Uso de directivas de administración de roles para administrar reglas para cada rol dentro de cada recurso

  • Artículo

Las directivas de administración de roles le ayudan a controlar las reglas de cualquier solicitud de idoneidad de rol o solicitud de asignación de roles. Por ejemplo, puede establecer la duración máxima para la que una asignación puede estar activa, o incluso puede permitir la asignación permanente. Puede actualizar la configuración de notificación de cada asignación. También puede establecer aprobadores para cada activación de roles.

Enumeración de directivas de administración de roles para un recurso

Para enumerar las directivas de administración de roles, puede usar directivas de administración de roles: lista para la API REST de ámbito. Para mejorar los resultados, especifique un ámbito y un filtro opcional. Para llamar a la API, debe tener acceso a la operación Microsoft.Authorization/roleAssignments/read en el ámbito especificado. A todos los roles integrados se les concede acceso a esta operación.

Importante

No es necesario crear directivas de administración de roles, ya que cada rol dentro de cada recurso tiene una directiva predeterminada.

  1. Empiece con la solicitud siguiente:

    GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies?api-version=2020-10-01&$filter={filter}

  2. En el URI, reemplace {scope} por el ámbito para el que desea enumerar las directivas de administración de roles.

    Ámbito Tipo
    providers/Microsoft.Management/managementGroups/{mg-name} Grupo de administración
    subscriptions/{subscriptionId} Subscription
    subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1 Resource group
    subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1 Resource

  3. Reemplace {filter} por la condición que quiere aplicar para filtrar la lista de asignación de roles.

    Filter Descripción
    $filter=roleDefinitionId%20eq%20'{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}' Enumere la directiva de administración de roles para una definición de rol especificada dentro del ámbito del recurso.

Actualiza una directiva de administración de roles.

  1. Elija las reglas que desea actualizar. Estos son los tipos de regla:

    Tipo de regla Descripción
    RoleManagementPolicyEnablementRule Habilitar MFA, Justificación en asignaciones o información de vales
    RoleManagementPolicyExpirationRule Especificar la duración máxima de una asignación de roles o activación
    RoleManagementPolicyNotificationRule Configuración de la configuración de notificaciones por correo electrónico para asignaciones, activaciones y aprobaciones
    RoleManagementPolicyApprovalRule Configuración de las opciones de aprobación para una activación de roles
    RoleManagementPolicyAuthenticationContextRule Configuración de la regla de ACRS para la directiva de acceso condicional

  2. Use la siguiente solicitud:

    PATCH https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies/{roleManagementPolicyId}?api-version=2020-10-01

    {
  "properties": {
    "rules": [
      {
        "isExpirationRequired": false,
        "maximumDuration": "P180D",
        "id": "Expiration_Admin_Eligibility",
        "ruleType": "RoleManagementPolicyExpirationRule",
        "target": {
          "caller": "Admin",
          "operations": [
            "All"
          ],
          "level": "Eligibility",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "notificationType": "Email",
        "recipientType": "Admin",
        "isDefaultRecipientsEnabled": false,
        "notificationLevel": "Critical",
        "notificationRecipients": [
          "admin_admin_eligible@test.com"
        ],
        "id": "Notification_Admin_Admin_Eligibility",
        "ruleType": "RoleManagementPolicyNotificationRule",
        "target": {
          "caller": "Admin",
          "operations": [
            "All"
          ],
          "level": "Eligibility",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "enabledRules": [
          "Justification",
          "MultiFactorAuthentication",
          "Ticketing"
        ],
        "id": "Enablement_EndUser_Assignment",
        "ruleType": "RoleManagementPolicyEnablementRule",
        "target": {
          "caller": "EndUser",
          "operations": [
            "All"
          ],
          "level": "Assignment",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "setting": {
          "isApprovalRequired": true,
          "isApprovalRequiredForExtension": false,
          "isRequestorJustificationRequired": true,
          "approvalMode": "SingleStage",
          "approvalStages": [
            {
              "approvalStageTimeOutInDays": 1,
              "isApproverJustificationRequired": true,
              "escalationTimeInMinutes": 0,
              "primaryApprovers": [
                {
                  "id": "2385b0f3-5fa9-43cf-8ca4-b01dc97298cd",
                  "description": "amansw_new_group",
                  "isBackup": false,
                  "userType": "Group"
                }
              ],
              "isEscalationEnabled": false,
              "escalationApprovers": null
            }
          ]
        },
        "id": "Approval_EndUser_Assignment",
        "ruleType": "RoleManagementPolicyApprovalRule",
        "target": {
          "caller": "EndUser",
          "operations": [
            "All"
          ],
          "level": "Assignment",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      }
    ]
  }
}