Partilhar via


Gerir o acesso aos recursos no Azure Stack Hub com o controlo de acesso baseado em funções

O Azure Stack Hub suporta o controlo de acesso baseado em funções (RBAC), o mesmo modelo de segurança para a gestão de acesso que o Microsoft Azure utiliza. Pode utilizar o RBAC para gerir o acesso de utilizadores, grupos ou aplicações a subscrições, recursos e serviços.

Noções básicas da gestão de acessos

O controlo de acesso baseado em funções (RBAC) fornece um controlo de acesso detalhado que pode utilizar para proteger o seu ambiente. Dá aos utilizadores as permissões exatas de que precisam ao atribuir uma função RBAC a um determinado âmbito. O âmbito da atribuição de função pode ser uma subscrição, um grupo de recursos ou um único recurso. Para obter informações mais detalhadas sobre a gestão de acessos, veja a Controlo de Acesso Baseada em Funções no artigo portal do Azure.

Nota

Quando o Azure Stack Hub é implementado com Serviços de Federação do Active Directory (AD FS) como fornecedor de identidade, apenas são suportadas Grupos Universais para cenários RBAC.

Funções incorporadas

O Azure Stack Hub tem três funções básicas que pode aplicar a todos os tipos de recursos:

  • Proprietário: concede acesso total para gerir todos os recursos, incluindo a capacidade de atribuir funções no RBAC do Azure Stack.
  • Contribuidor: concede acesso total para gerir todos os recursos, mas não lhe permite atribuir funções no RBAC do Azure Stack.
  • Leitor: pode ver tudo, mas não pode fazer alterações.

Hierarquia e herança de recursos

O Azure Stack Hub tem a seguinte hierarquia de recursos:

  • Cada subscrição pertence a um diretório.
  • Cada grupo de recursos pertence a uma subscrição.
  • Cada recurso pertence a um grupo de recursos.

O acesso concedido num âmbito principal é herdado em âmbitos subordinados. Por exemplo:

  • Atribui a função Leitor a um grupo de Microsoft Entra no âmbito da subscrição. Os membros desse grupo podem ver todos os grupos de recursos e recursos na subscrição.
  • Atribui a função Contribuidor a uma aplicação no âmbito do grupo de recursos. A aplicação pode gerir recursos de todos os tipos nesse grupo de recursos, mas não de outros grupos de recursos na subscrição.

Atribuir funções

Pode atribuir mais do que uma função a um utilizador e cada função pode ser associada a um âmbito diferente. Por exemplo:

  • Atribui a função TestUser-A ao Leitor à Subscrição-1.
  • Atribui a função TestUser-A proprietário a TestVM-1.

O artigo Atribuições de funções do Azure fornece informações detalhadas sobre a visualização, atribuição e eliminação de funções.

Definir permissões de acesso para um utilizador

Os passos seguintes descrevem como configurar permissões para um utilizador.

  1. Inicie sessão com uma conta que tenha permissões de proprietário para o recurso que pretende gerir.

  2. Na navegação à esquerda, selecione Grupos de recursos.

  3. Escolha o nome do grupo de recursos no qual pretende definir permissões.

  4. No painel de navegação do grupo de recursos, selecione Controlo de acesso (IAM).
    A vista Atribuições de Funções lista os itens que têm acesso ao grupo de recursos. Pode filtrar e agrupar os resultados.

  5. Na barra de menus Controlo de acesso , selecione Adicionar.

  6. No painel Adicionar permissões :

    • Escolha a função que pretende atribuir na lista pendente Função .
    • Escolha o recurso que pretende atribuir na lista pendente Atribuir acesso a .
    • Selecione o utilizador, grupo ou aplicação no diretório ao qual pretende conceder acesso. Pode procurar o diretório com os nomes a apresentar, endereços de correio eletrónico e identificadores de objetos.
  7. Selecione Guardar.

Passos seguintes

Criar principais de serviço