Delegare la gestione degli accessi di Azure ad altri utenti

Articolo
02/01/2024

Per concedere l'accesso alle risorse di Azure, nel controllo degli accessi in base al ruolo di Azure si assegnano ruoli di Azure. Ad esempio, se un utente deve creare e gestire siti Web in una sottoscrizione, assegnare il ruolo Collaboratore sito Web.

L'assegnazione di ruoli di Azure per concedere l'accesso alle risorse di Azure è un'attività comune. Gli amministratori possono ricevere diverse richieste per concedere l'accesso che si vuole delegare a un altro utente. Tuttavia, si vuole assicurarsi che il delegato disponga solo delle autorizzazioni necessarie per svolgere il proprio lavoro. Questo articolo descrive un modo più sicuro per delegare la gestione delle assegnazioni di ruolo ad altri utenti dell'organizzazione.

Perché delegare la gestione delle assegnazioni di ruolo?

Ecco alcuni motivi per cui si potrebbe voler delegare la gestione delle assegnazioni di ruolo ad altri:

Si ricevono diverse richieste per assegnare ruoli nell'organizzazione.
Gli utenti vengono bloccati in attesa dell'assegnazione di ruolo necessaria.
Gli utenti all'interno dei rispettivi reparti, team o progetti hanno maggiori informazioni su chi ha bisogno di accesso.
Gli utenti hanno le autorizzazioni per creare risorse di Azure, ma devono avere un'assegnazione di ruolo aggiuntiva per usare completamente tale risorsa. Ad esempio:
- Gli utenti con l'autorizzazione per creare macchine virtuali non possono accedere immediatamente alla macchina virtuale senza il ruolo di accesso utente della macchina virtuale Amministrazione istrator o dell'account di accesso utente della macchina virtuale. Anziché tenere traccia di un amministratore per assegnargli un ruolo di accesso, è più efficiente se l'utente può assegnare il ruolo di accesso a se stesso.
- Uno sviluppatore ha le autorizzazioni per creare un cluster servizio Azure Kubernetes (AKS) e un Registro Azure Container (ACR), ma deve assegnare il ruolo AcrPull a un'identità gestita in modo che possa eseguire il pull delle immagini dal Registro Azure Container. Invece di tenere traccia di un amministratore per assegnare il ruolo AcrPull, è più efficiente se lo sviluppatore può assegnare il ruolo stesso.

Come è attualmente possibile delegare la gestione delle assegnazioni di ruolo

I ruoli proprietario e accesso utente Amministrazione istrator sono ruoli predefiniti che consentono agli utenti di creare assegnazioni di ruolo. I membri di questi ruoli possono decidere chi può avere autorizzazioni di scrittura, lettura ed eliminazione per qualsiasi risorsa in una sottoscrizione. Per delegare la gestione delle assegnazioni di ruolo a un altro utente, è possibile assegnare il ruolo Proprietario o Accesso utenti Amministrazione istrator a un utente.

Il diagramma seguente illustra come Alice può delegare le responsabilità di assegnazione dei ruoli a Dara. Per passaggi specifici, vedere Assegnare un utente come amministratore di una sottoscrizione di Azure.

Alice assegna il ruolo accesso utente Amministrazione istrator a Dara.
Dara può ora assegnare qualsiasi ruolo a qualsiasi utente, gruppo o entità servizio nello stesso ambito.

Quali sono i problemi relativi al metodo di delega corrente?

Ecco i problemi principali relativi al metodo corrente di delega della gestione delle assegnazioni di ruolo ad altri utenti dell'organizzazione.

Il delegato ha accesso senza restrizioni nell'ambito dell'assegnazione di ruolo. Questo viola il principio dei privilegi minimi, che ti espone a una superficie di attacco più ampia.
Il delegato può assegnare qualsiasi ruolo a qualsiasi utente all'interno dell'ambito, incluso se stesso.
Il delegato può assegnare i ruoli Proprietario o Accesso utente Amministrazione istrator a un altro utente, che può quindi assegnare ruoli ad altri utenti.

Invece di assegnare i ruoli di proprietario o accesso utente Amministrazione istrator, un metodo più sicuro consiste nel vincolare la capacità di un delegato di creare assegnazioni di ruolo.

