de Monitorização | A função de Colaborador de Monitoramento permite que você leia todos os dados de monitoramento e atualize as configurações de monitoramento. |
| Leitor de Monitorização | A função Leitor de monitoramento permite que você leia todos os dados de monitoramento. |
| Administrador de Acesso de Usuário | A função de Administrador de Acesso de Utilizador permite-lhe gerir o acesso de utilizador para as contas de Automatização do Azure. |
Permissões de função
As tabelas a seguir descrevem as permissões específicas dadas a cada função. Isto pode incluir Ações, que concedem permissões, e Ações Não, que as restringem.
Proprietário
Um Proprietário pode gerir tudo, incluindo o acesso. A tabela seguinte mostra as permissões concedidas para a função:
| Ações | Descrição |
|---|---|
| Microsoft.Automation/automationAccounts/* | Criar e gerir recursos de todos os tipos. |
Contribuidor
Um Contribuidor pode gerir tudo, exceto o acesso. A tabela seguinte mostra as permissões concedidas e negadas para a função:
| Ações | Descrição |
|---|---|
| Microsoft.Automation/automationAccounts/* | Criar e gerir recursos de todos os tipos |
| Ações Não | |
| Microsoft.Authorization/*/Eliminar | Eliminar funções e atribuições de funções. |
| Microsoft.Authorization/*/Write | Criar funções e atribuições de funções. |
| Microsoft.Authorization/elevateAccess/Action | Nega a capacidade de criar um Administrador de Acesso de Utilizador. |
Leitor
Observação
Recentemente, fizemos uma alteração na permissão integrada da função Leitor para a conta de automação. Mais informações
Um Leitor pode ver todos os recursos numa conta de Automatização, mas não pode efetuar quaisquer alterações.
| Ações | Descrição |
|---|---|
| Microsoft.Automation/automationAccounts/read | Ver todos os recursos numa conta de Automatização. |
Colaborador de automação
Um Contribuidor de Automatização pode gerir todos os recursos da conta de Automatização, exceto o acesso. A tabela seguinte mostra as permissões concedidas para a função:
| Ações | Descrição |
|---|---|
| Microsoft.Automation/automationAccounts/* | Criar e gerir recursos de todos os tipos. |
| Microsoft.Authorization/*/ler | Ler funções e atribuições de papéis. |
| Microsoft.Recursos/implantações/* | Criar e gerir implementações de grupos de recursos. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ler implementações de grupos de recursos. |
| Microsoft.Support/* | Criar e gerir pedidos de suporte. |
| Microsoft.Insights/ActionGroups/* | Ler/escrever/eliminar grupos de ações. |
| Microsoft.Insights/ActivityLogAlerts/* | Ler/escrever/eliminar alertas do registo de actividades. |
| Microsoft.Insights/diagnosticSettings/* | Ler/escrever/eliminar definições de diagnóstico. |
| Microsoft.Insights/MetricAlerts/* | Ler/escrever/eliminar alertas de métricas quase em tempo real. |
| Microsoft.Insights/ScheduledQueryRules/* | Ler/escrever/eliminar alertas de registo no Azure Monitor. |
| Microsoft.OperationalInsights/workspaces/sharedKeys/action | Listar chaves para uma área de trabalho do Log Analytics |
Observação
A função de Colaborador de Automação pode ser usada para acessar qualquer recurso usando a identidade gerenciada, se as permissões apropriadas forem definidas no recurso de destino ou usando uma conta Run As. As contas Run As de automação são, por padrão, configuradas com direitos de Colaborador na subscrição. Siga o princípio de privilégios mínimos e atribua cuidadosamente as permissões necessárias apenas para executar o runbook. Por exemplo, se a conta de Automatização for necessária apenas para iniciar ou parar uma VM do Azure, as permissões atribuídas à conta Run As ou à identidade gerida têm de ser apenas para iniciar ou parar a VM. Da mesma forma, se um runbook estiver a ler a partir do armazenamento de blobs, atribua permissões só de leitura.
