Editar

Compartilhar via


Atribuir a um usuário a função de administrador de uma assinatura do Azure, com condições

Para tornar um usuário o administrador de uma assinatura do Azure, atribua a ele a função de Proprietário no escopo da assinatura. A função Proprietário permite ao usuário acesso completo a todos os recursos na assinatura, inclusive a permissão para conceder acesso a outras pessoas. Como a função Proprietário é uma função altamente privilegiada, a Microsoft recomenda que você adicione uma condição para restringir a atribuição da função. Por exemplo, você pode permitir que um usuário atribua a função de Colaborador de Máquina Virtual apenas a entidades de serviço.

Este artigo descreve como atribuir a um usuário a função de administrador de uma assinatura do Azure, com condições. Essas etapas são as mesmas que as de qualquer outra atribuição de função.

Pré-requisitos

Para atribuir funções do Azure, você precisa ter:

Etapa 1: abrir a assinatura

Siga estas etapas:

  1. Entre no portal do Azure.

  2. Na caixa Pesquisar na caixa superior, pesquise assinaturas.

  3. Clique na assinatura que você quer usar.

    A seguir, é mostrado um exemplo da assinatura.

    Captura de tela da Visão geral de assinaturas

Etapa 2: Abrir a página Adicionar atribuição de função

O controle de acesso (IAM) é a página usada normalmente para atribuir funções para conceder acesso aos recursos do Azure. Isso também é conhecido como IAM (gerenciamento de identidade e de acesso) e aparece em vários locais no Portal do Azure.

  1. Clique em IAM (Controle de Acesso).

    O exemplo a seguir mostra um exemplo de página Controle de Acesso (IAM) para uma assinatura.

    Captura de tela da página Controle de Acesso (IAM) de uma assinatura.

  2. Clique na guia Atribuições de função para ver todas as atribuições de função nesse escopo.

  3. Clique em Adicionar>Adicionar atribuição de função.

    Se você não tiver permissões para atribuir funções, a opção Adicionar atribuição de função será desativada.

    Captura de tela do menu Adicionar > Adicionar atribuição de função.

    A página Adicionar atribuição de função será aberta.

Etapa 3: selecionar a função Proprietário

A função Proprietário concede acesso completo para gerenciar todos os recursos, incluindo a capacidade de atribuir funções no RBAC do Azure. Você deve designar no máximo três proprietários de assinaturas para reduzir o potencial de violação por um proprietário comprometido.

  1. Na guia Função, selecione a guia Funções de administrador com privilégios.

    Captura de tela da página

  2. Selecione a função Proprietário.

  3. Clique em Avançar.

Etapa 4: selecionar quem precisa de acesso

Siga estas etapas:

  1. Na guia Membros, selecione Usuário, grupo ou entidade de serviço.

    Captura de tela da página Adicionar atribuição de função com a guia Adicionar membros.

  2. Clique em Selecionar membros.

  3. Localize e selecione o usuário.

    Você pode digitar na caixa Selecionar para pesquisar o nome de exibição ou o endereço de email no diretório.

    Captura de tela do painel Selecionar membros.

  4. Clique em Salvar para adicionar o usuário à lista Membros.

  5. Na caixa Descrição, insira uma descrição opcional para esta atribuição de função.

    Posteriormente, você pode mostrar essa descrição na lista de atribuições de funções.

  6. Clique em Avançar.

Etapa 5: Adicionar uma condição

Como a função Proprietário é uma função altamente privilegiada, a Microsoft recomenda que você adicione uma condição para restringir a atribuição da função.

  1. Na guia Condições em Que usuário pode fazer, selecione a opção Permitir que o usuário atribua apenas funções selecionadas a entidades de segurança selecionadas (menos privilégios).

    Captura de tela de

  2. Selecione Selecionar funções e entidades de segurança.

    A página "Adicionar condição de atribuição de função" aparece com uma lista de modelos de condições.

    Captura de tela de

  3. Selecione um modelo de condições e, a seguir, selecione Configurar.

    Modelo de condições Selecione esse modelo para
    Restringir funções Permitir que o usuário atribua apenas as funções que você selecionar
    Restringir funções e tipos principais Permitir que o usuário atribua apenas as funções que você selecionar
    Permitir que o usuário atribua essas funções apenas aos tipos de entidade de segurança que você selecionar (usuários, grupos ou entidades de serviço)
    Restringir funções e princípios Permitir que o usuário atribua apenas as funções que você selecionar
    Permitir que o usuário atribua apenas essas funções às entidades de segurança que você selecionar

    Dica

    Se quiser permitir a maioria das atribuições de função, mas não permitir algumas atribuições de função específicas, você poderá usar o editor de condições avançado e adicionar uma condição manualmente. Para obter um exemplo, confira Exemplo: permitir a maioria das funções, mas não permitir que outros atribuam funções.

  4. No painel Configurar, adicione as configurações necessárias.

    Captura de tela do painel Configurar para uma condição com uma seleção adicionada.

  5. Selecione Salvar para adicionar a condição à atribuição de função.

Etapa 6: atribuir função

Siga estas etapas:

  1. Na guia Examinar + atribuir, examine as configurações de atribuição de função.

  2. Clique em Examinar + atribuir para atribuir a função.

    Após alguns instantes, é atribuída ao usuário a função Proprietário da assinatura.

    Captura de tela da lista de atribuição de função após a atribuição de função.