تفويض إدارة الوصول إلى Azure للآخرين

في التحكم في الوصول المستند إلى الدور في Azure (Azure RBAC)، لمنح حق الوصول إلى موارد Azure، يمكنك تعيين أدوار Azure. على سبيل المثال، إذا كان المستخدم بحاجة إلى إنشاء مواقع ويب وإدارتها في اشتراك، يمكنك تعيين دور المساهم في موقع الويب.

تعيين أدوار Azure لمنح حق الوصول إلى موارد Azure مهمة شائعة. كمسؤول، قد تحصل على العديد من الطلبات لمنح حق الوصول الذي تريد تفويضه إلى شخص آخر. ومع ذلك، تريد التأكد من أن المفوض لديه فقط الأذونات التي يحتاجها للقيام بعمله. توضح هذه المقالة طريقة أكثر أمانا لتفويض إدارة تعيين الدور إلى مستخدمين آخرين في مؤسستك.

لماذا تفويض إدارة تعيين الدور؟

فيما يلي بعض الأسباب التي قد تدفعك إلى تفويض إدارة تعيين الدور للآخرين:

• تحصل على العديد من الطلبات لتعيين أدوار في مؤسستك.
• يتم حظر المستخدمين في انتظار تعيين الدور الذي يحتاجون إليه.
• يتمتع المستخدمون داخل الأقسام أو الفرق أو المشاريع الخاصة بهم بمزيد من المعرفة حول من يحتاج إلى الوصول.
• لدى المستخدمين أذونات لإنشاء موارد Azure، ولكنهم بحاجة إلى تعيين دور إضافي لاستخدام هذا المورد بشكل كامل. على سبيل المثال:
  • لا يمكن للمستخدمين الذين لديهم إذن لإنشاء أجهزة ظاهرية تسجيل الدخول على الفور إلى الجهاز الظاهري دون تسجيل دخول مسؤول الجهاز الظاهري أو دور تسجيل دخول مستخدم الجهاز الظاهري. بدلا من تعقب مسؤول لتعيين دور تسجيل دخول له، يكون أكثر كفاءة إذا كان بإمكان المستخدم تعيين دور تسجيل الدخول لنفسه.
  • لدى المطور أذونات لإنشاء مجموعة Azure Kubernetes Service (AKS) وسجل حاويات Azure (ACR)، ولكنه يحتاج إلى تعيين دور AcrPull إلى هوية مدارة حتى يتمكن من سحب الصور من ACR. بدلا من تعقب مسؤول لتعيين دور AcrPull، يكون أكثر كفاءة إذا كان المطور قادرا على تعيين الدور بنفسه.

كيف يمكنك حاليا تفويض إدارة تعيين الدور

أدوار المالك ومسؤول وصول المستخدم هي أدوار مضمنة تسمح للمستخدمين بإنشاء تعيينات الأدوار. يمكن لأعضاء هذه الأدوار تحديد من يمكنه الحصول على أذونات الكتابة والقراءة والحذف لأي مورد في الاشتراك. لتفويض إدارة تعيين الدور إلى مستخدم آخر، يمكنك تعيين دور المالك أو مسؤول وصول المستخدم إلى مستخدم.

يوضح الرسم التخطيطي التالي كيف يمكن ل Alice تفويض مسؤوليات تعيين الدور إلى Dara. للحصول على خطوات محددة، راجع تعيين مستخدم كمسؤول عن اشتراك Azure.

1. تعين Alice دور مسؤول وصول المستخدم إلى Dara.
2. يمكن ل Dara الآن تعيين أي دور لأي مستخدم أو مجموعة أو كيان خدمة في نفس النطاق.

ما هي المشكلات المتعلقة بطريقة التفويض الحالية؟

فيما يلي المشكلات الأساسية المتعلقة بالأسلوب الحالي لتفويض إدارة تعيين الدور للآخرين في مؤسستك.

• المفوض لديه وصول غير مقيد في نطاق تعيين الدور. هذا ينتهك مبدأ الامتياز الأقل، والذي يعرضك لسطح هجوم أوسع.
• يمكن للمفوض تعيين أي دور لأي مستخدم ضمن نطاقه، بما في ذلك نفسه.
• يمكن للمفوض تعيين أدوار المالك أو مسؤول وصول المستخدم إلى مستخدم آخر، والذي يمكنه بعد ذلك تعيين أدوار لمستخدمين آخرين.

بدلا من تعيين أدوار المالك أو مسؤول وصول المستخدم، فإن الطريقة الأكثر أمانا هي تقييد قدرة المفوض على إنشاء تعيينات الأدوار.

طريقة أكثر أمانا: تفويض إدارة تعيين الدور بشروط

تفويض إدارة تعيين الدور بشروط هو طريقة لتقييد تعيينات الدور التي يمكن للمستخدم إنشاؤها. في المثال السابق، يمكن أن تسمح Alice ل Dara بإنشاء بعض تعيينات الأدوار نيابة عنها، ولكن ليس كل تعيينات الأدوار. على سبيل المثال، يمكن ل Alice تقييد الأدوار التي يمكن ل Dara تعيينها وتقييد الأساسيات التي يمكن ل Dara تعيين الأدوار إليها. يشار إلى هذا التفويض بشروط أحيانا باسم التفويض المقيد ويتم تنفيذه باستخدام شروط التحكم في الوصول المستندة إلى سمة Azure (Azure ABAC).