Ao atribuir permissões, é recomendável usar o RBAC (controle de acesso baseado em função) do Azure atribuído a uma identidade gerenciada. Consulte as nossas recomendações de melhor abordagem para a utilização de uma identidade gerida atribuída pelo utilizador ou sistema, incluindo a gestão e a governação durante o tempo de vida útil.
Operador de Automação
Um Operador de Automatização pode criar e gerir tarefas e ler os nomes e as propriedades de todos os runbooks numa conta de Automatização.
Observação
Se você quiser controlar o acesso do operador a runbooks individuais, não defina essa função. Em vez disso, use as funções Operador de Tarefas de Automação e Operador de Runbook de Automação em combinação.
A tabela seguinte mostra as permissões concedidas para a função:
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/*/ler | Autorização de leitura. |
| Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/ler | Ler Recursos da Função de Trabalho de Runbook Híbrida. |
| Microsoft.Automation/automationAccounts/jobs/ler | Lista de tarefas do runbook. |
| Microsoft.Automation/automationAccounts/jobs/retomar/açao | Retomar uma tarefa em pausa. |
| Microsoft.Automation/automationAccounts/jobs/stop/action | Cancelar uma tarefa em curso. |
| Microsoft.Automation/automationAccounts/jobs/streams/read | Ler os Fluxos e a Saída de Tarefas. |
| Contas de automação/trabalhos/saída/leitura | Obter a Saída de uma tarefa. |
| Microsoft.Automation/automationAccounts/jobs/suspend/ação | Colocar em pausa uma tarefa em curso. |
| Microsoft.Automation/automationContas/trabalhos/gravação | Criar tarefas. |
| Microsoft.Automation/automationAccounts/jobSchedules/read | Obter uma agenda de tarefas da Automação do Azure. |
| Microsoft.Automation/automationAccounts/jobSchedules/write | Criar uma agenda de tarefas da Automação do Azure. |
| Microsoft.Automation/automationAccounts/linkedWorkspace/leitura | Obter a área de trabalho associada à conta de Automatização. |
| Microsoft.Automation/automationAccounts/read | Obter uma conta de Automatização do Azure. |
| Microsoft.Automation/automationAccounts/runbooks/read | Obter um runbook de Automatização do Azure. |
| Microsoft.Automation/automationContas/agendas/leitura | Obter um recurso de agenda de tarefas da Automação do Azure. |
| Microsoft.Automation/automationContas/agendas/gravação | Criar ou atualizar um recurso de agenda da Automatização do Azure. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ler funções e atribuições de papéis. |
| Microsoft.Recursos/implantações/* | Criar e gerir implementações de grupos de recursos. |
| Microsoft.Insights/alertRules/* | Criar e gerir regras de alerta. |
| Microsoft.Support/* | Criar e gerir pedidos de suporte. |
| Microsoft.ResourceHealth/availabilityStatuses/read | Obtém os estados de disponibilidade para todos os recursos no escopo especificado. |
Operador de Automação
Uma função de Operador de Tarefas de Automatização é concedida no âmbito da conta de Automatização. Isto permite que o operador tenha permissões para criar e gerir tarefas para todos os runbooks na conta. Se a função Operador de Tarefas tiver permissões de leitura no grupo de recursos que contém a conta de Automatização, os membros da função têm a capacidade de iniciar runbooks. No entanto, não têm a capacidade de os criar, editar ou eliminar.
