Atribuir funções do Azure usando o portal do Azure

Para atribuir funções do Azure, você precisa ter:

• Permissões Microsoft.Authorization/roleAssignments/write, como Administrador de Controle de Acesso Baseado em Função ou Administrador de Acesso do Usuário

Ao atribuir funções, é necessário especificar um escopo. Escopo é o conjunto de recursos ao qual o acesso se aplica. No Azure, é possível especificar um escopo em quatro níveis de amplo até restrito: grupo de gerenciamento, assinatura, grupo de recursos e recurso. Para obter mais informações, veja Compreender o escopo.

1. Entre no portal do Azure.

2. Pesquise pelo escopo ao qual você deseja conceder acesso na caixa Pesquisa na parte superior. Por exemplo, pesquise por Grupos de gerenciamento, Assinaturas, Grupos de recursos ou por um recurso específico.

3. Clique no recurso específico desse escopo.

   O exemplo a seguir mostra um grupo de recursos.

   

O controle de acesso (IAM) é a página usada normalmente para atribuir funções para conceder acesso aos recursos do Azure. Isso também é conhecido como IAM (gerenciamento de identidade e de acesso) e aparece em vários locais no Portal do Azure.

1. Clique em IAM (Controle de Acesso).

   O exemplo a seguir mostra a página Controle de acesso (IAM) para um grupo de recursos.

   

2. Clique na guia Atribuições de função para ver todas as atribuições de função nesse escopo.

3. Clique em Adicionar>Adicionar atribuição de função.

   Se você não tiver permissões para atribuir funções, a opção Adicionar atribuição de função será desativada.

   

   A página Adicionar atribuição de função será aberta.

Siga estas etapas:

1. Na guia Função, selecione uma função que você deseja usar.

   Você pode pesquisar uma função por nome ou por descrição. Você também pode filtrar funções por tipo e categoria.

   

2. Se desejar atribuir uma função de administrador privilegiado, selecione a guia Funções de administrador privilegiado para selecionar a função.

   Para as melhores práticas ao usar atribuições de função de administrador com privilégios, consulte Melhores práticas para o RBAC do Azure.

   

3. Na coluna Detalhes, clique em Exibir para obter mais detalhes sobre uma função.

   

4. Clique em Avançar.

Siga estas etapas:

1. Na guia Membros, selecione Usuário, grupo ou entidade de serviço para atribuir a função selecionada a um ou mais usuários, grupos ou entidades de serviço (aplicativos) do Microsoft Entra.

   

2. Clique em Selecionar membros.

3. Localize e selecione os usuários, grupos ou entidades de serviço.

   Você pode digitar na caixa Selecionar para pesquisar o nome de exibição ou o endereço de email no diretório.

   

4. Clique em Selecionar para adicionar os usuários, grupos ou entidades de serviço à lista Membros.

5. Para atribuir a função selecionada a uma ou mais identidades gerenciadas, selecione Identidade gerenciada.

6. Clique em Selecionar membros.

7. No painel Selecionar identidades gerenciadas, selecione se o tipo é identidade gerenciada atribuída pelo usuário ou identidade gerenciada atribuída pelo sistema.

8. Encontre e selecione as identidades gerenciadas.

   Para identidades gerenciadas atribuídas pelo sistema, você pode selecionar identidades gerenciadas pela instância de serviço do Azure.

   

9. Clique em Selecionar para adicionar as identidades gerenciadas à lista Membros.

10. Na caixa Descrição, insira uma descrição opcional para esta atribuição de função.

    Posteriormente, você pode mostrar essa descrição na lista de atribuições de funções.

11. Clique em Avançar.

Se você selecionou uma função que dá suporte a condições, uma guia Condições será exibida e você terá a opção de adicionar uma condição à sua atribuição de função. Uma condição é uma verificação adicional que você pode adicionar opcionalmente à sua atribuição de função para fornecer um controle de acesso mais refinado.

A guia Condições terá uma aparência diferente dependendo da função selecionada.

Condição de delegação

Se você selecionou uma das seguintes funções privilegiadas, siga as etapas nesta seção.

• Proprietário
• Administrador de controle de acesso baseado em função
• Administrador de Acesso do Usuário

1. Na guia Condições em Que usuário pode fazer, selecione a opção Permitir que o usuário atribua apenas funções selecionadas a entidades de segurança selecionadas (menos privilégios).

   

2. Clique em Selecionar funções e entidades de segurança para adicionar uma condição que restringe as funções e as entidades de segurança às quais este usuário pode atribuir funções.

3. Siga as etapas em Delegar o gerenciamento da atribuição de função do Azure a outras pessoas com condições.

Condição de armazenamento

Se você selecionou uma das seguintes funções de armazenamento, siga as etapas nesta seção.

• Colaborador de dados de blob de armazenamento
• Proprietário de Dados do Blob de Armazenamento
• Leitor de Dados do Blob de Armazenamento
• Colaborador de dados da fila de armazenamento
• Processador de mensagens de dados da fila de armazenamento
• Remetente da mensagem de dados da fila de armazenamento
• Leitor de dados da fila de armazenamento

1. Clique em Adicionar condição se desejar refinar ainda mais as atribuições de função com base nos atributos de armazenamento.

   

2. Siga as etapas em Adicionar ou editar condições de atribuição de função do Azure.

Siga estas etapas:

1. Na guia Examinar + atribuir, examine as configurações de atribuição de função.

   

2. Clique em Examinar + atribuir para atribuir a função.

   Após alguns instantes, a entidade de segurança é atribuída a função no escopo selecionado.

   

3. Se você não vir a descrição da atribuição de função, clique em Editar colunas para adicionar a coluna Descrição.