Erstellen einer Rolle/Richtlinie auf dem Wartungsdashboard
In diesem Artikel wird beschrieben, wie Sie das Wartungsdashboard in Microsoft Entra Permissions Management verwenden können, um Rollen/Richtlinien für die Autorisierungssysteme Amazon Web Services (AWS), Microsoft Azure oder Google Cloud Platform (GCP) zu erstellen.
Hinweis
Zum Anzeigen der Registerkarte Wartung benötigen Sie Berechtigungen vom Typ Anzeigender Benutzer, Controller oder Administrator. Um Änderungen auf dieser Registerkarte vorzunehmen, müssen Sie über Berechtigungen vom Typ Controller oder Administrator verfügen. Wenden Sie sich an Ihren Systemadministrator, falls Sie nicht über diese Berechtigungen verfügen.
Hinweis
Microsoft Azure verwendet den Begriff Rolle für das Konzept, das von anderen Cloudanbietern als Richtlinie bezeichnet wird. Wenn Sie den Autorisierungssystemtyp auswählen, wird die Terminologie von Permissions Management automatisch entsprechend angepasst. In der Benutzerdokumentation wird Rolle/Richtlinie verwendet, um beide Terminologieoptionen abzudecken.
Erstellen einer Richtlinie für AWS
Hinweis
Informationen zu AWS-Dienstkontingenten und zum Anfordern einer Erhöhung des AWS-Dienstkontingents finden Sie in der AWS-Dokumentation.
Wählen Sie auf der Microsoft Entra-Startseite die Registerkarte Wartung und dann die Registerkarte Rolle/Richtlinien aus.
Wählen Sie in den Dropdownlisten den Autorisierungssystemtyp und das Autorisierungssystem aus.
Wählen Sie Richtlinie erstellen.
Auf der Seite Details werden die Felder Authorization System Type (Autorisierungssystemtyp) und Authorization System (Autorisierungssystem) mit Ihren vorherigen Einstellungen vorab aufgefüllt.
- Um die Einstellungen zu ändern, treffen Sie eine Auswahl in der Dropdownliste.
Wählen Sie unter How Would You Like To Create The Policy? (Wie möchten Sie die Richtlinie erstellen?) die erforderliche Option aus:
- Activity of User(s) (Aktivität von Benutzern): Ermöglicht Ihnen die Erstellung einer Richtlinie basierend auf Benutzeraktivitäten
- Activity of Group(s) (Aktivität von Gruppen): Ermöglicht Ihnen die Erstellung einer Richtlinie basierend auf den aggregierten Aktivitäten aller Benutzer*innen, die zu den Gruppen gehören
- Activity of Resource(s) (Aktivität von Ressourcen): Ermöglicht Ihnen die Erstellung einer Richtlinie basierend auf den Aktivitäten einer Ressource, etwa einer EC2-Instanz
- Activity of Role (Aktivität einer Rolle): Ermöglicht Ihnen die Erstellung einer Richtlinie basierend auf den aggregierten Aktivitäten aller Benutzer*innen mit der entsprechenden Rolle
- Activity of Tag(s) (Aktivität von Tags): Ermöglicht Ihnen die Erstellung einer Richtlinie basierend auf den aggregierten Aktivitäten aller Tags
- Activity of Lambda Function (Aktivität der Lambdafunktion): Ermöglicht Ihnen die Erstellung einer neuen Richtlinie basierend auf der Lambdafunktion
- From Existing Policy (Aus vorhandener Richtlinie): Ermöglicht Ihnen die Erstellung einer neuen Richtlinie auf der Grundlage einer vorhandenen Richtlinie
- Neue Richtlinie: Ermöglicht Ihnen die Erstellung einer völlig neuen Richtlinie.
Wählen Sie unter Tasks performed in the last (Letzte ausgeführte Aufgaben innerhalb des folgenden Zeitraums) die Dauer aus: 90 Tage, 60 Tage, 30 Tage, 7 Tage oder 1 Tag.