A tabela seguinte mostra as permissões concedidas para a função:
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/*/ler | Autorização de leitura. |
| Microsoft.Automation/automationAccounts/jobs/ler | Lista de tarefas do runbook. |
| Microsoft.Automation/automationAccounts/jobs/retomar/açao | Retomar uma tarefa em pausa. |
| Microsoft.Automation/automationAccounts/jobs/stop/action | Cancelar uma tarefa em curso. |
| Microsoft.Automation/automationAccounts/jobs/streams/read | Ler os Fluxos e a Saída de Tarefas. |
| Microsoft.Automation/automationAccounts/jobs/suspend/ação | Colocar em pausa uma tarefa em curso. |
| Microsoft.Automation/automationContas/trabalhos/gravação | Criar tarefas. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ler funções e atribuições de papéis. |
| Microsoft.Recursos/implantações/* | Criar e gerir implementações de grupos de recursos. |
| Microsoft.Insights/alertRules/* | Criar e gerir regras de alerta. |
| Microsoft.Support/* | Criar e gerir pedidos de suporte. |
| Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/ler | Lê um Grupo de Funções de Trabalho de Runbook Híbridas. |
| Contas de automação/trabalhos/saída/leitura | Obtém a saída de uma tarefa. |
Operador de Runbook Automatizado
Uma função de Operador de Runbook de Automatização é concedida no âmbito do Runbook. Um Operador de Runbook de Automatização pode ver o nome e as propriedades do runbook. Essa função combinada com a função Operador de Trabalho de Automação permite que o operador também crie e gerencie trabalhos para o runbook. A tabela seguinte mostra as permissões concedidas para a função:
| Ações | Descrição |
|---|---|
| Microsoft.Automation/automationAccounts/runbooks/read | Lista de runbooks. |
| Microsoft.Authorization/*/ler | Autorização de leitura. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ler funções e atribuições de papéis. |
| Microsoft.Recursos/implantações/* | Criar e gerir implementações de grupos de recursos. |
| Microsoft.Insights/alertRules/* | Criar e gerir regras de alerta. |
| Microsoft.Support/* | Criar e gerir pedidos de suporte. |
Contribuidor do Log Analytics
Um Colaborador do Log Analytics pode ler todos os dados de monitoramento e editar as configurações de monitoramento. A edição de configurações de monitoramento inclui a adição da extensão VM às VMs; leitura de chaves de conta de armazenamento para poder configurar a coleção de logs do Armazenamento do Azure; criação e configuração de contas de automação; adição de funcionalidades; e configurar o diagnóstico do Azure em todos os recursos do Azure. A tabela seguinte mostra as permissões concedidas para a função:
| Ações | Descrição |
|---|---|
| */ler | Leia recursos de todos os tipos, exceto segredos. |
| Microsoft.ClassicCompute/virtualMachines/extensions/* | Crie e gerencie extensões de máquina virtual. |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | Liste chaves de conta de armazenamento clássicas. |
| Microsoft.Compute/virtualMachines/extensions/* | Crie e gerencie extensões clássicas de máquina virtual. |
| Microsoft.Insights/alertRules/* | Regras de alerta de leitura/escrita/exclusão. |
| Microsoft.Insights/diagnosticSettings/* | Ler/escrever/eliminar definições de diagnóstico. |
| Microsoft.OperationalInsights/* | Gerencie os logs do Azure Monitor. |
| Microsoft.OperationsManagement/* | Gerencie os recursos de Automação do Azure em espaços de trabalho. |
| Microsoft.Recursos/implantações/* | Criar e gerir implementações de grupos de recursos. |
| Microsoft.Resources/subscriptions/resourcegroups/deployments/* | Criar e gerir implementações de grupos de recursos. |
| Microsoft.Storage/storageAccounts/listKeys/action | Listar chaves de conta de armazenamento. |
| Microsoft.Support/* | Criar e gerir pedidos de suporte. |
| Microsoft.HybridCompute/máquinas/extensões/escrita | Instala ou atualiza extensões do Azure Arc. |
Leitor de Log Analytics
Um Leitor do Log Analytics pode exibir e pesquisar todos os dados de monitoramento, bem como e exibir as configurações de monitoramento, incluindo a exibição da configuração do diagnóstico do Azure em todos os recursos do Azure. A tabela a seguir mostra as permissões concedidas ou negadas para a função:
| Ações | Descrição |
|---|---|
