Mendelegasikan manajemen penetapan peran Azure kepada orang lain dengan kondisi

Sebagai administrator, Anda mungkin mendapatkan beberapa permintaan untuk memberikan akses ke sumber daya Azure yang ingin Anda delegasikan kepada orang lain. Anda dapat menetapkan peran Pemilik atau Administrator Akses Pengguna kepada pengguna, tetapi ini adalah peran yang sangat istimewa. Artikel ini menjelaskan cara yang lebih aman untuk mendelegasikan manajemen penetapan peran kepada pengguna lain di organisasi Anda, tetapi menambahkan pembatasan untuk penetapan peran tersebut. Misalnya, Anda dapat membatasi peran yang dapat ditetapkan atau membatasi prinsipal tempat peran dapat ditetapkan.

Diagram berikut menunjukkan bagaimana delegasi dengan kondisi hanya dapat menetapkan peran Kontributor Cadangan atau Pembaca Cadangan hanya ke grup Pemasaran atau Penjualan.

Prasyarat

Untuk menetapkan peran Azure, Anda harus memiliki:

• Microsoft.Authorization/roleAssignments/write izin, seperti Administrator Kontrol Akses Berbasis Peran atau Administrator Akses Pengguna

Langkah 1: Tentukan izin yang dibutuhkan delegasi

Untuk membantu menentukan izin yang dibutuhkan delegasi, jawab pertanyaan berikut:

• Peran apa yang dapat ditetapkan delegasi?
• Jenis prinsipal apa yang dapat ditetapkan delegasi peran?
• Perwakilan mana yang dapat mendelegasikan peran?
• Dapatkah delegasi menghapus penetapan peran apa pun?

Setelah Anda mengetahui izin yang mendelegasikan kebutuhan, Anda menggunakan langkah-langkah berikut untuk menambahkan kondisi ke penetapan peran delegasi. Misalnya kondisi, lihat Contoh untuk mendelegasikan manajemen penetapan peran Azure dengan kondisi.

Langkah 2: Mulai penetapan peran baru

1. Masuk ke portal Azure.

2. Ikuti langkah-langkah untuk membuka halaman Tambahkan penetapan peran.

3. Pada tab Peran , pilih tab Peran administrator istimewa.

4. Pilih peran Administrator Kontrol Akses Berbasis Peran.

   Tab Kondisi muncul.

   Anda dapat memilih peran apa pun yang menyertakan Microsoft.Authorization/roleAssignments/write tindakan atau Microsoft.Authorization/roleAssignments/delete , seperti Administrator Akses Pengguna, tetapi Administrator Kontrol Akses Berbasis Peran memiliki lebih sedikit izin.

5. Pada tab Anggota , temukan dan pilih delegasi.

Langkah 3: Tambahkan kondisi

Ada dua cara untuk menyetujui atau menolak akses. Anda dapat menggunakan templat kondisi atau Anda dapat menggunakan editor kondisi tingkat lanjut.

Templat

1. Pada tab Kondisi di bawah Apa yang dapat dilakukan pengguna, pilih opsi Izinkan pengguna untuk hanya menetapkan peran yang dipilih ke prinsipal yang dipilih (lebih sedikit hak istimewa).

   

2. Pilih Pilih peran dan prinsipal.

   Halaman Tambahkan kondisi penetapan peran muncul dengan daftar templat kondisi.

   

3. Pilih templat kondisi lalu pilih Konfigurasikan.

   Templat kondisi	Pilih templat ini untuk
   Batasi peran	Izinkan pengguna untuk hanya menetapkan peran yang Anda pilih
   Batasi peran dan jenis utama	Izinkan pengguna untuk hanya menetapkan peran yang Anda pilih Izinkan pengguna untuk hanya menetapkan peran ini ke jenis utama yang Anda pilih (pengguna, grup, atau perwakilan layanan)
   Membatasi peran dan prinsipal	Izinkan pengguna untuk hanya menetapkan peran yang Anda pilih Izinkan pengguna untuk hanya menetapkan peran ini ke prinsipal yang Anda pilih
   Izinkan semua kecuali peran tertentu	Izinkan pengguna menetapkan semua peran kecuali peran yang Anda pilih

4. Di panel konfigurasi, tambahkan konfigurasi yang diperlukan.

   

5. Pilih Simpan untuk menambahkan kondisi ke penetapan peran.

Editor kondisi

Jika templat kondisi tidak berfungsi untuk skenario Anda atau jika Anda menginginkan kontrol lebih, Anda dapat menggunakan editor kondisi.

Editor kondisi terbuka

1. Pada tab Kondisi di bawah Apa yang dapat dilakukan pengguna, pilih opsi Izinkan pengguna untuk hanya menetapkan peran yang dipilih ke prinsipal yang dipilih (lebih sedikit hak istimewa).

   

2. Pilih Pilih peran dan prinsipal.

   Halaman Tambahkan kondisi penetapan peran muncul dengan daftar templat kondisi.

   

3. Pilih Buka editor kondisi tingkat lanjut.

   Halaman Tambahkan kondisi penetapan peran akan muncul.

