Compartilhar via


Gerenciar o acesso aos recursos no Azure Stack Hub com controle de acesso baseado em função

O Azure Stack Hub dá suporte ao RBAC (controle de acesso baseado em função), o mesmo modelo de segurança para o gerenciamento de acesso usado pelo Microsoft Azure. Você pode usar o RBAC para gerenciar o acesso de usuário, grupo ou aplicativo a assinaturas, recursos e serviços.

Noções básicas de gerenciamento de acesso

O RBAC (controle de acesso baseado em função) fornece controle de acesso refinado que você pode usar para proteger seu ambiente. Você concede aos usuários as permissões exatas necessárias atribuindo uma função RBAC em um determinado escopo. O escopo da atribuição de função pode ser uma assinatura, um grupo de recursos ou um único recurso. Para obter informações mais detalhadas sobre o gerenciamento de acesso, consulte o Controle de Acesso baseado em função no artigo portal do Azure.

Observação

Quando o Azure Stack Hub é implantado usando Serviços de Federação do Active Directory (AD FS) como provedor de identidade, somente Grupos Universais têm suporte para cenários RBAC.

Funções internas

O Azure Stack Hub tem três funções básicas que você pode aplicar a todos os tipos de recursos:

  • Proprietário: concede acesso completo para gerenciar todos os recursos, incluindo a capacidade de atribuir funções no RBAC do Azure Stack.
  • Colaborador: concede acesso completo para gerenciar todos os recursos, mas não permite atribuir funções no RBAC do Azure Stack.
  • Leitor: pode exibir tudo, mas não pode fazer nenhuma alteração.

Herança e hierarquia de recursos

O Azure Stack Hub tem a seguinte hierarquia de recursos:

  • Cada assinatura pertence a um diretório.
  • Cada grupo de recursos pertence a uma assinatura.
  • Cada recurso pertence a um grupo de recursos.

O acesso que você concede em um escopo pai é herdado em escopos filho. Por exemplo:

  • Atribua a função Leitor a um grupo Microsoft Entra no escopo da assinatura. Os membros desse grupo podem exibir cada recurso e grupo de recursos na assinatura.
  • Atribua a função Colaborador a um aplicativo no escopo do grupo de recursos. O aplicativo pode gerenciar recursos de todos os tipos nesse grupo de recursos, mas não outros grupos de recursos na assinatura.

Atribuição de funções

Você pode atribuir mais de uma função a um usuário e cada função pode ser associada a um escopo diferente. Por exemplo:

  • Atribua TestUser-A a função Leitor à Assinatura-1.
  • Atribua TestUser-A a função Proprietário a TestVM-1.

O artigo Atribuições de função do Azure fornece informações detalhadas sobre como exibir, atribuir e excluir funções.

Definir permissões de acesso para um usuário

As etapas a seguir descrevem como configurar permissões para um usuário.

  1. Entre com uma conta que tenha permissões de proprietário ao recurso que deseja gerenciar.

  2. No painel de navegação esquerdo, selecione Grupos de recursos.

  3. Escolha o nome do grupo de recursos no qual você deseja definir permissões.

  4. No painel de navegação do grupo de recursos, escolha Controle de acesso (IAM).
    A exibição Atribuições de Função lista os itens que têm acesso ao grupo de recursos. Você pode filtrar e agrupar os resultados.

  5. Na barra de menus Controle de acesso , escolha Adicionar.

  6. No painel Adicionar permissões :

    • Escolha a função que você deseja atribuir na lista suspensa Função .
    • Escolha o recurso que você deseja atribuir na lista suspensa Atribuir acesso a .
    • Selecione o usuário, grupo ou aplicativo em seu diretório ao qual você deseja conceder acesso. Você pode pesquisar o diretório por nomes para exibição, endereços de email e identificadores de objeto.
  7. Clique em Salvar.

Próximas etapas

Criar entidades de serviço