Creare un ruolo o un criterio nel dashboard dei rimedi

Questo articolo descrive come usare il dashboard di correzione in Gestione delle autorizzazioni di Microsoft Entra per creare ruoli/criteri per i sistemi di autorizzazione Amazon Web Services (AWS), Microsoft Azure o Google Cloud Platform (GCP).

Nota

Per visualizzare la scheda Correzione, è necessario disporre delle autorizzazioni Visualizzatore, Controller o Amministrazione istrator. Per apportare modifiche in questa scheda, è necessario disporre delle autorizzazioni Controller o Amministrazione istrator. Se queste autorizzazioni non sono disponibili, contattare l'amministratore di sistema.

Nota

Microsoft Azure usa il termine ruolo per gli altri provider di servizi cloud che chiamano i criteri. Gestione autorizzazioni modifica automaticamente questa terminologia quando si seleziona il tipo di sistema di autorizzazione. Nella documentazione dell'utente si usa role/policy per fare riferimento a entrambi.

Creare un criterio per AWS

Nota

Per informazioni sulle quote del servizio AWS e per richiedere un aumento della quota del servizio AWS, vedere la documentazione di AWS.

1. Nella home page di Microsoft Entra selezionare la scheda Correzione e quindi selezionare la scheda Ruolo/Criteri .

2. Usare gli elenchi a discesa per selezionare il tipo di sistema di autorizzazione e il sistema di autorizzazione.

3. Selezionare Crea criterio.

4. Nella pagina Dettagli il tipo di sistema di autorizzazione e il sistema di autorizzazione vengono precompilato dalle impostazioni precedenti.

   • Per modificare le impostazioni, effettuare una selezione dall'elenco a discesa.

5. In Come si vuole creare il criterio selezionare l'opzione richiesta:

   • Attività degli utenti: consente di creare un criterio in base all'attività dell'utente.
   • Attività dei gruppi: consente di creare criteri in base all'attività aggregata di tutti gli utenti appartenenti ai gruppi.
   • Attività delle risorse: consente di creare criteri in base all'attività di una risorsa, ad esempio un'istanza EC2.
   • Attività del ruolo: consente di creare criteri in base all'attività aggregata di tutti gli utenti che hanno assunto il ruolo.
   • Attività dei tag: consente di creare criteri in base all'attività aggregata di tutti i tag.
   • Attività della funzione lambda: consente di creare un nuovo criterio basato sulla funzione lambda.
   • Da criteri esistenti: consente di creare un nuovo criterio in base a un criterio esistente.
   • Nuovo criterio: consente di creare un nuovo criterio da zero.

6. In Attività eseguite nell'ultima opzione selezionare la durata: 90 giorni, 60 giorni, 30 giorni, 7 giorni o 1 giorno.

7. A seconda delle preferenze, selezionare o deselezionare Includi dati di Access Advisor.

8. In Impostazioni, nella colonna Disponibile selezionare il segno più (+) per spostare l'identità nella colonna Selezionata e quindi selezionare Avanti.

9. Nella pagina Attività, nella colonna Disponibile, selezionare il segno più (+) per spostare l'attività nella colonna Selezionata.

   • Per aggiungere un'intera categoria, selezionare una categoria.
   • Per aggiungere singoli elementi da una categoria, selezionare la freccia giù a sinistra del nome della categoria e quindi selezionare singoli elementi.

10. In Risorse selezionare Tutte le risorse o Risorse specifiche.

    Se si seleziona Risorse specifiche, viene visualizzato un elenco di risorse disponibili. Trovare le risorse da aggiungere e quindi selezionare Aggiungi.

11. In Condizioni richiesta selezionare JSON .

12. In Effetto selezionare Consenti o Nega e quindi selezionare Avanti.

13. In Nome criterio immettere un nome per il criterio.

14. Per aggiungere un'altra istruzione ai criteri, selezionare Aggiungi istruzione e quindi selezionare un'istruzione dall'elenco di istruzioni.

15. Esaminare le impostazioni attività, risorse, condizioni di richiesta e effetto e quindi selezionare Avanti.

16. Nella pagina Anteprima esaminare lo script per verificare che sia quello desiderato.

17. Se il controller non è abilitato, selezionare Scarica JSON o Scarica script per scaricare il codice ed eseguirlo manualmente.

    Se il controller è abilitato, ignorare questo passaggio.

18. Selezionare Split Policy (Divisione criteri) e quindi Submit ( Invia).

    Un messaggio conferma che i criteri sono stati inviati per la creazione

19. Il riquadro Attività di gestione delle autorizzazioni viene visualizzato a destra.

    • Nella scheda Attivo viene visualizzato un elenco dei criteri Gestione autorizzazioni in fase di elaborazione.
    • Nella scheda Completato viene visualizzato un elenco dei criteri Gestione autorizzazioni completata.

20. Aggiornare la scheda Ruolo/Criteri per visualizzare i criteri creati.

Creare un ruolo per Azure

1. Nella home page Gestione autorizzazioni selezionare la scheda Correzione e quindi selezionare la scheda Ruolo/Criteri .

2. Usare gli elenchi a discesa per selezionare il tipo di sistema di autorizzazione e il sistema di autorizzazione.

3. Selezionare Create Role (Crea ruolo).

4. Nella pagina Dettagli il tipo di sistema di autorizzazione e il sistema di autorizzazione vengono precompilato dalle impostazioni precedenti.

   • Per modificare le impostazioni, selezionare la casella ed effettuare una selezione dall'elenco a discesa.