| */ler | Leia recursos de todos os tipos, exceto segredos. |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Gerencie consultas nos logs do Azure Monitor. |
| Microsoft.OperationalInsights/workspaces/pesquisa/ação | Pesquisar dados de log do Azure Monitor. |
| Microsoft.Support/* | Criar e gerir pedidos de suporte. |
| Ações Não | |
| Microsoft.OperationalInsights/espaços de trabalho/chaves partilhadas/leitura | Não é possível ler as chaves de acesso compartilhadas. |
Contribuidor de Monitorização
Um Colaborador de Monitoramento pode ler todos os dados de monitoramento e atualizar as configurações de monitoramento. A tabela seguinte mostra as permissões concedidas para a função:
| Ações | Descrição |
|---|---|
| */ler | Leia recursos de todos os tipos, exceto segredos. |
| Microsoft.AlertsManagement/alerts/* | Gerencie alertas. |
| Microsoft.AlertsManagement/alertsSummary/* | Gerencie o painel Alerta. |
| Microsoft.Insights/AlertRules/* | Gerencie regras de alerta. |
| Microsoft.Insights/componentes/* | Gerencie componentes do Application Insights. |
| Microsoft.Insights/DiagnosticSettings/* | Gerencie as configurações de diagnóstico. |
| Microsoft.Insights/eventtypes/* | Listar os eventos do Registo de Atividades (eventos de gestão) numa subscrição. Esta permissão é aplicável tanto ao acesso programático como ao acesso ao portal do Registo de Atividades. |
| Microsoft.Insights/LogDefinitions/* | Esta permissão é necessária para os utilizadores que necessitam de acesso aos Registos de Atividades através do portal. Listar categorias de registo no Registo de Atividades. |
| Microsoft.Insights/MetricDefinitions/* | Ler definições de métricas (lista de tipos de métricas disponíveis para um recurso). |
| Microsoft.Insights/Métricas/* | Ler as métricas de um recurso. |
| Microsoft.Insights/Registro/Ação | Registre o provedor Microsoft.Insights. |
| Microsoft.Insights/webtests/* | Gerencie testes da Web do Application Insights. |
| Microsoft.OperationalInsights/workspaces/intelligencepacks/* | Gerencie os pacotes de solução de logs do Azure Monitor. |
| Microsoft.OperationalInsights/workspaces/savedSearches/* | Gerir pesquisas salvas dos logs do Azure Monitor. |
| Microsoft.OperationalInsights/workspaces/pesquisa/ação | Espaços de trabalho do Search Log Analytics. |
| Microsoft.OperationalInsights/workspaces/sharedKeys/action | Listar chaves para um espaço de trabalho do Log Analytics. |
| Microsoft.OperationalInsights/workspaces/storageinsightconfigs/* | Gerir as configurações de insights de armazenamento de logs do Azure Monitor. |
| Microsoft.Support/* | Criar e gerir pedidos de suporte. |
| Microsoft.WorkloadMonitor/cargas de trabalho/* | Gerencie cargas de trabalho. |
Leitor de Monitorização
Um leitor de monitoramento pode ler todos os dados de monitoramento. A tabela seguinte mostra as permissões concedidas para a função:
| Ações | Descrição |
|---|---|
| */ler | Leia recursos de todos os tipos, exceto segredos. |
| Microsoft.OperationalInsights/workspaces/pesquisa/ação | Espaços de trabalho do Search Log Analytics. |
| Microsoft.Support/* | Criar e gerir pedidos de suporte |
Administrador de Acesso de Usuário
Um Administrador de Acesso do Utilizador pode gerir o acesso dos utilizadores aos recursos do Azure. A tabela seguinte mostra as permissões concedidas para a função:
| Ações | Descrição |
|---|---|
| */ler | Ler todos os recursos |
| Microsoft.Autorização/* | Autorização de gestão |
| Microsoft.Support/* | Criar e gerir pedidos de suporte |
Permissões do acesso da função Leitor
Importante
Para fortalecer a postura geral de segurança da Automação do Azure, o RBAC Reader interno não teria acesso às chaves de conta de Automação por meio da chamada de API - GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION.
A função de Leitor Incorporado na Conta de Automatização não pode usar o API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION para buscar as chaves da Conta de Automatização. Trata-se de uma operação com privilégios elevados que fornece informações confidenciais que podem representar um risco de segurança de um agente malicioso indesejado com privilégios reduzidos, que pode obter acesso a chaves de contas de automatização e realizar ações com um nível de privilégio elevado.
