Delegování správy přiřazení rolí Azure jiným uživatelům s podmínkami

Jako správce můžete získat několik žádostí o udělení přístupu k prostředkům Azure, které chcete delegovat na někoho jiného. Můžete přiřadit uživatele role Vlastník nebo Správce uživatelských přístupů , ale jedná se o vysoce privilegované role. Tento článek popisuje bezpečnější způsob delegování správy přiřazení rolí jiným uživatelům ve vaší organizaci, ale přidává omezení pro tato přiřazení rolí. Například můžete omezit role, které lze přiřadit, nebo omezit subjekty, kterým se role dají přiřadit.

Následující diagram znázorňuje, jak delegát s podmínkami může přiřadit jenom role Přispěvatel zálohování nebo Čtenář zálohování pouze k marketingovým nebo prodejním skupinám.

Požadavky

Pokud chcete přiřazovat role Azure, musíte mít:

• Microsoft.Authorization/roleAssignments/write oprávnění, jako správce řízení přístupu na základě rolí nebo správce uživatelských přístupů

Krok 1: Určení oprávnění, která delegát potřebuje

Pokud chcete pomoct určit oprávnění, která delegát potřebuje, odpovězte na následující otázky:

• Jaké role může delegát přiřadit?
• K jakým typům objektů zabezpečení může delegát přiřadit role?
• Ke kterým objektům zabezpečení může delegát přiřadit role?
• Může delegování odebrat nějaká přiřazení rolí?

Jakmile znáte oprávnění, která delegát potřebuje, pomocí následujícího postupu přidáte podmínku k přiřazení role delegáta. Příklad podmínek najdete v tématu Příklady delegování správy přiřazení rolí Azure pomocí podmínek.

Krok 2: Zahájení nového přiřazení role

1. Přihlaste se do Azure Portalu.

2. Podle pokynů otevřete stránku Přidat přiřazení role.

3. Na kartě Role vyberte kartu Role privilegovaného správce .

4. Vyberte roli správce řízení přístupu na základě role .

   Zobrazí se karta Podmínky .

   Můžete vybrat libovolnou roli, která zahrnuje akce Microsoft.Authorization/roleAssignments/writeMicrosoft.Authorization/roleAssignments/delete , jako je správce uživatelských přístupů, ale správce řízení přístupu na základě rolí má méně oprávnění.

5. Na kartě Členové vyhledejte a vyberte delegáta.

Krok 3: Přidání podmínky

Podmínku můžete přidat dvěma způsoby. Můžete použít šablonu podmínky nebo můžete použít rozšířený editor podmínek.

Šablona

1. Na kartě Podmínky v části Co může uživatel dělat, vyberte možnost Povolit uživateli přiřadit pouze vybrané role vybraným objektům zabezpečení (méně oprávnění ).

   

2. Vyberte role a principály.

   Zobrazí se stránka Přidat podmínku přiřazení role se seznamem šablon podmínek.

   

3. Vyberte šablonu podmínky a pak vyberte Konfigurovat.

   Šablona podmínky	Výběr této šablony pro
   Role omezení	Povolit uživateli přiřazovat jenom vybrané role
   Omezení rolí a typů oprávnění	Povolit uživateli přiřazovat jenom vybrané role Povolit uživateli přiřazovat tyto role jenom k vybraným typům objektů zabezpečení (uživatelé, skupiny nebo instanční objekty)
   Omezení rolí a subjektů	Povolit uživateli přiřazovat jenom vybrané role Povolit uživateli přiřadit pouze tyto role subjektům, které vyberete
   Povolit všechny kromě konkrétních rolí	Povolit uživateli přiřazovat všechny role s výjimkou vybraných rolí

4. V podokně konfigurace přidejte požadované konfigurace.

   

5. Výběrem Uložit přidáte podmínku k přiřazení role.

Editor podmínek

Pokud šablony podmínek pro váš scénář nefungují nebo pokud chcete mít větší kontrolu, můžete použít editor podmínek.

Otevření editoru podmínek

1. Na kartě Podmínky v části Co může uživatel dělat, vyberte možnost Povolit uživateli přiřadit pouze vybrané role vybraným objektům zabezpečení (méně oprávnění ).

   

2. Vyberte role a principály.

   Zobrazí se stránka Přidat podmínku přiřazení role se seznamem šablon podmínek.

   

3. Vyberte Otevřít rozšířený editor podmínek.

   Zobrazí se stránka Přidat podmínku přiřazení role.

4. U možnosti Typ editoru ponechte vybraný výchozí vizuál .

Přidat akci

1. V části Přidat akci vyberte Přidat akci.

   Podokno Vybrat akci se zobrazí. Toto okno je filtrovaný seznam akcí, které vznikají na základě přiřazení rolí, které bude cílem vaší podmínky.

