Compartilhar via


Delegar o gerenciamento de atribuição de função do Azure a outras pessoas com condições

Os administradores recebem diversas solicitações para conceder acesso aos recursos do Azure a fim de delegá-los a outra pessoa. Seria possível atribuir a um usuário as funções de Proprietário ou Administrador de acesso de usuário, mas essas são funções com muitos privilégios. Este artigo descreve uma forma mais segura de delegar o gerenciamento de atribuição de função a outros usuários em sua organização com a adição de restrições para essas atribuições. Por exemplo, é possível restringir as funções que podem ser atribuídas ou restringir as entidades de segurança às quais as funções podem ser atribuídas.

O diagrama a seguir mostra como um delegado com condições só pode atribuir as funções de Colaborador de Backup ou Leitor de Backup aos grupos de Marketing ou Vendas.

Diagrama que mostra um administrador delegando o gerenciamento de atribuição de função com condições.

Pré-requisitos

Para atribuir funções do Azure, você precisa ter:

Etapa 1: determinar as permissões que o delegado precisa

Para determinar as permissões que o delegado precisa, responda às seguintes perguntas:

  • Quais funções o delegado pode atribuir?
  • A quais tipos de entidades de segurança o delegado pode atribuir funções?
  • A quais entidades de segurança o delegado pode atribuir funções?
  • O delegado pode remover as atribuições de função?

Depois de saber as permissões que o delegado precisa, siga as etapas a seguir para adicionar uma condição à atribuição de função do delegado. Para condições de exemplo, confira Exemplos para delegar o gerenciamento de atribuição de função do Azure com condições.

Etapa 2: iniciar uma nova atribuição de função

  1. Entre no portal do Azure.

  2. Siga as etapas para abrir a página “Adicionar atribuição de função”.

  3. Na guia Funções, selecione a guia Funções de administrador com privilégios.

  4. Selecione a função Administrador de controle de acesso baseado em função.

    A guia Condições é exibida.

    É possível selecionar qualquer função que inclua as ações Microsoft.Authorization/roleAssignments/write ou Microsoft.Authorization/roleAssignments/delete, como Administrador de acesso de usuário, mas o Administrador de controle de acesso baseado em função tem menos permissões.

  5. Na guia Membros, encontre e selecione o delegado.

Etapa 3: adicionar uma condição

Há duas maneiras de se adicionar uma condição. É possível usar um modelo de condição ou um editor de condições avançado.

  1. Na guia Condições em Que usuário pode fazer, selecione a opção Permitir que o usuário atribua apenas funções selecionadas a entidades de segurança selecionadas (menos privilégios).

    Captura de tela de

  2. Selecione Selecionar funções e entidades de segurança.

    A página "Adicionar condição de atribuição de função" aparece com uma lista de modelos de condições.

    Captura de tela de

  3. Selecione um modelo de condições e, a seguir, selecione Configurar.

    Modelo de condições Selecione esse modelo para
    Restringir funções Permitir que o usuário atribua apenas as funções que você selecionar
    Restringir funções e tipos principais Permitir que o usuário atribua apenas as funções que você selecionar
    Permitir que o usuário atribua essas funções apenas aos tipos de entidade de segurança que você selecionar (usuários, grupos ou entidades de serviço)
    Restringir funções e princípios Permitir que o usuário atribua apenas as funções que você selecionar
    Permitir que o usuário atribua apenas essas funções às entidades de segurança que você selecionar
    Permitir todas as funções, exceto as específicas Permitir que usuários atribuam todas as funções, exceto as selecionadas
  4. No painel Configurar, adicione as configurações necessárias.

    Captura de tela do painel Configurar para uma condição com uma seleção adicionada.

  5. Selecione Salvar para adicionar a condição à atribuição de função.

Etapa 4: atribuir função com condição ao delegado

  1. Na guia Examinar + atribuir, examine as configurações de atribuição de função.

  2. Selecione Examinar e atribuir para atribuir a função.

    Após alguns momentos, o delegado recebe a função de Administrador de Controle de Acesso Baseado em Função com suas condições de atribuição de função.

Etapa 5: o delegado atribui funções com condições

  • O delegado agora pode seguir as etapas para atribuir funções.

    Diagrama de atribuições de função restritas a funções e grupos específicos.

    Quando o delegado tentar atribuir funções no portal do Azure, a lista de funções será filtrada para mostrar somente aquelas que podem ser atribuídas.

    Captura de tela de atribuições de função restritas a funções específicas.

    Se houver uma condição para as entidades de segurança, a lista de entidades de segurança disponíveis para atribuição também será filtrada.

    Captura de tela de atribuições de função restritas a grupos específicos.

    Se o delegado tentar atribuir uma função que esteja fora das condições usando uma API, a atribuição de função falhará com um erro. Para saber mais, confira Sintoma – Não é possível atribuir uma função.

Editar uma condição

Há duas maneiras de editar uma condição. É possível usar o modelo de condição ou o editor de condições.

  1. No portal do Azure, abra a página Controle de acesso (IAM) da atribuição de função que tem uma condição que você deseja exibir, editar ou excluir.

  2. Selecione a guia Atribuições de função e encontre a atribuição de função.

  3. Na coluna Condição, selecione Exibir/Editar.

    Se o link Exibir/Editar não for exibido, verifique se você está no mesmo escopo que a atribuição de função.

    Captura de tela da lista de atribuição de função com o link para Exibir/Editar a condição.

    A página Adicionar condição de atribuição de função é exibida. Ela será diferente de acordo com a correspondência ou não da condição com um modelo atual.

  4. Se a condição corresponder a um modelo atual, selecione Configurar para editá-la.

    Captura de tela de modelos de condição com a opção de modelo correspondente habilitada.

  5. Se a condição não corresponder a um modelo atual, utilize o editor de condições avançado para editá-la.

    Por exemplo, para editar uma condição, role para baixo até a seção “Compilar expressão” e atualize os atributos, o operador ou os valores.

    Captura de tela do editor de condições que mostra opções para editar a compilação da expressão.

    Para editar a condição diretamente, selecione o tipo de editor Código e edite o código da condição.

    Captura de tela do editor de condições que mostra o tipo de editor “Código”.

  6. Ao final, clique em Salvar para atualizar a condição.

Próximas etapas