Azure-szerepkör-hozzárendelés-kezelés delegálása másokkal feltételekkel
Rendszergazdaként számos kérést kaphat arra, hogy hozzáférést adjon azokhoz az Azure-erőforrásokhoz, amelyeket másnak szeretne delegálni. Hozzárendelhet egy felhasználót tulajdonosivagy felhasználói hozzáférés-Rendszergazda istrator szerepkörökhöz, de ezek magas jogosultsági szintű szerepkörök. Ez a cikk azt ismerteti, hogyan delegálhat biztonságosabb szerepkör-hozzárendelés-kezelést a szervezet más felhasználóinak, de korlátozásokat adhat ezekhez a szerepkör-hozzárendelésekhez. Korlátozhatja például a hozzárendelhető szerepköröket, vagy korlátozhatja azokat az egyszerű tagokat, amelyekhez a szerepkörök hozzárendelhetők.
Az alábbi ábra azt mutatja be, hogy a feltételekkel rendelkező meghatalmazottak csak a marketing- vagy értékesítési csoportokhoz rendelhetik a biztonsági mentési közreműködői vagy a biztonsági mentési olvasó szerepköröket.
Előfeltételek
Azure-szerepkörök hozzárendeléséhez a következővel kell rendelkeznie:
Microsoft.Authorization/roleAssignments/write
engedélyek, például szerepköralapú hozzáférés-vezérlési Rendszergazda istrator vagy felhasználói hozzáférés-Rendszergazda istrator
1. lépés: A meghatalmazott által igényelt engedélyek meghatározása
A meghatalmazott által igényelt engedélyek meghatározásához válaszoljon a következő kérdésekre:
- Milyen szerepköröket rendelhet hozzá a meghatalmazott?
- Milyen típusú tagokat rendelhet a meghatalmazott szerepkörökhöz?
- Mely tagokhoz rendelhet szerepköröket a meghatalmazott?
- El tudja távolítani a delegált szerepkör-hozzárendeléseket?
Miután megismerte a meghatalmazott által igényelt engedélyeket, az alábbi lépésekkel hozzáadhat egy feltételt a meghatalmazott szerepkör-hozzárendeléséhez. Például feltételek: Példák az Azure-szerepkör-hozzárendelések felügyeletének feltételekkel való delegálására.
2. lépés: Új szerepkör-hozzárendelés indítása
Jelentkezzen be az Azure Portalra.
A szerepkör-hozzárendelés hozzáadása lap megnyitásához kövesse az alábbi lépéseket.
A Szerepkörök lapon válassza a Kiemelt rendszergazdai szerepkörök lapot.
Válassza ki a szerepköralapú hozzáférés-vezérlési Rendszergazda istrator szerepkört.
Megjelenik a Feltételek lap.
Kiválaszthatja azokat a szerepköröket, amelyek tartalmazzák a
Microsoft.Authorization/roleAssignments/write
Microsoft.Authorization/roleAssignments/delete
műveleteket, például a Felhasználói hozzáférés Rendszergazda istratort, de a szerepköralapú hozzáférés-vezérlési Rendszergazda istrator kevesebb engedéllyel rendelkezik.A Tagok lapon keresse meg és válassza ki a meghatalmazottat.
3. lépés: Feltétel hozzáadása
Kétféleképpen adhat hozzá feltételt. Használhat feltételsablont, vagy használhat speciális feltételszerkesztőt.
A Feltételek lapon, a Mit tehet a felhasználó, válassza az Engedélyezés a felhasználó számára, hogy csak a kijelölt szerepköröket rendelje hozzá a kiválasztott tagokhoz (kevesebb jogosultság) beállításhoz.
Válassza a Szerepkörök és a tagok kiválasztása lehetőséget.
Megjelenik a Szerepkör-hozzárendelés hozzáadása feltétellap a feltételsablonok listájával.
Válasszon ki egy feltételsablont, majd válassza a Konfigurálás lehetőséget.
Feltételsablon Válassza ki ezt a sablont a Szerepkörök korlátozása Csak a kiválasztott szerepkörök hozzárendelésének engedélyezése a felhasználó számára Szerepkörök és egyszerű típusok korlátozása Csak a kiválasztott szerepkörök hozzárendelésének engedélyezése a felhasználó számára
Engedélyezi a felhasználónak, hogy ezeket a szerepköröket csak a kiválasztott egyszerű típusokhoz (felhasználókhoz, csoportokhoz vagy szolgáltatásnevekhez) rendelje hozzá.Szerepkörök és tagok korlátozása Csak a kiválasztott szerepkörök hozzárendelésének engedélyezése a felhasználó számára
A felhasználó csak az Ön által kiválasztott tagokhoz rendelheti hozzá ezeket a szerepköröketA konfigurálás panelen adja hozzá a szükséges konfigurációkat.
A Mentés gombra kattintva adja hozzá a feltételt a szerepkör-hozzárendeléshez.
4. lépés: Szerepkör hozzárendelése delegálandó feltétellel
Az Áttekintés + hozzárendelés lapon tekintse át a szerepkör-hozzárendelés beállításait.
A szerepkör hozzárendeléséhez válassza az Áttekintés + hozzárendelés lehetőséget.
Néhány pillanat múlva a meghatalmazott szerepköralapú hozzáférés-vezérlési Rendszergazda istrator szerepkörhöz lesz rendelve a szerepkör-hozzárendelési feltételekkel.
5. lépés: A meghatalmazott feltételekkel rendeli hozzá a szerepköröket
A meghatalmazott mostantól követheti a szerepkörök hozzárendelésének lépéseit.
Amikor a meghatalmazott megpróbál szerepköröket hozzárendelni az Azure Portalon, a szerepkörök listája szűrve lesz, hogy csak a hozzárendelhető szerepkörök jelenjenek meg.
Ha a rendszer feltételekkel rendelkezik a tagok számára, a rendszer szűri a hozzárendeléshez rendelkezésre álló tagok listáját is.
Ha a meghatalmazott egy API-n kívül eső szerepkört próbál hozzárendelni, a szerepkör-hozzárendelés hiba miatt meghiúsul. További információ: Tünet – Nem lehet szerepkört hozzárendelni.