Delegowanie zarządzania przypisaniami ról platformy Azure do innych osób z warunkami

Jako administrator możesz uzyskać kilka żądań udzielenia dostępu do zasobów platformy Azure, które chcesz delegować do innej osoby. Możesz przypisać użytkownikowi role Właściciel lub Administrator dostępu użytkowników , ale są to role o wysokim poziomie uprawnień. W tym artykule opisano bezpieczniejszy sposób delegowania zarządzania przypisaniami ról do innych użytkowników w organizacji, ale dodawania ograniczeń dla tych przypisań ról. Na przykład, można ograniczyć możliwości przypisywania ról lub ograniczyć podmioty, do których te role mogą być przypisane.

Na poniższym diagramie pokazano, jak delegat z warunkami może przypisywać role Backup Contributor lub Backup Reader tylko do grup Marketing albo Sprzedaży.

Wymagania wstępne

Aby przypisać role platformy Azure, musisz mieć następujące elementy:

• Microsoft.Authorization/roleAssignments/writeuprawnienia, takie jak administrator kontroli dostępu opartej na rolach lub administrator dostępu użytkowników

Krok 1. Określanie uprawnień wymaganych przez pełnomocnika

Aby ułatwić określenie uprawnień wymaganych przez pełnomocnika, odpowiedz na następujące pytania:

• Jakie role mogą przypisywać pełnomocnik?
• Do jakich typów podmiotów delegat może przypisać role?
• Do których podmiotów delegat może przypisać role?
• Czy delegat może usunąć dowolne przypisania ról?

Gdy znasz uprawnienia, których pełnomocnik potrzebuje, wykonaj następujące kroki, aby dodać warunek do przypisania roli delegata. Aby uzyskać przykładowe warunki, zobacz Przykłady delegowania zarządzania przypisaniem ról platformy Azure przy użyciu warunków.

Krok 2. Uruchamianie nowego przypisania roli

1. Zaloguj się do witryny Azure Portal.

2. Wykonaj następujące kroki, aby otworzyć stronę dodawania przypisania roli.

3. Na karcie Role wybierz kartę Role administratora uprzywilejowanego .

4. Wybierz rolę Administrator kontroli dostępu opartej na rolach .

   Zostanie wyświetlona karta Warunki .

   Możesz wybrać dowolną rolę obejmującą akcje Microsoft.Authorization/roleAssignments/write lub Microsoft.Authorization/roleAssignments/delete , takie jak administrator dostępu użytkowników, ale administrator kontroli dostępu opartej na rolach ma mniej uprawnień.

5. Na karcie Członkowie znajdź i wybierz pełnomocnika.

Krok 3. Dodawanie warunku

Istnieją dwa sposoby dodawania warunku. Możesz użyć szablonu warunku lub użyć zaawansowanego edytora warunków.

Szablon

1. Na karcie Warunki w obszarze Co użytkownik może zrobić, wybierz opcję Zezwalaj użytkownikowi na przypisywanie ról tylko wybranym głównym podmiotom (mniej uprawnień).

   

2. ** Wybierz role i podmioty.

   Zostanie wyświetlona strona Dodawanie warunku przypisania roli z listą szablonów warunków.

   

3. Wybierz szablon warunku, a następnie wybierz pozycję Konfiguruj.

   Szablon warunku	Wybierz ten szablon, aby
   Ograniczanie ról	Pozwól użytkownikowi przypisywać tylko role, które wybierzesz
   Ogranicz role i główne typy podmiotów	Pozwól użytkownikowi przypisywać tylko role, które wybierzesz Pozwól użytkownikowi przypisywać te role tylko typom podmiotów, które wybierzesz (czyli użytkownikom, grupom lub jednostkom usługi).
   Ograniczanie ról i podmiotów	Pozwól użytkownikowi przypisywać tylko role, które wybierzesz Zezwalaj użytkownikom na przypisywanie tych ról tylko do wybranych zasad bytu.
   Zezwalaj na wszystkie z wyjątkiem określonych ról	Zezwalaj użytkownikowi na przypisywanie wszystkich ról z wyjątkiem wybranych ról

4. W okienku konfigurowania dodaj wymagane konfiguracje.

   

5. Wybierz pozycję Zapisz , aby dodać warunek do przypisania roli.

Edytor warunków

Jeśli szablony warunków nie działają w twoim scenariuszu lub jeśli chcesz mieć większą kontrolę, możesz użyć edytora warunków.

Otwórz edytor warunków

1. Na karcie Warunki w obszarze Co użytkownik może zrobić, wybierz opcję Zezwalaj użytkownikowi na przypisywanie ról tylko wybranym głównym podmiotom (mniej uprawnień).

   

2. ** Wybierz role i podmioty.

   Zostanie wyświetlona strona Dodawanie warunku przypisania roli z listą szablonów warunków.

   

3. Wybierz pozycję Otwórz edytor zaawansowanych warunków.

   Zostanie wyświetlona strona Dodawanie warunku przypisania roli.

4. Dla opcji Typ edytora pozostaw wybraną domyślną wizualizację .

Dodaj akcję

1. W sekcji Dodawanie akcji wybierz pozycję Dodaj akcję.

   Zostanie wyświetlone okienko Wybierz akcję. To okienko jest filtrowaną listą działań w oparciu o przypisanie roli, które będą celem Twojego warunku.

