역할 관리 정책을 사용하여 각 리소스 내의 각 역할에 대한 규칙 관리
역할 관리 정책은 역할 자격 요청 또는 역할 할당 요청에 대한 규칙을 제어하는 데 도움이 됩니다. 예를 들어 할당이 활성화될 수 있는 최대 기간을 설정하거나 영구 할당을 허용할 수도 있습니다. 각 할당에 대한 알림 설정을 업데이트할 수 있습니다. 각 역할 활성화에 대한 승인자를 설정할 수도 있습니다.
리소스에 대한 역할 관리 정책 나열
역할 관리 정책을 나열하려면 역할 관리 정책 - 범위 REST API에 대한 목록을 사용할 수 있습니다. 결과를 구체화하려면 범위와 선택적 필터를 지정합니다. API를 호출하려면 지정된 범위에서 Microsoft.Authorization/roleAssignments/read
작업에 액세스할 수 있어야 합니다. 모든 기본 제공 역할에 는 이 작업에 대한 액세스 권한이 부여됩니다.
중요
각 리소스 내의 각 역할에 기본 정책이 있으므로 역할 관리 정책을 만들 필요가 없습니다.
다음 요청으로 시작합니다.
GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies?api-version=2020-10-01&$filter={filter}
URI 내에서 {scope}을 역할 관리 정책을 나열할 scope 바꿉다.
범위 Type providers/Microsoft.Management/managementGroups/{mg-name}
관리 그룹 subscriptions/{subscriptionId}
Subscription subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1
Resource group subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1
리소스 {filter}를 역할 할당 목록을 필터링하기 위해 적용하려는 조건으로 바꿉니다.
Assert 설명 $filter=roleDefinitionId%20eq%20'{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}'
리소스 scope 내에서 지정된 역할 정의에 대한 역할 관리 정책을 나열합니다.
역할 관리 정책을 업데이트합니다.
업데이트하려는 규칙을 선택합니다. 다음은 규칙 유형입니다.
규칙 유형 Description RoleManagementPolicyEnablementRule MFA 사용, 할당에 대한 근거 또는 티켓팅 정보 RoleManagementPolicyExpirationRule 역할 할당 또는 활성화의 최대 기간 지정 RoleManagementPolicyNotificationRule 할당, 활성화 및 승인에 대한 이메일 알림 설정 구성 RoleManagementPolicyApprovalRule 역할 활성화에 대한 승인 설정 구성 RoleManagementPolicyAuthenticationContextRule 조건부 액세스 정책에 대한 ACRS 규칙 구성 다음 요청을 사용합니다.
PATCH https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies/{roleManagementPolicyId}?api-version=2020-10-01
{ "properties": { "rules": [ { "isExpirationRequired": false, "maximumDuration": "P180D", "id": "Expiration_Admin_Eligibility", "ruleType": "RoleManagementPolicyExpirationRule", "target": { "caller": "Admin", "operations": [ "All" ], "level": "Eligibility", "targetObjects": null, "inheritableSettings": null, "enforcedSettings": null } }, { "notificationType": "Email", "recipientType": "Admin", "isDefaultRecipientsEnabled": false, "notificationLevel": "Critical", "notificationRecipients": [ "admin_admin_eligible@test.com" ], "id": "Notification_Admin_Admin_Eligibility", "ruleType": "RoleManagementPolicyNotificationRule", "target": { "caller": "Admin", "operations": [ "All" ], "level": "Eligibility", "targetObjects": null, "inheritableSettings": null, "enforcedSettings": null } }, { "enabledRules": [ "Justification", "MultiFactorAuthentication", "Ticketing" ], "id": "Enablement_EndUser_Assignment", "ruleType": "RoleManagementPolicyEnablementRule", "target": { "caller": "EndUser", "operations": [ "All" ], "level": "Assignment", "targetObjects": null, "inheritableSettings": null, "enforcedSettings": null } }, { "setting": { "isApprovalRequired": true, "isApprovalRequiredForExtension": false, "isRequestorJustificationRequired": true, "approvalMode": "SingleStage", "approvalStages": [ { "approvalStageTimeOutInDays": 1, "isApproverJustificationRequired": true, "escalationTimeInMinutes": 0, "primaryApprovers": [ { "id": "2385b0f3-5fa9-43cf-8ca4-b01dc97298cd", "description": "amansw_new_group", "isBackup": false, "userType": "Group" } ], "isEscalationEnabled": false, "escalationApprovers": null } ] }, "id": "Approval_EndUser_Assignment", "ruleType": "RoleManagementPolicyApprovalRule", "target": { "caller": "EndUser", "operations": [ "All" ], "level": "Assignment", "targetObjects": null, "inheritableSettings": null, "enforcedSettings": null } } ] } }