Azure-szerepkör-hozzárendelés-kezelés delegálása másokkal feltételekkel
Rendszergazdaként számos kérést kaphat arra, hogy hozzáférést adjon azokhoz az Azure-erőforrásokhoz, amelyeket másnak szeretne delegálni. Hozzárendelhet egy felhasználót tulajdonosi vagy felhasználói hozzáférés-Rendszergazda istrator szerepkörökhöz, de ezek magas jogosultsági szintű szerepkörök. Ez a cikk azt ismerteti, hogyan delegálhat biztonságosabb szerepkör-hozzárendelés-kezelést a szervezet más felhasználóinak, de korlátozásokat adhat ezekhez a szerepkör-hozzárendelésekhez. Korlátozhatja például a hozzárendelhető szerepköröket, vagy korlátozhatja azokat az egyszerű tagokat, amelyekhez a szerepkörök hozzárendelhetők.
Az alábbi ábra azt mutatja be, hogy a feltételekkel rendelkező meghatalmazottak csak a marketing- vagy értékesítési csoportokhoz rendelhetik a biztonsági mentési közreműködői vagy a biztonsági mentési olvasó szerepköröket.
Előfeltételek
Azure-szerepkörök hozzárendeléséhez a következővel kell rendelkeznie:
Microsoft.Authorization/roleAssignments/write
engedélyek, például szerepköralapú hozzáférés-vezérlési Rendszergazda istrator vagy felhasználói hozzáférés-Rendszergazda istrator
1. lépés: A meghatalmazott által igényelt engedélyek meghatározása
A meghatalmazott által igényelt engedélyek meghatározásához válaszoljon a következő kérdésekre:
- Milyen szerepköröket rendelhet hozzá a meghatalmazott?
- Milyen típusú tagokat rendelhet a meghatalmazott szerepkörökhöz?
- Mely tagokhoz rendelhet szerepköröket a meghatalmazott?
- El tudja távolítani a delegált szerepkör-hozzárendeléseket?
Miután megismerte a meghatalmazott által igényelt engedélyeket, az alábbi lépésekkel hozzáadhat egy feltételt a meghatalmazott szerepkör-hozzárendeléséhez. Például feltételek: Példák az Azure-szerepkör-hozzárendelések felügyeletének feltételekkel való delegálására.
2. lépés: Új szerepkör-hozzárendelés indítása
Jelentkezzen be az Azure Portalra.
A szerepkör-hozzárendelés hozzáadása lap megnyitásához kövesse az alábbi lépéseket.
A Szerepkörök lapon válassza a Kiemelt rendszergazdai szerepkörök lapot.
Válassza ki a szerepköralapú hozzáférés-vezérlési Rendszergazda istrator szerepkört.
Megjelenik a Feltételek lap.
Kiválaszthatja azokat a szerepköröket, amelyek tartalmazzák a
Microsoft.Authorization/roleAssignments/write
Microsoft.Authorization/roleAssignments/delete
műveleteket, például a Felhasználói hozzáférés Rendszergazda istratort, de a szerepköralapú hozzáférés-vezérlési Rendszergazda istrator kevesebb engedéllyel rendelkezik.A Tagok lapon keresse meg és válassza ki a meghatalmazottat.
3. lépés: Feltétel hozzáadása
Kétféleképpen adhat hozzá feltételt. Használhat feltételsablont, vagy használhat speciális feltételszerkesztőt.
A Feltételek lapon, a Mit tehet a felhasználó, válassza az Engedélyezés a felhasználó számára, hogy csak a kijelölt szerepköröket rendelje hozzá a kiválasztott tagokhoz (kevesebb jogosultság) beállításhoz.
Válassza a Szerepkörök és a tagok kiválasztása lehetőséget.
Megjelenik a Szerepkör-hozzárendelés hozzáadása feltétellap a feltételsablonok listájával.
Válasszon ki egy feltételsablont, majd válassza a Konfigurálás lehetőséget.