يوفر هذا الفيديو نظرة عامة على تفويض إدارة تعيين الدور مع الشروط.

لماذا تفويض إدارة تعيين الدور بشروط؟

فيما يلي بعض الأسباب التي تجعل تفويض إدارة تعيين الدور للآخرين بشروط أكثر أمانا:

• يمكنك تقييد تعيينات الدور المسموح للمفوض بإنشائها.
• يمكنك منع مفوض من السماح لمستخدم آخر بتعيين الأدوار.
• يمكنك فرض الامتثال لسياسات مؤسستك الأقل امتيازا.
• يمكنك أتمتة إدارة موارد Azure دون الحاجة إلى منح أذونات كاملة لحساب خدمة.

مثال الشروط

ضع في اعتبارك مثالا حيث تكون Alice مسؤولا مع دور مسؤول وصول المستخدم للاشتراك. تريد Alice منح دارا القدرة على تعيين أدوار محددة لمجموعات معينة. لا تريد Alice أن يكون لدى Dara أي أذونات تعيين دور أخرى. يوضح الرسم التخطيطي التالي كيف يمكن ل Alice تفويض مسؤوليات تعيين الدور إلى Dara بشروط.

1. تعين Alice دور مسؤول التحكم في الوصول المستند إلى الدور إلى Dara. تضيف Alice الشروط بحيث يمكن ل Dara تعيين أدوار مساهم النسخ الاحتياطي أو قارئ النسخ الاحتياطي فقط إلى مجموعات التسويق والمبيعات.
2. يمكن ل Dara الآن تعيين أدوار مساهم النسخ الاحتياطي أو قارئ النسخ الاحتياطي لمجموعات التسويق والمبيعات.
3. إذا حاول Dara تعيين أدوار أخرى أو تعيين أي أدوار لكيانات مختلفة (مثل مستخدم أو هوية مدارة)، يفشل تعيين الدور.

دور مسؤول التحكم في الوصول المستند إلى الدور

دور مسؤول التحكم في الوصول المستند إلى الدور هو دور مضمن تم تصميمه لتفويض إدارة تعيين الدور للآخرين. لديه أذونات أقل من مسؤول وصول المستخدم، والذي يتبع أفضل الممارسات الأقل امتيازا. دور مسؤول التحكم في الوصول المستند إلى الدور لديه الأذونات التالية:

• إنشاء تعيين دور في النطاق المحدد
• حذف تعيين دور في النطاق المحدد
• قراءة الموارد من جميع الأنواع، باستثناء البيانات السرية
• إنشاء بطاقة دعم وتحديثها

طرق تقييد تعيينات الأدوار

فيما يلي الطرق التي يمكن من خلالها تقييد تعيينات الأدوار بالشروط. يمكنك أيضا دمج هذه الشروط لتناسب السيناريو الخاص بك.

• تقييد الأدوار التي يمكن تعيينها

  

• تقييد الأدوار وأنواع الأساسيات (المستخدمين أو المجموعات أو أساسيات الخدمة) التي يمكن تعيين أدوار لها

  

• تقييد الأدوار والكيانات المحددة التي يمكن تعيين أدوار لها

  

• تحديد شروط مختلفة لإضافة إجراءات تعيين الدور وإزالتها

  

كيفية تفويض إدارة تعيين الدور مع الشروط

لتفويض إدارة تعيين الدور بشروط، يمكنك تعيين الأدوار كما تفعل حاليا، ولكن يمكنك أيضا إضافة شرط إلى تعيين الدور.

1. تحديد الأذونات التي يحتاجها المفوض

   • ما الأدوار التي يمكن للمفوض تعيينها؟
   • ما هي أنواع الأساسيات التي يمكن للمفوض تعيين الأدوار إليها؟
   • ما هي الأساسيات التي يمكن للمفوض تعيين الأدوار إليها؟
   • هل يمكن تفويض إزالة أي تعيينات دور؟

2. بدء تعيين دور جديد

3. حدد دور مسؤول التحكم في الوصول المستند إلى الدور

   يمكنك تحديد أي دور يتضمن الإجراء، ولكن مسؤول التحكم في Microsoft.Authorization/roleAssignments/write الوصول استنادا إلى الدور لديه أذونات أقل.

4. تحديد المفوض

   حدد المستخدم الذي تريد تفويض إدارة تعيين الدور إليه.

5. إضافة شرط

   هناك عدة طرق يمكنك من خلالها إضافة شرط. على سبيل المثال، يمكنك استخدام قالب شرط في مدخل Microsoft Azure أو محرر الشرط المتقدم في مدخل Microsoft Azure أو Azure PowerShell أو Azure CLI أو Bicep أو REST API.

   القالب

   اختر من قائمة قوالب الشروط. حدد تكوين لتحديد الأدوار أو الأنواع الأساسية أو الأساسيات.