Aktivieren oder deaktivieren Sie je nach Bedarf die Option Include Access Advisor data (Access Advisor-Daten einschließen).
Wählen Sie unter Einstellungen in der Spalte Verfügbar das Pluszeichen (+) aus, um die Identität in die Spalte Ausgewählt zu verschieben, und wählen Sie dann Weiter aus.
Wählen Sie auf der Seite Aufgaben in der Spalte Verfügbar das Pluszeichen (+) aus, um die Aufgabe in die Spalte Ausgewählt zu verschieben.
- Um eine ganze Kategorie hinzuzufügen, wählen Sie eine Kategorie aus.
- Um einzelne Elemente aus einer Kategorie hinzuzufügen, wählen Sie links neben dem Kategorienamen den Pfeil nach unten und dann einzelne Elemente aus.
Wählen Sie unter Ressourcen die Option Alle Ressourcen oder Specific Resources (Bestimmte Ressourcen) aus.
Wenn Sie Specific Resources (Bestimmte Ressourcen) auswählen, wird eine Liste der verfügbaren Ressourcen angezeigt. Suchen Sie die Ressourcen, die Sie hinzufügen möchten, und wählen Sie dann Hinzufügen aus.
Wählen Sie unter Request Conditions (Anforderungsbedingungen) die Option JSON aus.
Wählen Sie unter Auswirkung die Option Zulassen oder Verweigern und dann Weiter aus.
Geben Sie unter Richtlinienname: einen Namen für Ihre Richtlinie ein.
Um Ihrer Richtlinie eine weitere Anweisung hinzuzufügen, wählen Sie Anweisung hinzufügen und dann in der Liste Anweisungen eine Anweisung aus.
Überprüfen Sie die Einstellungen für Aufgabe, Ressourcen, Request Conditions (Anforderungsbedingungen) und Auswirkung, und wählen Sie dann Weiter aus.
Überprüfen Sie auf der Seite Vorschau das Skript, um zu bestätigen, dass es Ihren Vorstellungen entspricht
Wenn Ihr Controller nicht aktiviert ist, wählen Sie JSON herunterladen oder Skript herunterladen aus, um den Code herunterzuladen und selbst auszuführen.
Ist Ihr Controller aktiviert, überspringen Sie diesen Schritt.
Wählen Sie Split policy (Aufteilungsrichtlinie) und dann Übermitteln aus.
In einer Meldung wird bestätigt, dass Ihre Richtlinie zur Erstellung übermittelt wurde.
Auf der rechten Seite wird der Bereich Aufgaben von Permissions Management angezeigt.
- Auf der Registerkarte Aktiv wird eine Liste der Richtlinien angezeigt, die von Permissions Management derzeit verarbeitet werden.
- Auf der Registerkarte Abgeschlossen wird eine Liste der Richtlinien angezeigt, die von Permissions Management abgeschlossen wurden.
Sobald die Datensammlung für das angegebene Autorisierungssystem abgeschlossen ist, werden die neu erstellten Richtlinieninformationen widergespiegelt.
Erstellen einer Rolle für Azure
Wählen Sie auf der Willkommensseite von Permissions Management die Registerkarte Wartung und dann die Registerkarte Rolle/Richtlinien aus.
Wählen Sie in den Dropdownlisten den Autorisierungssystemtyp und das Autorisierungssystem aus.
Wählen Sie Rolle erstellen.
Auf der Seite Details werden die Felder Authorization System Type (Autorisierungssystemtyp) und Authorization System (Autorisierungssystem) mit Ihren vorherigen Einstellungen vorab aufgefüllt.
- Um die Einstellungen zu ändern, wählen Sie das Kontrollkästchen aus, und treffen Sie eine Auswahl in der Dropdownliste.
Wählen Sie unter How Would You Like To Create The Role? (Wie möchten Sie die Rolle erstellen?) die erforderliche Option aus:
- Activity of User(s) (Aktivität von Benutzern): Ermöglicht Ihnen die Erstellung einer Rolle basierend auf Benutzeraktivitäten
- Activity of Group(s) (Aktivität von Gruppen): Ermöglicht Ihnen die Erstellung einer Rolle basierend auf den aggregierten Aktivitäten aller Benutzer*innen, die zu den Gruppen gehören.