4. Untuk opsi Jenis editor, biarkan Visual default dipilih.

Menambahkan tindakan

1. Di bagian Tambahkan tindakan , pilih Tambahkan tindakan.

   Panel Pilih tindakan akan muncul. Panel ini adalah daftar tindakan yang difilter berdasarkan penetapan peran yang akan menjadi target kondisi Anda.

   

2. Pilih tindakan Buat atau perbarui penetapan peran yang ingin Anda izinkan jika kondisinya benar.

   Tip

   Jika Anda memilih Buat atau perbarui penetapan peran dan Hapus tindakan penetapan peran, Anda tidak akan dapat menambahkan ekspresi kondisi. Jika Anda ingin menargetkan kedua tindakan ini, Anda harus menambahkan dua kondisi. Untuk informasi selengkapnya, lihat Contoh: Membatasi peran.

Ekspresi build

1. Di bagian Ekspresi build , pilih Tambahkan ekspresi.

   Di sinilah Anda membangun ekspresi untuk membatasi penetapan peran yang dapat ditambahkan delegasi.

2. Di daftar Sumber atribut, pilih Permintaan.

3. Di daftar Atribut, pilih salah satu atribut berikut untuk sisi kiri ekspresi.

   • ID definisi peran digunakan untuk membatasi peran yang dapat ditetapkan delegasi.
   • ID utama digunakan untuk membatasi prinsipal tertentu yang dapat ditetapkan delegasi perannya.
   • Jenis utama digunakan untuk membatasi jenis prinsipal (pengguna, grup, atau perwakilan layanan) yang dapat ditetapkan oleh delegasi peran.

4. Di daftar Operator, pilih operator.

   Bergantung pada atribut dan ekspresi yang ingin Anda buat, Anda biasanya memilih operator ini, yang memungkinkan Anda memilih satu atau beberapa nilai untuk sisi kanan ekspresi.

   Atribut	Operator umum
   ID definisi peran	ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals
   ID Utama	ForAnyOfAnyValues:GuidEquals
   Jenis perwakilan	ForAnyOfAnyValues:StringEqualsIgnoreCase

5. Dalam kotak Nilai , masukkan satu atau beberapa nilai untuk sisi kanan ekspresi.

   

6. Tambahkan ekspresi tambahan sesuai kebutuhan.

   Tip

   Saat Anda menambahkan beberapa ekspresi untuk mendelegasikan manajemen penetapan peran dengan kondisi, Anda biasanya menggunakan operator Dan antar ekspresi, bukan operator Atau default.

7. Pilih Simpan untuk menambahkan kondisi ke penetapan peran.

Langkah 4: Tetapkan peran dengan kondisi untuk mendelegasikan

1. Pada tab Tinjau + tetapkan, tinjau pengaturan penetapan peran.

2. Klik Tinjau + tetapkan untuk menetapkan peran.

   Setelah beberapa saat, delegasi diberi peran Administrator Kontrol Akses Berbasis Peran dengan kondisi penetapan peran Anda.

Langkah 5: Delegasikan menetapkan peran dengan kondisi

• Delegasi sekarang dapat mengikuti langkah-langkah untuk menetapkan peran.

  

  Ketika delegasi mencoba menetapkan peran dalam portal Azure, daftar peran akan difilter untuk hanya menampilkan peran yang dapat mereka tetapkan.

  

  Jika ada kondisi untuk prinsipal, daftar prinsipal yang tersedia untuk penugasan juga difilter.

  

  Jika delegasi mencoba menetapkan peran yang berada di luar kondisi menggunakan API, penetapan peran gagal dengan kesalahan. Untuk informasi selengkapnya, lihat Gejala - Tidak dapat menetapkan peran.

Mengedit kondisi

Ada dua cara agar Anda dapat mengedit kondisi. Anda dapat menggunakan templat kondisi atau Anda dapat menggunakan editor kondisi.

1. Di halaman portal Azure, buka Kontrol akses (IAM) untuk penetapan peran yang memiliki kondisi yang ingin Anda tampilkan, edit, atau hapus.

2. Pilih tab Penetapan peran dan temukan penetapan peran.

3. Di kolom Kondisi, pilih Tampilkan/Edit.

   Jika Anda tidak melihat tautan Tampilkan/Edit , pastikan Anda melihat cakupan yang sama dengan penetapan peran.

   

   Halaman Tambahkan kondisi penetapan peran muncul. Halaman ini akan terlihat berbeda tergantung pada apakah kondisi cocok dengan templat yang ada.

4. Jika kondisi cocok dengan templat yang sudah ada, pilih Konfigurasikan untuk mengedit kondisi.

   

5. Jika kondisi tidak cocok dengan templat yang ada, gunakan editor kondisi tingkat lanjut untuk mengedit kondisi.

   Misalnya, untuk mengedit kondisi, gulir ke bawah ke bagian ekspresi build dan perbarui atribut, operator, atau nilai.

   

   Untuk mengedit kondisi secara langsung, pilih jenis editor Kode lalu edit kode untuk kondisi tersebut.

   

6. Setelah selesai, klik Simpan untuk memperbarui kondisi.

Langkah berikutnya

• Mendelegasikan manajemen akses Azure kepada orang lain
• Tindakan dan atribut otorisasi