5. In Come si vuole creare il ruolo? selezionare l'opzione necessaria:

   • Attività degli utenti: consente di creare un ruolo in base all'attività dell'utente.
   • Attività dei gruppi: consente di creare un ruolo in base all'attività aggregata di tutti gli utenti appartenenti ai gruppi.
   • Attività delle app: consente di creare un ruolo in base all'attività aggregata di tutte le app.
   • Da ruolo esistente: consente di creare un nuovo ruolo in base a un ruolo esistente.
   • Nuovo ruolo: consente di creare un nuovo ruolo da zero.

6. In Attività eseguite nell'ultima opzione selezionare la durata: 90 giorni, 60 giorni, 30 giorni, 7 giorni o 1 giorno.

7. A seconda delle preferenze:

   • Selezionare o deselezionare Ignora azioni di lettura non Microsoft.
   • Selezionare o deselezionare Includi attività di sola lettura.

8. In Impostazioni, nella colonna Disponibile selezionare il segno più (+) per spostare l'identità nella colonna Selezionata e quindi selezionare Avanti.

9. Nella pagina Attività, in Nome ruolo: immettere un nome per il ruolo.

10. Nella colonna Disponibile selezionare il segno più (+) per spostare l'attività nella colonna Selezionata.

    • Per aggiungere un'intera categoria, selezionare una categoria.
    • Per aggiungere singoli elementi da una categoria, selezionare la freccia giù a sinistra del nome della categoria e quindi selezionare singoli elementi.

11. Selezionare Avanti.

12. (Facoltativo) Un Amministrazione può copiare la stringa di ambito gruppi di risorse da usare come ambito. In Azure selezionare Proprietà monitoraggio>gruppo>di risorse e quindi copiare l'ID risorsa.

13. Nella pagina Anteprima esaminare:

    • Elenco di azioni selezionate e non azioni.
    • JSON o Script per verificare che si tratti di ciò che si vuole.

14. Se il controller non è abilitato, selezionare Scarica JSON o Scarica script per scaricare il codice ed eseguirlo manualmente.

    Se il controller è abilitato, ignorare questo passaggio.

15. Selezionare Invia.

    Un messaggio conferma che il ruolo è stato inviato per la creazione

16. Il riquadro Attività di gestione delle autorizzazioni viene visualizzato a destra.

    • Nella scheda Attivo viene visualizzato un elenco dei criteri Gestione autorizzazioni in fase di elaborazione.
    • Nella scheda Completato viene visualizzato un elenco dei criteri Gestione autorizzazioni completata.

17. Aggiornare la scheda Ruolo/Criteri per visualizzare il ruolo creato.

Creare un ruolo per GCP

1. Nella home page Gestione autorizzazioni selezionare la scheda Correzione e quindi selezionare la scheda Ruolo/Criteri .

2. Usare gli elenchi a discesa per selezionare il tipo di sistema di autorizzazione e il sistema di autorizzazione.

3. Selezionare Create Role (Crea ruolo).

4. Nella pagina Dettagli il tipo di sistema di autorizzazione e il sistema di autorizzazione vengono precompilato dalle impostazioni precedenti.

   • Per modificare le impostazioni, selezionare la casella ed effettuare una selezione dall'elenco a discesa.

5. In Come si vuole creare il ruolo? selezionare l'opzione necessaria:

   • Attività degli utenti: consente di creare un ruolo in base all'attività dell'utente.
   • Attività dei gruppi: consente di creare un ruolo in base all'attività aggregata di tutti gli utenti appartenenti ai gruppi.
   • Attività degli account di servizio: consente di creare un ruolo in base all'attività aggregata di tutti gli account di servizio.
   • Da ruolo esistente: consente di creare un nuovo ruolo in base a un ruolo esistente.
   • Nuovo ruolo: consente di creare un nuovo ruolo da zero.

6. In Attività eseguite nell'ultima opzione selezionare la durata: 90 giorni, 60 giorni, 30 giorni, 7 giorni o 1 giorno.

7. Se nel passaggio precedente è stata selezionata l'opzione Attività degli account di servizio, selezionare o deselezionare Raccogli attività in tutti i sistemi di autorizzazione GCP.

8. Nella colonna Disponibile selezionare il segno più (+) per spostare l'identità nella colonna Selezionata e quindi selezionare Avanti.

9. Nella pagina Attività, in Nome ruolo: immettere un nome per il ruolo.

10. Nella colonna Disponibile selezionare il segno più (+) per spostare l'attività nella colonna Selezionata.

    • Per aggiungere un'intera categoria, selezionare una categoria.
    • Per aggiungere singoli elementi da una categoria, selezionare la freccia giù a sinistra del nome della categoria e quindi selezionare singoli elementi.

11. Selezionare Avanti.

12. Nella pagina Anteprima esaminare:

    • Elenco delle azioni selezionate.
    • YAML o Script per verificare che sia quello desiderato.

13. Se il controller non è abilitato, selezionare Scarica YAML o Scarica script per scaricare il codice ed eseguirlo manualmente.

14. Selezionare Invia. Un messaggio conferma che il ruolo è stato inviato per la creazione

15. Il riquadro Attività di gestione delle autorizzazioni viene visualizzato a destra.

    • Nella scheda Attivo viene visualizzato un elenco dei criteri Gestione autorizzazioni in fase di elaborazione.
    • Nella scheda Completato viene visualizzato un elenco dei criteri Gestione autorizzazioni completata.

16. Aggiornare la scheda Ruolo/Criteri per visualizzare il ruolo creato.

Passaggi successivi

• Per informazioni su come visualizzare ruoli/criteri, richieste e autorizzazioni esistenti, vedere Visualizzare ruoli/criteri, richieste e autorizzazioni esistenti nel dashboard di correzione.
• Per informazioni su come modificare un ruolo o un criterio, vedere Modificare un ruolo o un criterio.