- Activity of App(s) (Aktivität von Apps): Ermöglicht Ihnen die Erstellung einer Rolle basierend auf den aggregierten Aktivitäten aller Apps
- From Existing Role (Aus vorhandener Rolle): Ermöglicht Ihnen die Erstellung einer neuen Rolle auf der Grundlage einer vorhandenen Rolle
- Neue Rolle: Ermöglicht Ihnen die Erstellung einer völlig neuen Rolle
Wählen Sie unter Tasks performed in the last (Letzte ausgeführte Aufgaben innerhalb des folgenden Zeitraums) die Dauer aus: 90 Tage, 60 Tage, 30 Tage, 7 Tage oder 1 Tag.
Je nach Bedarf:
- Aktivieren oder deaktivieren Sie Ignore Non-Microsoft Read Actions (Nicht von Microsoft stammende Leseaktionen ignorieren).
- Aktivieren oder deaktivieren Sie Include Read-Only Tasks (Schreibgeschützte Aufgaben einschließen).
Wählen Sie unter Einstellungen in der Spalte Verfügbar das Pluszeichen (+) aus, um die Identität in die Spalte Ausgewählt zu verschieben, und wählen Sie dann Weiter aus.
Geben Sie auf der Seite Aufgaben unter Rollenname: einen Namen für Ihre Rolle ein.
Wählen Sie in der Spalte Verfügbar das Pluszeichen (+) aus, um die Aufgabe in die Spalte Ausgewählt zu verschieben.
- Um eine ganze Kategorie hinzuzufügen, wählen Sie eine Kategorie aus.
- Um einzelne Elemente aus einer Kategorie hinzuzufügen, wählen Sie links neben dem Kategorienamen den Pfeil nach unten und dann einzelne Elemente aus.
Wählen Sie Weiter aus.
(Optional) Administratoren und Administratorinnen können die Ressourcengruppenbereichszeichenfolge kopieren, die als Bereich verwendet werden soll. Wählen Sie in Azure die Ressourcengruppe>Überwachung>Eigenschaften aus, und kopieren Sie dann die Ressourcen-ID.
Überprüfen Sie auf der Seite Vorschau Folgendes:
- Liste der Auswahl für Aktionen und Keine Aktionen.
- JSON oder Skript, um zu bestätigen, dass die Auswahl Ihren Vorstellungen entspricht
Wenn Ihr Controller nicht aktiviert ist, wählen Sie JSON herunterladen oder Skript herunterladen aus, um den Code herunterzuladen und selbst auszuführen.
Ist Ihr Controller aktiviert, überspringen Sie diesen Schritt.
Klicken Sie auf Submit (Senden).
In einer Meldung wird bestätigt, dass Ihre Rolle zur Erstellung übermittelt wurde.
Auf der rechten Seite wird der Bereich Aufgaben von Permissions Management angezeigt.
- Auf der Registerkarte Aktiv wird eine Liste der Richtlinien angezeigt, die von Permissions Management derzeit verarbeitet werden.
- Auf der Registerkarte Abgeschlossen wird eine Liste der Richtlinien angezeigt, die von Permissions Management abgeschlossen wurden.
Sobald die Datensammlung für das angegebene Autorisierungssystem abgeschlossen ist, werden die neu erstellten Rolleninformationen widergespiegelt.
Erstellen einer Rolle für GCP
Wählen Sie auf der Willkommensseite von Permissions Management die Registerkarte Wartung und dann die Registerkarte Rolle/Richtlinien aus.
Wählen Sie in den Dropdownlisten den Autorisierungssystemtyp und das Autorisierungssystem aus.
Wählen Sie Rolle erstellen.
Auf der Seite Details werden die Felder Authorization System Type (Autorisierungssystemtyp) und Authorization System (Autorisierungssystem) mit Ihren vorherigen Einstellungen vorab aufgefüllt.
