Делегировать управление назначениями ролей Azure другим пользователям с условиями
Администратор может получить несколько запросов на предоставление доступа к ресурсам Azure, которым требуется делегировать другому пользователю. Вы можете назначить пользователю роли владельца или доступа пользователей Администратор istrator, но это очень привилегированные роли. В этой статье описывается более безопасный способ делегировать управление назначениями ролей другим пользователям в организации, но добавлять ограничения для этих назначений ролей. Например, можно ограничить роли, которыми можно назначить или ограничить субъекты, которыми могут быть назначены роли.
На следующей схеме показано, как делегат с условиями может назначать только роли участника резервного копирования или средства чтения резервных копий только группам маркетинга или продаж.
Необходимые компоненты
Чтобы назначать роли Azure необходимо наличие:
Microsoft.Authorization/roleAssignments/write
разрешения, такие как контроль доступа Администратор istrator на основе ролей или Администратор istrator пользователя
Шаг 1. Определение разрешений, необходимых делегату
Чтобы определить разрешения, необходимые делегату, ответьте на следующие вопросы:
- Какие роли могут назначать делегат?
- Какие типы субъектов могут назначать роли делегату?
- Какие субъекты могут назначать роли делегату?
- Можно ли делегировать любые назначения ролей?
После того как вы знаете разрешения, необходимые делегату, выполните следующие действия, чтобы добавить условие в назначение роли делегата. Примеры условий см . в примерах для делегирования управления назначениями ролей Azure с условиями.
Шаг 2. Запуск нового назначения роли
Войдите на портал Azure.
Выполните действия, чтобы открыть страницу добавления назначения ролей.
На вкладке "Роли" выберите вкладку "Привилегированные роли администратора".
Выберите роль контроль доступа Администратор istrator на основе ролей.
Откроется вкладка "Условия ".
Вы можете выбрать любую роль, включающую или
Microsoft.Authorization/roleAssignments/delete
действия, например доступ пользователейMicrosoft.Authorization/roleAssignments/write
Администратор istrator, но контроль доступа Администратор istrator на основе ролей имеет меньше разрешений.На вкладке "Члены" найдите и выберите делегат.
Шаг 3. Добавление условия
Добавить условие можно двумя способами. Вы можете использовать шаблон условия или использовать расширенный редактор условий.
На вкладке "Условия" в разделе "Что может сделать пользователь", выберите параметр "Разрешить пользователю назначать только выбранные роли выбранным субъектам (меньше привилегий).
Выберите роли и субъекты.
Откроется страница "Добавить условие назначения ролей" со списком шаблонов условий.
Выберите шаблон условия и нажмите кнопку "Настроить".
Шаблон условия Выберите этот шаблон, чтобы Ограничение ролей Разрешить пользователю назначать только выбранные роли Ограничение ролей и типов субъектов Разрешить пользователю назначать только выбранные роли
Разрешить пользователю назначать эти роли только выбранным типам субъектов (пользователи, группы или субъекты-службы)Ограничение ролей и субъектов Разрешить пользователю назначать только выбранные роли
Разрешить пользователю назначать только эти роли выбранным участникамРазрешить все, кроме определенных ролей Разрешить пользователю назначать все роли, кроме выбранных ролей В области настройки добавьте необходимые конфигурации.
Нажмите кнопку "Сохранить", чтобы добавить условие в назначение роли.
Шаг 4. Назначение роли с условием делегату
На вкладке Review + assign (Проверка и назначение) проверьте параметры назначения роли.
Выберите Проверить и назначить, чтобы назначить роль.
Через несколько минут делегат назначает роль на основе ролей контроль доступа Администратор istrator с условиями назначения ролей.
Шаг 5. Делегирование назначает роли с условиями
Теперь делегат может выполнить действия по назначению ролей.
Когда делегат пытается назначить роли в портал Azure, список ролей будет отфильтрован, чтобы просто показать роли, которые они могут назначить.
Если существует условие для субъектов, список субъектов, доступных для назначения, также фильтруется.
Если делегат пытается назначить роль вне условий с помощью API, назначение роли завершается ошибкой. Дополнительные сведения см. в разделе "Симптом " Не удается назначить роль.
Изменение условия
Существует два способа редактирования условия. Шаблон условия можно использовать или использовать редактор условий.
На портал Azure откройте страницу управления доступом (IAM) для назначения роли с условием, которое требуется просмотреть, изменить или удалить.
Перейдите на вкладку "Назначения ролей" и найдите назначение роли.
В столбце "Условие" выберите "Вид и изменение".
Если вы не видите ссылку view/Edit, убедитесь, что вы просматриваете ту же область, что и назначение роли.
Откроется страница "Добавить условие назначения ролей". Эта страница будет выглядеть по-разному в зависимости от того, соответствует ли условие существующему шаблону.
Если условие соответствует существующему шаблону, выберите "Настроить ", чтобы изменить условие.
Если условие не соответствует существующему шаблону, используйте редактор расширенных условий для изменения условия.
Например, чтобы изменить условие, прокрутите вниз до раздела выражения сборки и обновите атрибуты, оператор или значения.
Чтобы изменить условие непосредственно, выберите тип редактора кода и измените код для условия.
По завершении нажмите кнопку "Сохранить ", чтобы обновить условие.