Gerir o acesso aos recursos no Azure Stack Hub com controlo de acesso baseado em funções
O Azure Stack Hub suporta o controlo de acesso baseado em funções (RBAC), o mesmo modelo de segurança para a gestão de acesso que o Microsoft Azure utiliza. Pode utilizar o RBAC para gerir o acesso de utilizador, grupo ou aplicação a subscrições, recursos e serviços.
Noções básicas da gestão de acessos
O controlo de acesso baseado em funções (RBAC) fornece um controlo de acesso detalhado que pode utilizar para proteger o seu ambiente. Dá aos utilizadores as permissões exatas de que precisam ao atribuir uma função RBAC a um determinado âmbito. O âmbito da atribuição de função pode ser uma subscrição, um grupo de recursos ou um único recurso. Para obter informações mais detalhadas sobre a gestão de acessos, consulte o artigo Controlo de Acesso Baseado em Funções no portal do Azure.
Nota
Quando o Azure Stack Hub é implementado com Serviços de Federação do Active Directory (AD FS) como fornecedor de identidade, apenas os Grupos Universais são suportados para cenários RBAC.
Funções incorporadas
O Azure Stack Hub tem três funções básicas que pode aplicar a todos os tipos de recursos:
- Proprietário: pode gerir tudo, incluindo o acesso aos recursos.
- Contribuidor: pode gerir tudo, exceto o acesso aos recursos.
- Leitor: pode ver tudo, mas não pode fazer alterações.
Hierarquia de recursos e herança
O Azure Stack Hub tem a seguinte hierarquia de recursos:
- Cada subscrição pertence a um diretório.
- Cada grupo de recursos pertence a uma subscrição.
- Cada recurso pertence a um grupo de recursos.
O acesso concedido num âmbito principal é herdado em âmbitos subordinados. Por exemplo:
- Atribui a função Leitor a um grupo de Microsoft Entra no âmbito da subscrição. Os membros desse grupo podem ver todos os recursos e grupos de recursos na subscrição.
- Atribui a função Contribuidor a uma aplicação no âmbito do grupo de recursos. A aplicação pode gerir recursos de todos os tipos nesse grupo de recursos, mas não de outros grupos de recursos na subscrição.
Atribuir funções
Pode atribuir mais do que uma função a um utilizador e cada função pode ser associada a um âmbito diferente. Por exemplo:
- Atribui a função TestUser-A de Leitor à Subscrição-1.
- Atribui a função TestUser-A proprietário a TestVM-1.
O artigo Atribuições de funções do Azure fornece informações detalhadas sobre a visualização, atribuição e eliminação de funções.
Definir permissões de acesso para um utilizador
Os passos seguintes descrevem como configurar permissões para um utilizador.
Inicie sessão com uma conta que tenha permissões de proprietário para o recurso que pretende gerir.
Na navegação à esquerda, selecione Grupos de recursos.
Escolha o nome do grupo de recursos no qual pretende definir permissões.
No painel de navegação do grupo de recursos, selecione Controlo de acesso (IAM).
A vista Atribuições de Funções lista os itens que têm acesso ao grupo de recursos. Pode filtrar e agrupar os resultados.Na barra de menus Controlo de acesso , selecione Adicionar.
No painel Adicionar permissões :
- Escolha a função que pretende atribuir na lista pendente Função .
- Selecione o recurso que pretende atribuir a partir da lista pendente Atribuir acesso a .
- Selecione o utilizador, grupo ou aplicação no diretório ao qual pretende conceder acesso. Pode procurar o diretório com os nomes a apresentar, endereços de correio eletrónico e identificadores de objetos.
Selecione Guardar.
Passos seguintes
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários