Delegar o gerenciamento de atribuição de função do Azure a outras pessoas com condições
Como administrador, você pode receber várias solicitações para conceder acesso aos recursos do Azure que deseja delegar a outra pessoa. Você pode atribuir a um usuário as funções de Proprietário ou Administrador de Acesso de Usuário, mas essas são funções altamente privilegiadas. Este artigo descreve uma maneira mais segura de delegar o gerenciamento de atribuição de função a outros usuários em sua organização, mas adicionar restrições para essas atribuições de função. Por exemplo, você pode restringir as funções que podem ser atribuídas ou restringir as entidades às quais as funções podem ser atribuídas.
O diagrama a seguir mostra como um delegado com condições só pode atribuir as funções de Colaborador de Backup ou Leitor de Backup somente aos grupos de Marketing ou Vendas.
Pré-requisitos
Para atribuir funções do Azure, você precisa ter:
Microsoft.Authorization/roleAssignments/write
permissões, como Administrador de Controle de Acesso Baseado em Função ou Administrador de Acesso de Usuário
Etapa 1: Determinar as permissões de que o delegado precisa
Para ajudar a determinar as permissões de que o delegado precisa, responda às seguintes perguntas:
- Quais funções o delegado pode atribuir?
- A quais tipos de entidades de segurança o delegado pode atribuir funções?
- A quais entidades de segurança o delegado pode atribuir funções?
- O delegado pode remover as atribuições de função?
Depois de saber as permissões que o delegado precisa, use as etapas a seguir para adicionar uma condição à atribuição de função do representante. Para obter condições de exemplo, consulte Exemplos para delegar o gerenciamento de atribuição de função do Azure com condições.
Etapa 2: Iniciar uma nova atribuição de função
Entre no portal do Azure.
Siga as etapas para abrir a página Adicionar atribuição de função.
Na guia Funções, selecione a guia Funções de administrador privilegiado.
Selecione a função Administrador de Controle de Acesso Baseado em Função .
A guia Condições é exibida.
Você pode selecionar qualquer função que inclua as ações ou
Microsoft.Authorization/roleAssignments/delete
, como Administrador de Acesso de Usuário, mas o Administrador de Controle deMicrosoft.Authorization/roleAssignments/write
Acesso Baseado em Função tem menos permissões.Na guia Membros, localize e selecione o delegado.
Etapa 3: Adicionar uma condição
Há duas maneiras de se adicionar uma condição. Você pode usar um modelo de condição ou um editor de condição avançado.
Na guia Condições em O que o usuário pode fazer, selecione a opção Permitir que o usuário atribua apenas funções selecionadas a entidades selecionadas (menos privilégios).
Selecione Selecionar funções e entidades.
A página Adicionar condição de atribuição de função aparece com uma lista de modelos de condição.
Selecione um modelo de condição e, em seguida, selecione Configurar.
Modelo de condição Selecione este modelo para Restringir funções Permitir que o usuário atribua apenas funções selecionadas Restringir funções e tipos principais Permitir que o usuário atribua apenas funções selecionadas
Permitir que o usuário atribua essas funções somente aos tipos de entidade selecionados (usuários, grupos ou entidades de serviço)Restringir funções e entidades Permitir que o usuário atribua apenas funções selecionadas
Permitir que o usuário atribua essas funções somente às entidades selecionadasNo painel de configuração, adicione as configurações necessárias.
Selecione Salvar para adicionar a condição à atribuição de função.
Etapa 4: Atribuir função com condição para delegar
Na guia Examinar + atribuir, examine as configurações de atribuição de função.
Selecione Examinar e atribuir para atribuir a função.
Após alguns instantes, o delegado recebe a função Administrador de Controle de Acesso Baseado em Função com suas condições de atribuição de função.
Etapa 5: Delegar atribui funções com condições
O delegado agora pode seguir as etapas para atribuir funções.
Quando o delegado tenta atribuir funções no portal do Azure, a lista de funções será filtrada para mostrar apenas as funções que eles podem atribuir.
Se houver uma condição para entidades de segurança, a lista de entidades disponíveis para atribuição também será filtrada.
Se o delegado tentar atribuir uma função que esteja fora das condições usando uma API, a atribuição de função falhará com um erro. Para obter mais informações, consulte Sintoma - Não é possível atribuir uma função.