Azure-szerepkör-hozzárendelés-kezelés delegálása másokkal feltételekkel

Cikk
02/02/2024

Rendszergazdaként számos kérést kaphat arra, hogy hozzáférést adjon azokhoz az Azure-erőforrásokhoz, amelyeket másnak szeretne delegálni. Hozzárendelhet egy felhasználót tulajdonosivagy felhasználói hozzáférés-Rendszergazda istrator szerepkörökhöz, de ezek magas jogosultsági szintű szerepkörök. Ez a cikk azt ismerteti, hogyan delegálhat biztonságosabb szerepkör-hozzárendelés-kezelést a szervezet más felhasználóinak, de korlátozásokat adhat ezekhez a szerepkör-hozzárendelésekhez. Korlátozhatja például a hozzárendelhető szerepköröket, vagy korlátozhatja azokat az egyszerű tagokat, amelyekhez a szerepkörök hozzárendelhetők.

Az alábbi ábra azt mutatja be, hogy a feltételekkel rendelkező meghatalmazottak csak a marketing- vagy értékesítési csoportokhoz rendelhetik a biztonsági mentési közreműködői vagy a biztonsági mentési olvasó szerepköröket.

Előfeltételek

Azure-szerepkörök hozzárendeléséhez a következővel kell rendelkeznie:

Microsoft.Authorization/roleAssignments/writeengedélyek, például szerepköralapú hozzáférés-vezérlési Rendszergazda istrator vagy felhasználói hozzáférés-Rendszergazda istrator

1. lépés: A meghatalmazott által igényelt engedélyek meghatározása

A meghatalmazott által igényelt engedélyek meghatározásához válaszoljon a következő kérdésekre:

Milyen szerepköröket rendelhet hozzá a meghatalmazott?
Milyen típusú tagokat rendelhet a meghatalmazott szerepkörökhöz?
Mely tagokhoz rendelhet szerepköröket a meghatalmazott?
El tudja távolítani a delegált szerepkör-hozzárendeléseket?

Miután megismerte a meghatalmazott által igényelt engedélyeket, az alábbi lépésekkel hozzáadhat egy feltételt a meghatalmazott szerepkör-hozzárendeléséhez. Például feltételek: Példák az Azure-szerepkör-hozzárendelések felügyeletének feltételekkel való delegálására.

2. lépés: Új szerepkör-hozzárendelés indítása

Jelentkezzen be az Azure Portalra.
A szerepkör-hozzárendelés hozzáadása lap megnyitásához kövesse az alábbi lépéseket.
A Szerepkörök lapon válassza a Kiemelt rendszergazdai szerepkörök lapot.
Válassza ki a szerepköralapú hozzáférés-vezérlési Rendszergazda istrator szerepkört.

Megjelenik a Feltételek lap.

Kiválaszthatja azokat a szerepköröket, amelyek tartalmazzák a Microsoft.Authorization/roleAssignments/writeMicrosoft.Authorization/roleAssignments/delete műveleteket, például a Felhasználói hozzáférés Rendszergazda istratort, de a szerepköralapú hozzáférés-vezérlési Rendszergazda istrator kevesebb engedéllyel rendelkezik.
A Tagok lapon keresse meg és válassza ki a meghatalmazottat.

3. lépés: Feltétel hozzáadása

Kétféleképpen adhat hozzá feltételt. Használhat feltételsablont, vagy használhat speciális feltételszerkesztőt.

Sablon
Feltételszerkesztő

A Feltételek lapon, a Mit tehet a felhasználó, válassza az Engedélyezés a felhasználó számára, hogy csak a kijelölt szerepköröket rendelje hozzá a kiválasztott tagokhoz (kevesebb jogosultság) beállításhoz.
Válassza a Szerepkörök és a tagok kiválasztása lehetőséget.

Megjelenik a Szerepkör-hozzárendelés hozzáadása feltétellap a feltételsablonok listájával.

Válasszon ki egy feltételsablont, majd válassza a Konfigurálás lehetőséget.

Feltételsablon	Válassza ki ezt a sablont a
Szerepkörök korlátozása	Csak a kiválasztott szerepkörök hozzárendelésének engedélyezése a felhasználó számára
Szerepkörök és egyszerű típusok korlátozása	Csak a kiválasztott szerepkörök hozzárendelésének engedélyezése a felhasználó számára Engedélyezi a felhasználónak, hogy ezeket a szerepköröket csak a kiválasztott egyszerű típusokhoz (felhasználókhoz, csoportokhoz vagy szolgáltatásnevekhez) rendelje hozzá.
Szerepkörök és tagok korlátozása	Csak a kiválasztott szerepkörök hozzárendelésének engedélyezése a felhasználó számára A felhasználó csak az Ön által kiválasztott tagokhoz rendelheti hozzá ezeket a szerepköröket

A konfigurálás panelen adja hozzá a szükséges konfigurációkat.
A Mentés gombra kattintva adja hozzá a feltételt a szerepkör-hozzárendeléshez.