- Um die Einstellungen zu ändern, wählen Sie das Kontrollkästchen aus, und treffen Sie eine Auswahl in der Dropdownliste.
Wählen Sie unter How Would You Like To Create The Role? (Wie möchten Sie die Rolle erstellen?) die erforderliche Option aus:
- Activity of User(s) (Aktivität von Benutzern): Ermöglicht Ihnen die Erstellung einer Rolle basierend auf Benutzeraktivitäten
- Activity of Group(s) (Aktivität von Gruppen): Ermöglicht Ihnen die Erstellung einer Rolle basierend auf den aggregierten Aktivitäten aller Benutzer*innen, die zu den Gruppen gehören.
- Activity of Service Account(s) (Aktivität von Dienstkonten): Ermöglicht Ihnen die Erstellung einer Rolle basierend auf den aggregierten Aktivitäten aller Dienstkonten
- From Existing Role (Aus vorhandener Rolle): Ermöglicht Ihnen die Erstellung einer neuen Rolle auf der Grundlage einer vorhandenen Rolle
- Neue Rolle: Ermöglicht Ihnen die Erstellung einer völlig neuen Rolle
Wählen Sie unter Tasks performed in the last (Letzte ausgeführte Aufgaben innerhalb des folgenden Zeitraums) die Dauer aus: 90 Tage, 60 Tage, 30 Tage, 7 Tage oder 1 Tag.
Wenn Sie im vorherigen Schritt Activity Of Service Account(s) (Aktivität von Dienstkonten) ausgewählt haben, aktivieren oder deaktivieren Sie Collect activity across all GCP Authorization Systems (Aktivitäten in allen GCP-Autorisierungssystemen sammeln).
Wählen Sie in der Spalte Verfügbar das Pluszeichen (+) aus, um die Identität in die Spalte Ausgewählt zu verschieben, und wählen Sie dann Weiter aus.
Geben Sie auf der Seite Aufgaben unter Rollenname: einen Namen für Ihre Rolle ein.
Wählen Sie in der Spalte Verfügbar das Pluszeichen (+) aus, um die Aufgabe in die Spalte Ausgewählt zu verschieben.
- Um eine ganze Kategorie hinzuzufügen, wählen Sie eine Kategorie aus.
- Um einzelne Elemente aus einer Kategorie hinzuzufügen, wählen Sie links neben dem Kategorienamen den Pfeil nach unten und dann einzelne Elemente aus.
Wählen Sie Weiter aus.
Überprüfen Sie auf der Seite Vorschau Folgendes:
- Die Liste der ausgewählten Aktionen
- YAML oder Skript, um zu bestätigen, dass die Auswahl Ihren Vorstellungen entspricht
Wenn Ihr Controller nicht aktiviert ist, wählen Sie YAML herunterladen oder Skript herunterladen aus, um den Code herunterzuladen und selbst auszuführen.
Klicken Sie auf Submit (Senden). In einer Meldung wird bestätigt, dass Ihre Rolle zur Erstellung übermittelt wurde.
Auf der rechten Seite wird der Bereich Aufgaben von Permissions Management angezeigt.
- Auf der Registerkarte Aktiv wird eine Liste der Richtlinien angezeigt, die von Permissions Management derzeit verarbeitet werden.
- Auf der Registerkarte Abgeschlossen wird eine Liste der Richtlinien angezeigt, die von Permissions Management abgeschlossen wurden.
Sobald die Datensammlung für das angegebene Autorisierungssystem abgeschlossen ist, werden die neu erstellten Rolleninformationen widergespiegelt.
Nächste Schritte
- Informationen zum Anzeigen vorhandener Rollen/Richtlinien, Anforderungen und Berechtigungen finden Sie unter Anzeigen von Rollen/Richtlinien, Anforderungen und Berechtigungen auf dem Wartungsdashboard.
- Informationen zum Ändern einer Rolle/Richtlinie finden Sie unter Ändern einer Rolle/Richtlinie.