Feltételsablon Válassza ki ezt a sablont a Szerepkörök korlátozása Csak a kiválasztott szerepkörök hozzárendelésének engedélyezése a felhasználó számára Szerepkörök és egyszerű típusok korlátozása Csak a kiválasztott szerepkörök hozzárendelésének engedélyezése a felhasználó számára
Engedélyezi a felhasználónak, hogy ezeket a szerepköröket csak a kiválasztott egyszerű típusokhoz (felhasználókhoz, csoportokhoz vagy szolgáltatásnevekhez) rendelje hozzá.Szerepkörök és tagok korlátozása Csak a kiválasztott szerepkörök hozzárendelésének engedélyezése a felhasználó számára
A felhasználó csak az Ön által kiválasztott tagokhoz rendelheti hozzá ezeket a szerepköröketAz összes engedélyezése adott szerepkörök kivételével Az összes szerepkör hozzárendelésének engedélyezése a felhasználó számára a kiválasztott szerepkörök kivételével A konfigurálás panelen adja hozzá a szükséges konfigurációkat.
A Mentés gombra kattintva adja hozzá a feltételt a szerepkör-hozzárendeléshez.
4. lépés: Szerepkör hozzárendelése delegálandó feltétellel
Az Áttekintés + hozzárendelés lapon tekintse át a szerepkör-hozzárendelés beállításait.
A szerepkör hozzárendeléséhez válassza az Áttekintés + hozzárendelés lehetőséget.
Néhány pillanat múlva a meghatalmazott szerepköralapú hozzáférés-vezérlési Rendszergazda istrator szerepkörhöz lesz rendelve a szerepkör-hozzárendelési feltételekkel.
5. lépés: A meghatalmazott feltételekkel rendeli hozzá a szerepköröket
A meghatalmazott mostantól követheti a szerepkörök hozzárendelésének lépéseit.
Amikor a meghatalmazott megpróbál szerepköröket hozzárendelni az Azure Portalon, a szerepkörök listája szűrve lesz, hogy csak a hozzárendelhető szerepkörök jelenjenek meg.
Ha a rendszer feltételekkel rendelkezik a tagok számára, a rendszer szűri a hozzárendeléshez rendelkezésre álló tagok listáját is.
Ha a meghatalmazott egy API-n kívül eső szerepkört próbál hozzárendelni, a szerepkör-hozzárendelés hiba miatt meghiúsul. További információ: Tünet – Nem lehet szerepkört hozzárendelni.
Feltétel szerkesztése
A feltételek kétféleképpen szerkeszthetők. Használhatja a feltételsablont, vagy használhatja a feltételszerkesztőt.
Az Azure Portalon nyissa meg a Hozzáférés-vezérlési (IAM) lapot annak a szerepkör-hozzárendelésnek, amelynek a megtekintéséhez, szerkesztéséhez vagy törléséhez feltétel tartozik.
Válassza a Szerepkör-hozzárendelések lapot, és keresse meg a szerepkör-hozzárendelést.
A Feltétel oszlopban válassza a Nézet/Szerkesztés lehetőséget.
Ha nem látja a Nézet/Szerkesztés hivatkozást, győződjön meg arról, hogy ugyanazt a hatókört látja, mint a szerepkör-hozzárendelés.
Megjelenik a Szerepkör-hozzárendelés hozzáadása feltétellap . Ez a lap attól függően változik, hogy a feltétel megfelel-e egy meglévő sablonnak.
Ha a feltétel egyezik egy meglévő sablonnal, válassza a Konfigurálás lehetőséget a feltétel szerkesztéséhez.
Ha a feltétel nem egyezik meg egy meglévő sablonnal, a speciális feltételszerkesztő használatával szerkesztheti a feltételt.
Ha például szerkeszteni szeretne egy feltételt, görgessen le a buildkifejezés szakaszához, és frissítse az attribútumokat, operátorokat vagy értékeket.
A feltétel közvetlen szerkesztéséhez válassza ki a Kódszerkesztő típusát, majd szerkessze a feltétel kódját.
Ha végzett, kattintson a Mentés gombra a feltétel frissítéséhez.