   لمزيد من المعلومات، راجع تفويض إدارة تعيين دور Azure للآخرين الذين يعانون من شروط.

   

   محرر الشرط

   إذا لم تعمل قوالب الشرط مع السيناريو الخاص بك أو إذا كنت تريد المزيد من التحكم، يمكنك استخدام محرر الشرط.

   للحصول على أمثلة، راجع أمثلة لتفويض إدارة تعيين دور Azure بشروط.

   

   Azure PowerShell

   New-AzRoleAssignment

   $roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
   $principalId = "<principalId>"
   $scope = "/subscriptions/<subscriptionId>"
   $condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))"
   $conditionVersion = "2.0"
   New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
   

   Azure CLI

   az role assignment create

   set roleDefinitionId="f58310d9-a9f6-439a-9e8d-f62e7b41a168"
   set principalId="{principalId}"
   set principalType="User"
   set scope="/subscriptions/{subscriptionId}"
   set condition="((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))"
   set conditionVersion="2.0"
   az role assignment create --assignee-object-id %principalId% --assignee-principal-type %principalType% --scope %scope% --role %roleDefinitionId% --condition %condition% --condition-version %conditionVersion%
   

   Bicep

   param roleDefinitionResourceId string
   param principalId string
   param condition string
   
   targetScope = 'subscription'
   
   resource roleAssignment 'Microsoft.Authorization/roleAssignments@2020-04-01-preview' = {
     name: guid(subscription().id, principalId, roleDefinitionResourceId)
     properties: {
       roleDefinitionId: roleDefinitionResourceId
       principalId: principalId
       principalType: 'User'
       condition: condition
       conditionVersion:'2.0'
     }
   }
   

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "roleDefinitionResourceId": {
         "value": "providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168"
       },
       "principalId": {
         "value": "{principalId}"
       },
       "condition": {
         "value": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))"
       }
     }
   }
   

   واجهة برمجة التطبيقات REST

   تعيينات الأدوار - إنشاء

   PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleAssignments/f58310d9-a9f6-439a-9e8d-f62e7b41a168?api-version=2020-04-01-Preview
   
   {
     "properties": {
       "roleDefinitionId": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168",
       "principalId": "{principalId}",
       "condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))",
       "conditionVersion": "2.0"
     }
   }
   

6. تعيين دور بشرط للتفويض

   بمجرد تحديد الشرط الخاص بك، أكمل تعيين الدور.

7. الاتصال بالمفوض

   دع المفوض يعرف أنه يمكنه الآن تعيين أدوار بشروط.

الأدوار المضمنة مع الشروط

يحتوي أدوار مسؤول الوصول إلى بيانات Key Vault ومسؤول الوصول إلى بيانات الجهاز الظاهري (معاينة) بالفعل على شرط مضمن لتقييد تعيينات الأدوار.

يمكنك دور مسؤول الوصول إلى بيانات Key Vault من إدارة الوصول إلى أسرار Key Vault والشهادات والمفاتيح. يركز حصريا على التحكم في الوصول دون القدرة على تعيين أدوار مميزة مثل أدوار المالك أو مسؤول وصول المستخدم. يسمح بفصل أفضل للواجبات لسيناريوهات مثل إدارة التشفير الثابت عبر خدمات البيانات لمزيد من الامتثال لمبدأ الامتياز الأقل. يقيد الشرط تعيينات الأدوار إلى أدوار Azure Key Vault التالية:

• مسؤول Key Vault
• مسؤول شهادات Key Vault
• مسؤول تشفير Key Vault
• مستخدم تشفير خدمة تشفير Key Vault
• مستخدم Key Vault Crypto
• قارئ Key Vault
• مسؤول أسرار Key Vault
• مستخدم Key Vault Secrets

إذا كنت تريد تقييد تعيين دور مسؤول الوصول إلى بيانات Key Vault بشكل أكبر، يمكنك إضافة شرطك الخاص لتقييد أنواع الأساسيات (المستخدمين أو المجموعات أو أساسيات الخدمة) أو أساسيات محددة يمكن تعيينها لأدوار Key Vault.

المشكلات المعروفة

فيما يلي المشكلات المعروفة المتعلقة بتفويض إدارة تعيين الدور مع الشروط:

• لا يمكنك تفويض إدارة تعيين الدور للأدوار المخصصة بشروط باستخدام إدارة الهويات المتميزة.
• لا يمكن أن يكون لديك تعيين دور مع إجراء بيانات Microsoft.Storage وشرط ABAC الذي يستخدم عامل مقارنة GUID. للحصول على مزيدٍ من المعلومات، راجع استكشاف أخطاء Azure RBAC وإصلاحها.

متطلبات الترخيص

تُستخدم هذه الميزة مجاناً إذ إنها مدرجة في اشتراك Azure.

الخطوات التالية

• تفويض إدارة تعيين دور Azure للآخرين بشروط
• ما هو التحكم في الوصول المستند إلى سمة Azure (Azure ABAC)؟
• أمثلة لتفويض إدارة تعيين دور Azure مع الشروط