   

2. Vyberte akci Vytvořit nebo aktualizovat přiřazení rolí , kterou chcete povolit, pokud je podmínka pravdivá.

   Návod

   Pokud vyberete akce Vytvoření nebo aktualizace přiřazení rolí a Odstraníte přiřazení role , nebudete moct přidat výraz podmínky. Pokud chcete cílit na obě tyto akce, musíte přidat dvě podmínky. Další informace viz Příklad: Omezení rolí.

Vytváření výrazů

1. V části Sestavení výrazu vyberte Přidat výraz.

   Tady vytvoříte výraz pro omezení přiřazení rolí, které může delegát přidat.

2. V seznamu zdroj atributu vyberte Požadavek.

3. V seznamu Atributů vyberte jeden z následujících atributů pro levou stranu výrazu.

   • ID definice role slouží k omezení rolí, které může delegát přiřadit.
   • ID hlavního objektu slouží k omezení konkrétních hlavních objektů, kterým může delegát přiřadit role.
   • Typ objektu zabezpečení se používá k omezení typů objektů zabezpečení (uživatelů, skupin nebo instančních objektů), ke kterým může delegát přiřadit role.

4. V seznamu Operátor vyberte operátor.

   V závislosti na atributu a výrazu, který chcete sestavit, obvykle vyberete tyto operátory, které umožňují vybrat jednu nebo více hodnot pro pravou stranu výrazu.

   Vlastnost	Běžný operátor
   Definice role ID	ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals
   ID identifikátor hlavního objektu	ForAnyOfAnyValues:GuidEquals
   Hlavní typ	ForAnyOfAnyValues:StringEqualsIgnoreCase

5. Do pole Hodnota zadejte jednu nebo více hodnot pro pravou stranu výrazu.

   

6. Podle potřeby přidejte další výrazy.

   Návod

   Když přidáte více výrazů pro delegování správy přiřazení rolí s podmínkami, obvykle místo výchozího operátoru Or použijete operátor And mezi výrazy.

7. Výběrem Uložit přidáte podmínku k přiřazení role.

Krok 4: Přiřazení role s podmínkou delegování

1. Na kartě Zkontrolovat a přiřadit prohlédněte nastavení přiřazení role.

2. Vyberte Zkontrolovat a přiřadit pro přiřazení role.

   Po chvíli se delegátovi přiřadí role správce řízení přístupu na základě role s podmínkami přiřazení role.

Krok 5: Delegát přiřazuje role s podmínkami

• Delegát nyní může podle kroků přiřazovat role.

  

  Když se delegát pokusí přiřadit role na webu Azure Portal, seznam rolí se vyfiltruje tak, aby zobrazoval jenom role, které můžou přiřadit.

  

  Pokud existuje podmínka pro subjekty zabezpečení, seznam subjektů zabezpečení dostupných pro přiřazení se také vyfiltruje.

  

  Pokud se delegát pokusí přiřadit roli mimo podmínky pomocí rozhraní API, přiřazení role selže s chybou. Další informace naleznete v tématu Příznak – Nejde přiřadit roli.

Úprava podmínky

Podmínku můžete upravit dvěma způsoby. Šablonu podmínky můžete použít nebo můžete použít editor podmínek.

1. Na webu Azure Portal otevřete stránku Řízení přístupu (IAM) pro přiřazení role s podmínkou, kterou chcete zobrazit, upravit nebo odstranit.

2. Vyberte kartu Přiřazení rolí a vyhledejte přiřazení role.

3. Ve sloupci Podmínka vyberte Zobrazit/Upravit.

   Pokud odkaz Pro zobrazení nebo úpravy nevidíte, ujistěte se, že se díváte na stejný obor jako přiřazení role.

   

   Zobrazí se stránka Přidat podmínku přiřazení role . Tato stránka bude vypadat jinak v závislosti na tom, jestli podmínka odpovídá existující šabloně.

4. Pokud podmínka odpovídá existující šabloně, vyberte Konfigurovat a upravte podmínku.

   

5. Pokud podmínka neodpovídá existující šabloně, upravte podmínku pomocí rozšířeného editoru podmínek.

   Pokud chcete například upravit podmínku, posuňte se dolů do sekce pro vytváření výrazu a aktualizujte atributy, operátor nebo hodnoty.

   

   Pokud chcete podmínku upravit přímo, vyberte typ editoru kódu a pak upravte kód podmínky.

   

6. Po dokončení klikněte na uložit a aktualizujte podmínku.

Další kroky

• Delegování správy přístupu k Azure ostatním uživatelům
• Akce a atributy autorizace