Przypisywanie ról zasobów platformy Azure w usłudze Privileged Identity Management

Za pomocą usługi Microsoft Entra Privileged Identity Management (PIM) można zarządzać wbudowanymi rolami zasobów platformy Azure i rolami niestandardowymi, w tym (ale nie tylko):

• Właściciel
• Administrator dostępu użytkowników
• Współpracownik
• Administrator zabezpieczeń
• Menedżer zabezpieczeń

Uwaga

Użytkownicy lub członkowie grupy przypisani do ról subskrypcji Właściciela lub Administratora Dostępu Użytkownika, a także globalni administratorzy Microsoft Entra, którzy włączają zarządzanie subskrypcjami w Microsoft Entra ID, mają domyślnie uprawnienia administratora zasobów. Ci administratorzy mogą przypisywać role, konfigurować ustawienia ról i przeglądać dostęp przy użyciu usługi Privileged Identity Management dla zasobów platformy Azure. Użytkownik nie może zarządzać usługą Privileged Identity Management for Resources bez uprawnień administratora zasobów. Wyświetl listę wbudowanych ról platformy Azure.

Usługa Privileged Identity Management obsługuje wbudowane i niestandardowe role platformy Azure. Aby uzyskać więcej informacji na temat ról niestandardowych platformy Azure, zobacz Role niestandardowe platformy Azure.

Warunki przypisania roli

Możesz użyć kontroli dostępu opartej na atrybutach platformy Azure (Azure ABAC), aby dodać warunki dotyczące kwalifikujących się przypisań ról przy użyciu usługi Microsoft Entra PIM dla zasobów platformy Azure. W przypadku usługi Microsoft Entra PIM użytkownicy końcowi muszą aktywować kwalifikujące się przypisanie roli, aby uzyskać uprawnienia do wykonywania określonych akcji. Korzystanie z warunków w usłudze Microsoft Entra PIM pozwala nie tylko ograniczyć uprawnienia roli użytkownika do zasobu przy użyciu precyzyjnych warunków, ale także użyć usługi Microsoft Entra PIM w celu zabezpieczenia przypisania roli z ustawieniem powiązanym czasowo, przepływem pracy zatwierdzania, dziennikiem inspekcji itd.

Uwaga

Gdy przypisuje się rolę, dokonuje się przypisania:

• Nie można przypisać go na czas krótszy niż pięć minut
• Nie można go usunąć w ciągu pięciu minut od jego przypisania

Obecnie następujące wbudowane role mogą mieć dodane warunki:

• Kontrybutor danych Storage Blob
• Właściciel danych usługi Storage Blob
• Czytelnik danych obiektu blob Storage

Aby uzyskać więcej informacji, zobacz Co to jest kontrola dostępu oparta na atrybutach platformy Azure (Azure ABAC).

Przypisywanie roli

Wykonaj następujące kroki, aby użytkownik kwalifikował się do roli zasobu platformy Azure.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator dostępu użytkowników.

2. Przejdź do obszaru Id Governance>Privileged Identity Management>Zasobów platformy Azure.

3. Wybierz typ zasobu , którym chcesz zarządzać. Rozpocznij od listy rozwijanej Grupy zarządzania lub listy rozwijanej Subskrypcje, a następnie wybierz Grupy zasobów lub Zasoby zgodnie z potrzebami. Wybierz przycisk Wybierz zasób, którym chcesz zarządzać, aby otworzyć jego stronę przeglądu.

   

4. W obszarze Zarządzanie wybierz pozycję Role , aby wyświetlić listę ról dla zasobów platformy Azure.

5. Wybierz pozycję Dodaj przypisania , aby otworzyć okienko Dodawanie przypisań .

   

6. Wybierz rolę , którą chcesz przypisać.

7. Wybierz Nie wybrano członka, aby otworzyć okienko Wybierz członka lub grupę.

   

8. Wybierz członka lub grupę, którą chcesz przypisać do roli, a następnie wybierz pozycję Wybierz.

   

9. Na karcie Ustawienia na liście Typ przypisania wybierz Kwalifikujący lub Aktywny.

   

   Usługa Microsoft Entra PIM dla zasobów platformy Azure udostępnia dwa odrębne typy przypisań:

   • Kwalifikujące się przypisania wymagają od użytkownika aktywacji roli przed jej użyciem. Administrator może wymagać od członka roli wykonania określonych akcji przed aktywacją roli, która może obejmować przeprowadzenie sprawdzania uwierzytelniania wieloskładnikowego (MFA), podanie uzasadnienia biznesowego lub żądanie zatwierdzenia od wyznaczonych osób zatwierdzających.

