Udostępnij za pośrednictwem


Przykłady delegowania zarządzania przypisaniami ról platformy Azure przy użyciu warunków

W tym artykule wymieniono przykłady delegowania zarządzania przypisaniem ról platformy Azure do innych użytkowników z warunkami.

Wymagania wstępne

Aby uzyskać informacje o wymaganiach wstępnych dotyczących dodawania lub edytowania warunków przypisywania ról, zobacz Warunki wstępne.

Przykład: role ograniczeń

Ten warunek umożliwia delegatowi dodawanie lub usuwanie przypisań ról tylko dla ról Współautor kopii zapasowej lub Czytelnik kopii zapasowych.

Ten warunek należy dodać do wszystkich przypisań ról dla delegata, które obejmują następujące akcje.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagram przypisań ról ograniczonych do ról Współautor kopii zapasowych lub Czytelnik kopii zapasowych.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal i szablonu warunku.

Stan Ustawienie
Template Role ograniczeń
Role Współautor kopii zapasowej
Czytelnik kopii zapasowych

Przykład: ograniczenia ról i typów podmiotów zabezpieczeń

Ten warunek umożliwia delegatowi dodawanie lub usuwanie przypisań ról tylko dla ról Współautor kopii zapasowej lub Czytelnik kopii zapasowych. Ponadto pełnomocnik może przypisać te role tylko do podmiotów zabezpieczeń typu użytkownik lub grupa.

Ten warunek należy dodać do wszystkich przypisań ról dla delegata, które obejmują następujące akcje.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagram przypisań ról ograniczonych ról Współautor kopii zapasowej lub Rola czytelnika kopii zapasowych oraz typy podmiotów zabezpieczeń użytkowników lub grup.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal i szablonu warunku.

Stan Ustawienie
Template Role ograniczeń i typy podmiotów zabezpieczeń
Role Współautor kopii zapasowej
Czytelnik kopii zapasowych
Typy podmiotów zabezpieczeń Użytkownicy
Grupy

Przykład: ograniczenia ról i określonych grup

Ten warunek umożliwia delegatowi dodawanie lub usuwanie przypisań ról tylko dla ról Współautor kopii zapasowej lub Czytelnik kopii zapasowych. Ponadto pełnomocnik może przypisać te role tylko do określonych grup o nazwie Marketing (28c35fea-2099-4cf5-8ad9-473547bc9423) lub Sales (86951b8b-723a-407b-a74a-1bca3f0c95d0).

Ten warunek należy dodać do wszystkich przypisań ról dla delegata, które obejmują następujące akcje.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagram przypisań ról ograniczonych do ról Współautor kopii zapasowych lub Czytelnik kopii zapasowych oraz Grupy marketingu lub Sprzedaży.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal i szablonu warunku.

Stan Ustawienie
Template Role ograniczeń i podmioty zabezpieczeń
Role Współautor kopii zapasowej
Czytelnik kopii zapasowych
Podmioty zabezpieczeń Marketing
Sales

Przykład: Ograniczanie zarządzania maszynami wirtualnymi

Ten warunek umożliwia delegatowi dodawanie lub usuwanie przypisań ról tylko dla ról logowania Administracja istratora maszyny wirtualnej lub logowania użytkownika maszyny wirtualnej. Ponadto pełnomocnik może przypisać te role tylko do określonego użytkownika o nazwie Dara (ea585310-c95c-4a68-af22-49af4363bbb1).

Ten warunek jest przydatny, gdy chcesz zezwolić delegatowi na przypisanie roli logowania maszyny wirtualnej do siebie dla właśnie utworzonej maszyny wirtualnej.

Ten warunek należy dodać do wszystkich przypisań ról dla delegata, które obejmują następujące akcje.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagram przypisań ról ograniczonych do maszyny wirtualnej Administracja istrator logowania lub ról logowania użytkownika maszyny wirtualnej i określonego użytkownika.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal i szablonu warunku.