Para acessar o API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION, recomendamos que mude para as funções integradas, como Proprietário, Colaborador ou Colaborador de Automação, para aceder às chaves da conta de Automação. Essas funções, por padrão, terão a permissão listKeys . Como melhor prática, recomendamos que crie uma função personalizada com permissões limitadas para aceder às chaves da conta de Automatização. Para uma função personalizada, você precisa adicionar Microsoft.Automation/automationAccounts/listKeys/action permissão à definição de função.
Saiba mais sobre como criar uma função personalizada a partir do portal do Azure.
Permissões de configuração de recursos
As seções a seguir descrevem as permissões mínimas necessárias necessárias para habilitar os recursos Gerenciamento de Atualizações e Controle de Alterações e Inventário.
Permissões para habilitar o Gerenciamento de Atualizações e o Controle de Alterações e o Inventário de uma VM
| Ação | Permissão | Âmbito mínimo |
|---|---|---|
| Escrever nova implementação | Microsoft.Recursos/implantações/* | Subscrição |
| Escrever novo grupo de recursos | Microsoft.Resources/subscriptions/gruposDeRecursos/escrever | Subscrição |
| Criar novo espaço de trabalho padrão | Microsoft.OperationalInsights/workspaces/write | Grupo de recursos |
| Criar nova conta | Microsoft.Automation/automationAccounts/write | Grupo de recursos |
| Vincular espaço de trabalho e conta | Microsoft.OperationalInsights/workspaces/write Microsoft.Automation/automationAccounts/read |
Espaço de Trabalho Conta de Automação |
| Criar extensão MMA | Microsoft.Compute/virtualMachines/escrever | Máquina Virtual |
| Criar pesquisa guardada | Microsoft.OperationalInsights/workspaces/write | Espaço de trabalho |
| Criar configuração de escopo | Microsoft.OperationalInsights/workspaces/write | Espaço de trabalho |
| Verificação do estado de integração - Leitura do espaço de trabalho | Microsoft.OperationalInsights/workspaces/read | Espaço de trabalho |
| Verificação do estado de integração - Ler a propriedade do espaço de trabalho vinculado à conta | Microsoft.Automation/automationAccounts/read | Conta de automatização |
| Verificação do estado de integração - Leia a solução | Microsoft.OperationalInsights/workspaces/intelligencepacks/read | Solução |
| Verificação do estado de integração inicial - Ler VM | Microsoft.Compute/virtualMachines/leitura | Máquina Virtual |
| Verificação de estado de integração - Ler conta | Microsoft.Automation/automationAccounts/read | Conta de automatização |
| Verificação do espaço de trabalho de integração para VM1 | Microsoft.OperationalInsights/workspaces/read | Subscrição |
| Registrar o provedor do Log Analytics | Microsoft.Insights/registro/ação | Subscrição |