Un metodo più sicuro: delegare la gestione delle assegnazioni di ruolo con condizioni

Delegare la gestione delle assegnazioni di ruolo con condizioni è un modo per limitare le assegnazioni di ruolo che un utente può creare. Nell'esempio precedente Alice può consentire a Dara di creare alcune assegnazioni di ruolo per suo conto, ma non tutte le assegnazioni di ruolo. Ad esempio, Alice può vincolare i ruoli a cui Dara può assegnare e vincolare le entità a cui Dara può assegnare ruoli. Questa delega con condizioni viene talvolta definita delega vincolata e viene implementata usando le condizioni di controllo degli accessi in base all'attributo di Azure.

Questo video offre una panoramica della delega della gestione delle assegnazioni di ruoli con condizioni.

Perché delegare la gestione delle assegnazioni di ruolo con condizioni?

Ecco alcuni motivi per cui la delega della gestione delle assegnazioni di ruolo ad altri utenti con condizioni è più sicura:

È possibile limitare le assegnazioni di ruolo che il delegato può creare.
È possibile impedire a un delegato di assegnare ruoli a un altro utente.
È possibile applicare la conformità dei criteri dell'organizzazione con privilegi minimi.
È possibile automatizzare la gestione delle risorse di Azure senza dover concedere autorizzazioni complete a un account del servizio.

Esempio di condizioni

Si consideri un esempio in cui Alice è un amministratore con il ruolo accesso utente Amministrazione istrator per una sottoscrizione. Alice vuole concedere a Dara la possibilità di assegnare ruoli specifici per gruppi specifici. Alice non vuole che Dara disponga di altre autorizzazioni di assegnazione di ruolo. Il diagramma seguente illustra come Alice può delegare le responsabilità di assegnazione dei ruoli a Dara con condizioni.

Alice assegna il ruolo Controllo di accesso Amministrazione istrator basato sul ruolo a Dara. Alice aggiunge condizioni in modo che Dara possa assegnare solo i ruoli Collaboratore backup o Lettore di backup ai gruppi Marketing e Vendite.
Dara può ora assegnare i ruoli Collaboratore backup o Lettore di backup ai gruppi Marketing e Vendite.
Se Dara tenta di assegnare altri ruoli o assegnare ruoli a entità diverse (ad esempio un utente o un'identità gestita), l'assegnazione di ruolo non riesce.

Ruolo basato su ruoli Controllo di accesso Amministrazione istrator

Il ruolo role based Controllo di accesso Amministrazione istrator è un ruolo predefinito progettato per delegare la gestione delle assegnazioni di ruolo ad altri utenti. Dispone di meno autorizzazioni rispetto a User Access Amministrazione istrator, che segue le procedure consigliate per i privilegi minimi. Il ruolo Controllo di accesso Amministrazione istrator basato su ruoli dispone delle autorizzazioni seguenti:

Creare un'assegnazione di ruolo nell'ambito specificato
Eliminare un'assegnazione di ruolo nell'ambito specificato
Leggere le risorse di tutti i tipi, ad eccezione dei segreti
Creare e aggiornare un ticket di supporto

Modi per vincolare le assegnazioni di ruolo

Ecco i modi in cui le assegnazioni di ruolo possono essere vincolate con condizioni. È anche possibile combinare queste condizioni per adattarsi allo scenario.

Vincolare i ruoli a cui è possibile assegnare
Vincolare i ruoli e i tipi di entità (utenti, gruppi o entità servizio) a cui è possibile assegnare ruoli
Vincolare i ruoli e le entità specifiche a cui è possibile assegnare ruoli
Specificare condizioni diverse per le azioni di aggiunta e rimozione dell'assegnazione di ruolo

Come delegare la gestione delle assegnazioni di ruolo con condizioni

Per delegare la gestione delle assegnazioni di ruolo con condizioni, assegnare i ruoli come si esegue attualmente, ma si aggiunge anche una condizione all'assegnazione di ruolo.

Determinare le autorizzazioni necessarie per il delegato
- Quali ruoli possono assegnare al delegato?
- A quali tipi di entità può assegnare i ruoli il delegato?
- Quali entità possono assegnare ruoli al delegato?
- Il delegato può rimuovere eventuali assegnazioni di ruolo?
Avviare una nuova assegnazione di ruolo
Selezionare il ruolo Controllo di accesso Amministrazione istrator basato su ruoli

È possibile selezionare qualsiasi ruolo che includa l'azione, ma l'Controllo di accesso Amministrazione Microsoft.Authorization/roleAssignments/write istrator basato su ruoli ha meno autorizzazioni.
Selezionare il delegato

Selezionare l'utente a cui si vuole delegare la gestione delle assegnazioni di ruolo.