   

2. Wybierz akcję Utwórz lub zaktualizuj przypisania ról , które chcesz zezwolić, jeśli warunek ma wartość true.

   Tip

   Jeśli wybierzesz zarówno Utwórz lub zaktualizuj przypisania ról, jak i Usuń przypisanie roli, nie będzie można dodać wyrażenia warunku. Jeśli chcesz skierować się na obie te akcje, musisz dodać dwa warunki. Aby uzyskać więcej informacji, zobacz Przykład: ograniczanie ról.

Wyrażenia kompilacji

1. W sekcji Budowanie wyrażenia wybierz pozycję Dodaj wyrażenie.

   W tym miejscu utworzysz wyrażenie w celu ograniczenia przypisań ról, które może dodać delegat.

2. Na liście Źródło atrybutu wybierz pozycję Żądanie.

3. Na liście Atrybut wybierz jeden z następujących atrybutów po lewej stronie wyrażenia.

   • Identyfikator definicji roli służy do ograniczania ról, które może przypisać delegat.
   • Identyfikator główny służy do ograniczania podmiotów, którym delegat może przypisywać role.
   • Typ podmiotu służy do ograniczania typów podmiotów (użytkowników, grup lub podmiotów usługi), którym delegat może przypisywać role.

4. Na liście Operator wybierz operator.

   W zależności od atrybutu i wyrażenia, które chcesz skompilować, zazwyczaj wybierasz te operatory, co pozwala wybrać jedną lub więcej wartości dla prawej strony wyrażenia.

   Attribute	Wspólny operator
   Identyfikator definicji roli	ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals
   Identyfikator główny	ForAnyOfAnyValues:GuidEquals
   Typ główny	ForAnyOfAnyValues:StringEqualsIgnoreCase

5. W polu Wartość wprowadź co najmniej jedną wartość dla prawej strony wyrażenia.

   

6. Dodaj dodatkowe wyrażenia zgodnie z potrzebami.

   Tip

   W przypadku dodawania wielu wyrażeń do delegowania zarządzania przypisaniem ról przy użyciu warunków zazwyczaj używasz operatora And między wyrażeniami zamiast domyślnego operatora Or .

7. Wybierz pozycję Zapisz , aby dodać warunek do przypisania roli.

Krok 4. Przypisywanie roli z warunkiem do delegowania

1. Na karcie Przeglądanie i przypisywanie przejrzyj ustawienia przypisania roli.

2. Wybierz Przejrzyj + przypisz, aby przypisać rolę.

   Po kilku chwilach pełnomocnik zostanie przypisany do roli Administrator kontroli dostępu opartej na rolach z warunkami przypisania roli.

Krok 5. Delegujący przydziela role z uwzględnieniem warunków

• Delegat może teraz postępować zgodnie z krokami przypisywania ról.

  

  Gdy pełnomocnik podejmie próbę przypisania ról w witrynie Azure Portal, lista ról zostanie przefiltrowana, aby pokazać tylko role, które mogą przypisać.

  

  Jeśli istnieje warunek dla podmiotów zabezpieczeń, lista podmiotów zabezpieczeń dostępnych dla przypisania jest również filtrowana.

  

  Jeśli pełnomocnik próbuje przypisać rolę, która znajduje się poza warunkami przy użyciu interfejsu API, przypisanie roli kończy się niepowodzeniem z powodu błędu. Aby uzyskać więcej informacji, zobacz Objaw — nie można przypisać roli.

Edytowanie warunku

Istnieją dwa sposoby edytowania warunku. Możesz użyć szablonu warunku lub użyć edytora warunków.

1. W witrynie Azure Portal otwórz stronę Kontrola dostępu (IAM) dla przypisania roli z warunkiem, który ma być wyświetlany, edytowany lub usuwany.

2. Wybierz kartę Przypisania ról i znajdź przypisanie roli.

3. W kolumnie Warunek wybierz pozycję Wyświetl/Edytuj.

   Jeśli nie widzisz linku Wyświetl/Edytuj , upewnij się, że patrzysz na ten sam zakres co przypisanie roli.

   

   Zostanie wyświetlona strona Dodawanie warunku przypisania roli . Ta strona będzie wyglądać inaczej w zależności od tego, czy warunek pasuje do istniejącego szablonu.

4. Jeśli warunek jest zgodny z istniejącym szablonem, wybierz pozycję Konfiguruj , aby edytować warunek.

   

5. Jeśli warunek nie jest zgodny z istniejącym szablonem, użyj zaawansowanego edytora warunków, aby edytować warunek.

   Aby na przykład edytować warunek, przewiń w dół do sekcji wyrażenia kompilacji i zaktualizuj atrybuty, operator lub wartości.

   

   Aby edytować warunek bezpośrednio, wybierz typ edytora kodu , a następnie edytuj kod warunku.

   

6. Po zakończeniu kliknij przycisk Zapisz , aby zaktualizować warunek.

Następne kroki

• Delegowanie zarządzania dostępem do platformy Azure innym osobom
• Akcje autoryzacji i atrybuty