Stan Ustawienie
Template Role ograniczeń i podmioty zabezpieczeń
Role Logowanie Administracja istratora maszyny wirtualnej
Logowanie użytkownika maszyny wirtualnej
Podmioty zabezpieczeń Dara

Przykład: ograniczanie zarządzania klastrem usługi AKS

Ten warunek umożliwia delegowanie tylko dodawania lub usuwania przypisań ról dla roli RBAC usługi Azure Kubernetes Service Administracja, klastra RBAC usługi Azure Kubernetes Service Administracja, czytelnika RBAC usługi Azure Kubernetes Service lub zapisywania RBAC usługi Azure Kubernetes Service. Ponadto pełnomocnik może przypisać te role tylko do określonego użytkownika o nazwie Dara (ea585310-c95c-4a68-af22-49af4363bbb1).

Ten warunek jest przydatny, gdy chcesz zezwolić delegatowi na przypisanie ról autoryzacji płaszczyzny danych klastra usługi Azure Kubernetes Service (AKS) do siebie dla właśnie utworzonego klastra.

Ten warunek należy dodać do wszystkich przypisań ról dla delegata, które obejmują następujące akcje.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagram przypisań ról ograniczonych do Administracja RBAC usługi Azure Kubernetes Service, klastra RBAC usługi Azure Kubernetes Service Administracja, czytelnika RBAC usługi Azure Kubernetes Service lub roli składnika zapisywania RBAC usługi Azure Kubernetes Service i określonego użytkownika.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal i szablonu warunku.

Przykład: ograniczanie zarządzania usługą ACR

Ten warunek umożliwia delegatowi dodawanie lub usuwanie przypisań ról tylko dla roli AcrPull . Ponadto pełnomocnik może przypisywać te role tylko do jednostek typu jednostki usługi.

Ten warunek jest przydatny, gdy chcesz zezwolić deweloperowi na przypisanie roli AcrPull do tożsamości zarządzanej, aby można było ściągać obrazy z usługi Azure Container Registry (ACR).

Ten warunek należy dodać do wszystkich przypisań ról dla delegata, które obejmują następujące akcje.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagram przypisań ról ograniczonych do roli AcrPull i typu jednostki usługi.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal i szablonu warunku.

Stan Ustawienie
Template Role ograniczeń i typy podmiotów zabezpieczeń
Role AcrPull
Typy podmiotów zabezpieczeń Jednostki usługi

Przykład: Ograniczenie dodawania przypisań ról

Ten warunek umożliwia delegatowi dodawanie tylko przypisań ról dla ról Współautor kopii zapasowej lub Czytelnik kopii zapasowych. Pełnomocnik może usunąć wszystkie przypisania ról.

Ten warunek należy dodać do wszystkich przypisań ról dla pełnomocnika, które obejmują następującą akcję.

  • Microsoft.Authorization/roleAssignments/write

Diagram przedstawiający dodawanie i usuwanie przypisań ról ograniczonych do ról Współautor kopii zapasowych lub Czytelnik kopii zapasowych.

Brak

Przykład: Zezwalaj na większość ról, ale nie zezwalaj innym osobom na przypisywanie ról

Ten warunek umożliwia delegatowi dodawanie lub usuwanie przypisań ról dla wszystkich ról, z wyjątkiem ról Właściciel, Kontrola dostępu oparta na rolach Administracja istrator i Administracja istrator dostępu użytkowników.

Ten warunek jest przydatny, gdy chcesz zezwolić delegatowi na przypisywanie większości ról, ale nie zezwalaj delegatowi na przypisywanie ról innym osobom.

Uwaga

Ten warunek należy stosować ostrożnie. Jeśli zostanie później dodana nowa wbudowana lub niestandardowa rola, która zawiera uprawnienie do tworzenia przypisań ról, ten warunek nie uniemożliwi delegatowi przypisywania ról. Warunek musi zostać zaktualizowany, aby uwzględnić nową wbudowaną lub niestandardową rolę.

Ten warunek należy dodać do wszystkich przypisań ról dla delegata, które obejmują następujące akcje.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagram dodawania i usuwania przypisań ról dla wszystkich ról z wyjątkiem właścicieli, kontroli dostępu opartej na rolach Administracja istrator i Administracja istrator dostępu użytkowników.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal i szablonu warunku.

Stan Ustawienie
Template Zezwalaj na wszystkie z wyjątkiem określonych ról
Wykluczanie ról Właściciel
Administracja istrator kontroli dostępu opartej na rolach
Administrator dostępu użytkowników

Następne kroki