Aggiungi una condizione

Esistono diversi modi per aggiungere una condizione. Ad esempio, è possibile usare un modello di condizione nella portale di Azure, l'editor di condizioni avanzate nell'API PORTALE DI AZURE, Azure PowerShell, l'interfaccia della riga di comando di Azure, Bicep o REST.

Scegliere da un elenco di modelli di condizione. Selezionare Configura per specificare i ruoli, i tipi di entità o le entità.

Per altre informazioni, vedere Delegare la gestione delle assegnazioni di ruolo di Azure ad altri utenti con condizioni.

New-AzRoleAssignment

$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion

az role assignment create

set roleDefinitionId="f58310d9-a9f6-439a-9e8d-f62e7b41a168"
set principalId="{principalId}"
set principalType="User"
set scope="/subscriptions/{subscriptionId}"
set condition="((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))"
set conditionVersion="2.0"
az role assignment create --assignee-object-id %principalId% --assignee-principal-type %principalType% --scope %scope% --role %roleDefinitionId% --condition %condition% --condition-version %conditionVersion%

param roleDefinitionResourceId string
param principalId string
param condition string

targetScope = 'subscription'

resource roleAssignment 'Microsoft.Authorization/roleAssignments@2020-04-01-preview' = {
  name: guid(subscription().id, principalId, roleDefinitionResourceId)
  properties: {
    roleDefinitionId: roleDefinitionResourceId
    principalId: principalId
    principalType: 'User'
    condition: condition
    conditionVersion:'2.0'
  }
}

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "roleDefinitionResourceId": {
      "value": "providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168"
    },
    "principalId": {
      "value": "{principalId}"
    },
    "condition": {
      "value": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))"
    }
  }
}

Assegnazioni di ruolo - Creare

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleAssignments/f58310d9-a9f6-439a-9e8d-f62e7b41a168?api-version=2020-04-01-Preview

{
  "properties": {
    "roleDefinitionId": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168",
    "principalId": "{principalId}",
    "condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))",
    "conditionVersion": "2.0"
  }
}

Assegnare un ruolo con condizione per delegare

Dopo aver specificato la condizione, completare l'assegnazione di ruolo.
Contattare il delegato

Informare il delegato che può ora assegnare ruoli con condizioni.

Ruoli predefiniti con condizioni

I ruoli accesso ai dati dell'insieme di credenziali delle chiavi Amministrazione istrator e accesso ai dati delle macchine virtuali Amministrazione istrator (anteprima) hanno già una condizione predefinita per vincolare le assegnazioni di ruolo.

Il ruolo Accesso ai dati di Key Vault Amministrazione istrator consente di gestire l'accesso a segreti, certificati e chiavi di Key Vault. È incentrato esclusivamente sul controllo di accesso senza la possibilità di assegnare ruoli con privilegi come proprietario o accesso utenti Amministrazione istrator. Consente una migliore separazione dei compiti per scenari come la gestione della crittografia dei dati inattivi nei servizi dati per rispettare ulteriormente il principio dei privilegi minimi. La condizione vincola le assegnazioni di ruolo ai seguenti ruoli di Azure Key Vault:

Se si vuole vincolare ulteriormente l'assegnazione di ruolo di Accesso ai dati di Key Vault Amministrazione istrator, è possibile aggiungere una condizione personalizzata per vincolare i tipi di entità (utenti, gruppi o entità servizio) o entità servizio specifiche a cui è possibile assegnare i ruoli di Key Vault.

Problemi noti

Ecco i problemi noti relativi alla delega della gestione delle assegnazioni di ruolo con condizioni:

Non è possibile delegare la gestione delle assegnazioni di ruolo con condizioni usando Privileged Identity Management.
Non è possibile avere un'assegnazione di ruolo con Microsoft. Archiviazione'azione dati e una condizione ABAC che usa un operatore di confronto GUID. Per altre informazioni, vedere Risolvere i problemi relativi al controllo degli accessi in base al ruolo di Azure.

Requisiti di licenza

L'uso di questa funzionalità è gratuito ed è incluso nella sottoscrizione di Azure.