   • Aktywne przypisania nie wymagają, aby członek aktywował rolę przed użyciem. Członkowie przypisani jako aktywni mają przypisane uprawnienia gotowe do użycia. Ten typ przypisania jest również dostępny dla klientów, którzy nie korzystają z usługi Microsoft Entra PIM.

10. Aby określić określony czas trwania przypisania, zmień daty i godziny rozpoczęcia i zakończenia.

11. Jeśli rola została zdefiniowana z akcjami, które zezwalają na przypisanie do tej roli z warunkami, możesz wybrać pozycję Dodaj warunek , aby dodać warunek na podstawie atrybutów głównego użytkownika i zasobu, które są częścią przypisania.

    

    Warunki można wprowadzić w konstruktorze wyrażeń.

    

12. Po zakończeniu wybierz Przypisz.

13. Po utworzeniu nowego przypisania roli zostanie wyświetlone powiadomienie o stanie.

    

Przypisywanie roli przy użyciu interfejsu API usługi Azure Resource Manager

Usługa Privileged Identity Management obsługuje polecenia interfejsu API usługi Azure Resource Manager (ARM) do zarządzania rolami zasobów platformy Azure zgodnie z opisem w dokumentacji interfejsu API usługi Azure Resource Manager usługi PIM. Aby uzyskać uprawnienia wymagane do korzystania z interfejsu API usługi PIM, zobacz Omówienie interfejsów API usługi Privileged Identity Management.

Poniższy przykład to próbne żądanie HTTP służące do tworzenia kwalifikowalnego przypisania roli dla platformy Azure.

Żądanie

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleEligibilityScheduleRequests/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e?api-version=2020-10-01-preview

Ciało żądania

{
  "properties": {
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "requestType": "AdminAssign",
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0"
  }
}

Odpowiedź

Kod stanu: 201

{
  "properties": {
    "targetRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413",
    "targetRoleEligibilityScheduleInstanceId": null,
    "scope": "/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "principalType": "User",
    "requestType": "AdminAssign",
    "status": "Provisioned",
    "approvalId": null,
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "ticketInfo": {
      "ticketNumber": null,
      "ticketSystem": null
    },
    "justification": null,
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "createdOn": "2022-07-05T21:00:45.91Z",
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0",
    "expandedProperties": {
      "scope": {
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
        "displayName": "Pay-As-You-Go",
        "type": "subscription"
      },
      "roleDefinition": {
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
        "displayName": "Contributor",
        "type": "BuiltInRole"
      },
      "principal": {
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
        "displayName": "User Account",
        "email": "user@my-tenant.com",
        "type": "User"
      }
    }
  },
  "name": "64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "id": "/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleEligibilityScheduleRequests64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "type": "Microsoft.Authorization/RoleEligibilityScheduleRequests"
}

Aktualizowanie lub usuwanie istniejącego przypisania roli

Wykonaj następujące kroki, aby zaktualizować lub usunąć istniejące przypisanie roli.

1. Otwórz Microsoft Entra Privileged Identity Management.

2. Wybierz zasoby platformy Azure.

3. Wybierz typ zasobu , którym chcesz zarządzać. Rozpocznij od listy rozwijanej Grupy zarządzania lub listy rozwijanej Subskrypcje, a następnie wybierz Grupy zasobów lub Zasoby zgodnie z potrzebami. Wybierz przycisk Wybierz zasób, którym chcesz zarządzać, aby otworzyć jego stronę przeglądu.

   

4. W obszarze Zarządzanie wybierz pozycję Role , aby wyświetlić listę ról dla zasobów platformy Azure. Poniższy zrzut ekranu przedstawia role konta usługi Azure Storage. Wybierz rolę, którą chcesz zaktualizować lub usunąć.

   

5. Znajdź przydzieloną rolę na karcie Kwalifikujące się role lub Aktywne role.

   

6. Aby dodać lub zaktualizować warunek w celu uściślinia dostępu do zasobów platformy Azure, wybierz pozycję Dodaj lub Wyświetl/Edytuj w kolumnie Warunek dla przypisania roli.

7. Wybierz pozycję Dodaj wyrażenie lub Usuń , aby zaktualizować wyrażenie. Możesz również wybrać pozycję Dodaj warunek , aby dodać nowy warunek do roli.

   

   Aby uzyskać informacje na temat rozszerzania przypisania roli, zobacz Rozszerzanie lub odnawianie ról zasobów platformy Azure w usłudze Privileged Identity Management.

Następne kroki

• Konfigurowanie ustawień roli zasobów platformy Azure w usłudze Privileged Identity Management
• Przypisywanie ról usługi Microsoft Entra w usłudze Privileged Identity Management