Ha a feltételsablonok nem működnek a forgatókönyvhöz, vagy ha további szabályozásra van szüksége, használhatja a feltételszerkesztőt.

Feltételszerkesztő megnyitása

A Feltételek lapon, a Mit tehet a felhasználó, válassza az Engedélyezés a felhasználó számára, hogy csak a kijelölt szerepköröket rendelje hozzá a kiválasztott tagokhoz (kevesebb jogosultság) beállításhoz.
Válassza a Szerepkörök és a tagok kiválasztása lehetőséget.

Megjelenik a Szerepkör-hozzárendelés hozzáadása feltétellap a feltételsablonok listájával.
Válassza a Speciális feltételszerkesztő megnyitása lehetőséget.

Megjelenik a Szerepkör-hozzárendelés hozzáadása feltétellap.
A Szerkesztő típusa beállításnál hagyja bejelölve az alapértelmezett vizualizációt.

Művelet felvétele

A Művelet hozzáadása szakaszban válassza a Művelet hozzáadása lehetőséget.

Megjelenik a Művelet kiválasztása panel. Ez a panel a feltételek célhelyeként szolgáló szerepkör-hozzárendelésen alapuló műveletek szűrt listája.
Válassza ki azt a szerepkör-hozzárendelés-létrehozási vagy -frissítési műveletet, amelyet engedélyezni szeretne, ha a feltétel teljesül.

Tipp.

Ha a szerepkör-hozzárendelések létrehozása vagy frissítése, valamint a szerepkör-hozzárendelési műveletek törlése lehetőséget választja, nem fog tudni feltételkifejezést hozzáadni. Ha mindkét műveletet meg szeretné célozni, két feltételt kell hozzáadnia. További információ: Példa: Szerepkörök korlátozása.

Kifejezések létrehozása

A Kifejezés összeállítása szakaszban válassza a Kifejezés hozzáadása lehetőséget.

Itt hozhatja létre a kifejezést, hogy korlátozza a meghatalmazott által felvehető szerepkör-hozzárendeléseket.
Az Attribútum forráslistájában válassza a Kérés lehetőséget.
Az Attribútumok listában válassza ki a kifejezés bal oldalán található alábbi attribútumok egyikét.
- A szerepkördefiníció azonosítója a meghatalmazott által hozzárendelhető szerepkörök korlátozására szolgál.
- A rendszer az egyszerű azonosítóval korlátozza azokat a tagokat, amelyekhez a meghatalmazott szerepköröket rendelhet.
- Az egyszerű típussal korlátozható azoknak a tagoknak (felhasználóknak, csoportoknak vagy szolgáltatásneveknek) a típusa, amelyekhez a meghatalmazott szerepköröket rendelhet.

Az Operátor listában válasszon ki egy operátort.

A létrehozni kívánt attribútumtól és kifejezéstől függően általában ezeket az operátorokat kell kiválasztania, amelyek lehetővé teszik, hogy a kifejezés jobb oldalán egy vagy több értéket jelöljön ki.

Attribútum	Gyakori operátor
Szerepkördefiníció azonosítója	ForAnyOfAnyValues:GuidEquals
Egyszerű azonosító	ForAnyOfAnyValues:GuidEquals
Egyszerű típus	ForAnyOfAnyValues:StringEqualsIgnoreCase

Az Érték mezőbe írjon be egy vagy több értéket a kifejezés jobb oldalán.
Szükség szerint adjon hozzá további kifejezéseket.

Tipp.

Ha több kifejezést ad hozzá a szerepkör-hozzárendelések felügyeletének feltételekkel történő delegálásához, általában az And operátort használja a kifejezések között az alapértelmezett Vagy operátor helyett.
A Mentés gombra kattintva adja hozzá a feltételt a szerepkör-hozzárendeléshez.

4. lépés: Szerepkör hozzárendelése delegálandó feltétellel

Az Áttekintés + hozzárendelés lapon tekintse át a szerepkör-hozzárendelés beállításait.
A szerepkör hozzárendeléséhez válassza az Áttekintés + hozzárendelés lehetőséget.

Néhány pillanat múlva a meghatalmazott szerepköralapú hozzáférés-vezérlési Rendszergazda istrator szerepkörhöz lesz rendelve a szerepkör-hozzárendelési feltételekkel.

5. lépés: A meghatalmazott feltételekkel rendeli hozzá a szerepköröket

A meghatalmazott mostantól követheti a szerepkörök hozzárendelésének lépéseit.

Amikor a meghatalmazott megpróbál szerepköröket hozzárendelni az Azure Portalon, a szerepkörök listája szűrve lesz, hogy csak a hozzárendelhető szerepkörök jelenjenek meg.

Ha a rendszer feltételekkel rendelkezik a tagok számára, a rendszer szűri a hozzárendeléshez rendelkezésre álló tagok listáját is.

Ha a meghatalmazott egy API-n kívül eső szerepkört próbál hozzárendelni, a szerepkör-hozzárendelés hiba miatt meghiúsul. További információ: Tünet – Nem lehet szerepkört hozzárendelni.