1 Essa permissão é necessária para habilitar recursos por meio da experiência do portal da VM.
Permissões para habilitar o Gerenciamento de Atualizações e o Controle de Alterações e o Inventário de uma conta de Automação
| Ação | Permissão | Âmbito mínimo |
|---|---|---|
| Criar nova implementação | Microsoft.Recursos/implantações/* | Subscrição |
| Criar novo grupo de recursos | Microsoft.Resources/subscriptions/gruposDeRecursos/escrever | Subscrição |
| AutomationOnboarding blade - Criar novo espaço de trabalho | Microsoft.OperationalInsights/workspaces/write | Grupo de recursos |
| AutomaçãoFolha de integração - ler espaço de trabalho vinculado | Microsoft.Automation/automationAccounts/read | Conta de automatização |
| AutomaçãoOnboarding blade - solução de leitura | Microsoft.OperationalInsights/workspaces/intelligencepacks/read | Solução |
| AutomaçãoOnboarding blade - ler espaço de trabalho | Microsoft.OperationalInsights/workspaces/intelligencepacks/read | Espaço de trabalho |
| Criar link para área de trabalho e conta | Microsoft.OperationalInsights/workspaces/write | Espaço de trabalho |
| Registe a conta para caixa de sapatos | Microsoft.Automation/automationAccounts/write | Conta |
| Criar/editar pesquisa guardada | Microsoft.OperationalInsights/workspaces/write | Espaço de trabalho |
| Criar/editar configuração de escopo | Microsoft.OperationalInsights/workspaces/write | Espaço de trabalho |
| Registrar o provedor do Log Analytics | Microsoft.Insights/registro/ação | Subscrição |
| Etapa 2 - Habilitar várias VMs | ||
| Lâmina VMOnboarding - Criar extensão MMA | Microsoft.Compute/virtualMachines/escrever | Máquina Virtual |
| Criar / editar pesquisa guardada | Microsoft.OperationalInsights/workspaces/write | Espaço de trabalho |
| Criar / editar configuração de escopo | Microsoft.OperationalInsights/workspaces/write | Espaço de trabalho |
Gerenciar permissões de função para grupos de trabalhadores híbridos e trabalhadores híbridos
Você pode criar funções personalizadas do Azure em Automação e conceder as seguintes permissões para Grupos de Trabalhadores Híbridos e Trabalhadores Híbridos:
Configurar o RBAC do Azure para sua conta de automação
A seção a seguir mostra como configurar o RBAC do Azure em sua conta de Automação por meio do portal do Azure e do PowerShell.
Configurar o RBAC do Azure usando o portal do Azure
Entre no portal do Azure e abra sua conta de Automação na página Contas de Automação .
Selecione Controle de acesso (IAM) e selecione uma função na lista de funções disponíveis. Você pode escolher qualquer uma das funções internas disponíveis que uma conta de automação suporta ou qualquer função personalizada que você possa ter definido. Atribua a função a um usuário ao qual você deseja conceder permissões.
Para obter etapas detalhadas, consulte Atribuir funções do Azure usando o portal do Azure.
Observação
Você só pode definir o controle de acesso baseado em função no escopo da conta de Automação e não em qualquer recurso abaixo da conta de Automação.
Remover atribuições de função de um usuário
Você pode remover a permissão de acesso para um usuário que não esteja gerenciando a conta de Automação ou que não trabalhe mais para a organização. As etapas a seguir mostram como remover as atribuições de função de um usuário. Para obter etapas detalhadas, consulte Remover atribuições de função do Azure:
Abra o controle de acesso (IAM) num escopo, como grupo de gestão, assinatura, grupo de recursos ou recurso, onde pretende remover o acesso.
Selecione a guia Atribuições de função para exibir todas as atribuições de função neste escopo.
Na lista de atribuições de função, adicione uma marca de seleção ao lado do usuário com a atribuição de função que você deseja remover.
Selecione Remover.
Configurar o RBAC do Azure usando o PowerShell
Você também pode configurar o acesso baseado em função a uma conta de Automação usando os seguintes cmdlets do Azure PowerShell:
Get-AzRoleDefinition lista todas as funções do Azure que estão disponíveis no Microsoft Entra ID. Você pode usar esse cmdlet com o Name parâmetro para listar todas as ações que uma função específica pode executar.
Get-AzRoleDefinition -Name 'Automation Operator'
A seguir está o exemplo de resultado:
Name : Automation Operator
Id : d3881f73-407a-4167-8283-e981cbba0404
IsCustom : False
Description : Automation Operators are able to start, stop, suspend, and resume jobs
Actions : {Microsoft.Authorization/*/read, Microsoft.Automation/automationAccounts/jobs/read, Microsoft.Automation/automationAccounts/jobs/resume/action,
Microsoft.Automation/automationAccounts/jobs/stop/action...}
NotActions : {}
AssignableScopes : {/}
Get-AzRoleAssignment lista as atribuições de função do Azure no escopo especificado. Sem parâmetros, esse cmdlet retorna todas as atribuições de função feitas na assinatura. Use o ExpandPrincipalGroups parâmetro para listar atribuições de acesso para o usuário especificado, bem como os grupos aos quais o usuário pertence.
Exemplo: Use o cmdlet a seguir para listar todos os usuários e suas funções em uma conta de automação.
Get-AzRoleAssignment -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'
A seguir está o exemplo de resultado:
RoleAssignmentId : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
ers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName : admin@contoso.com
SignInName : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId : d3881f73-407a-4167-8283-e981cbba0404
ObjectId : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType : User
Use New-AzRoleAssignment para atribuir acesso a usuários, grupos e aplicativos a um escopo específico.
Exemplo: Use o comando a seguir para atribuir a função "Operador de automação" para um usuário no escopo da conta de automação.
New-AzRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName 'Automation operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'
A seguir está o exemplo de resultado:
RoleAssignmentId : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
ers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName : admin@contoso.com
SignInName : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId : d3881f73-407a-4167-8283-e981cbba0404
ObjectId : bbbbbbbb-1111-2222-3333-cccccccccccc
ObjectType : User
Use Remove-AzRoleAssignment para remover o acesso de um usuário, grupo ou aplicativo especificado de um escopo específico.
Exemplo: Use o comando a seguir para remover o usuário da função Operador de Automação no escopo da conta de Automação.
Remove-AzRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName 'Automation Operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'
No exemplo anterior, substitua sign-in ID of a user you wish to remove, SubscriptionID, Resource Group Namee Automation account name pelos detalhes da sua conta. Escolha sim quando solicitado a confirmar antes de continuar a remover as atribuições de função de usuário.
Experiência do usuário para a função de Operador de Automação - Conta de automação
Quando um utilizador atribuído à função de Operador de Automação no âmbito da conta de Automação visualiza a conta de Automação à qual está atribuído, pode apenas ver a lista de sequências de comandos, processos de runbook e calendários criados na conta de Automação. Esse usuário não pode exibir as definições desses itens. O utilizador pode iniciar, parar, suspender, retomar ou agendar a tarefa de runbook. No entanto, o utilizador não tem acesso a outros recursos de automação, tais como configurações, grupos de trabalho de livros de execução híbridos ou nós DSC.
Configurar o RBAC do Azure para runbooks
A Automação do Azure permite atribuir funções do Azure a runbooks específicos. Para fazer isso, execute o seguinte script para adicionar um usuário a um runbook específico. Um administrador de conta de automação ou um administrador de locatário pode executar esse script.
$rgName = "<Resource Group Name>" # Resource Group name for the Automation account
$automationAccountName ="<Automation account name>" # Name of the Automation account
$rbName = "<Name of Runbook>" # Name of the runbook
$userId = "<User ObjectId>" # Azure Active Directory (AAD) user's ObjectId from the directory
# Gets the Automation account resource
$aa = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts" -ResourceName $automationAccountName
# Get the Runbook resource
$rb = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts/runbooks" -ResourceName "$rbName"
# The Automation Job Operator role only needs to be run once per user.
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Job Operator" -Scope $aa.ResourceId
# Adds the user to the Automation Runbook Operator role to the Runbook scope
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Runbook Operator" -Scope $rb.ResourceId
Depois que o script for executado, peça ao usuário que entre no portal do Azure e selecione Todos os Recursos. Na lista, o utilizador pode ver o runbook para o qual ele ou ela foi adicionado como Operador de Runbook de Automação.
Experiência do usuário para a função de operador de automação - Runbook
Quando um utilizador atribuído à função de Operador de Automação no âmbito do Runbook visualiza um runbook atribuído, o utilizador apenas pode iniciar o runbook e ver os trabalhos do runbook.
Próximos passos
- Para saber mais sobre as diretrizes de segurança, consulte Práticas recomendadas de segurança na Automação do Azure.
- Para saber mais sobre o RBAC do Azure usando o PowerShell, consulte Adicionar ou remover atribuições de função do Azure usando o Azure PowerShell.
- Para obter detalhes dos tipos de runbooks, consulte Tipos de runbook de Automação do Azure.
- Para iniciar um runbook, consulte Iniciar um runbook na Automação do Azure.