Atribuir um usuário como administrador de uma assinatura do Azure com condições

Para tornar um usuário um administrador de uma assinatura do Azure, atribua-lhe a função de Proprietário no escopo da assinatura. A função Proprietário dá ao usuário acesso total a todos os recursos da assinatura, incluindo a permissão para conceder acesso a outras pessoas. Como a função Proprietário é uma função altamente privilegiada, a Microsoft recomenda que você adicione uma condição para restringir a atribuição de função. Por exemplo, você pode permitir que um usuário atribua apenas a função de Colaborador de Máquina Virtual a entidades de serviço.

Este artigo descreve como atribuir um usuário como administrador de uma assinatura do Azure com condições. Estes passos são iguais a qualquer outra atribuição de função.

Pré-requisitos

Para atribuir funções do Azure, tem de ter:

• Microsoft.Authorization/roleAssignments/write permissões, como Administrador de Controle de Acesso Baseado em Função ou Administrador de Acesso de Usuário

Passo 1: Abra a subscrição

Siga estes passos:

1. Inicie sessão no portal do Azure.

2. Na caixa Pesquisar, na parte superior, procure subscrições.

3. Clique na subscrição que quer utilizar.

   Segue-se uma subscrição de exemplo.

   

Etapa 2: abrir a página Adicionar atribuição de função

O Controlo de acesso (IAM) é a página que normalmente utiliza para atribuir funções para conceder acesso aos recursos do Azure. É também conhecida como gestão de identidade e acesso (IAM) e surge em vários locais do portal do Azure.

1. Clique em Controlo de acesso (IAM).

   A seguir mostra um exemplo da página Controle de acesso (IAM) para uma assinatura.

   

2. Clique na guia Atribuições de função para exibir as atribuições de função neste escopo.

3. Clique em Adicionar>atribuição de função.

   Se não tiver permissões para atribuir funções, a opção Adicionar atribuição de função estará desativada.

   

   É aberta a página Adicionar atribuição de função.

Etapa 3: Selecione a função Proprietário

A função Proprietário concede acesso total para gerenciar todos os recursos, incluindo a capacidade de atribuir funções no RBAC do Azure. Deve ter um máximo de três proprietários de subscrições para reduzir o potencial de violação por parte de um proprietário comprometido.

1. Na guia Função, selecione a guia Funções de administrador privilegiadas.

   

2. Selecione a função Proprietário .

3. Clique em Next.

Etapa 4: Selecione quem precisa de acesso

Siga estes passos:

1. Na guia Membros, selecione Usuário, grupo ou entidade de serviço.

   

2. Clique em Selecionar membros.

3. Localize e selecione o utilizador.

   Pode escrever na caixa Selecionar para procurar no diretório o nome a apresentar ou o endereço de e-mail.

   

4. Clique em Salvar para adicionar o usuário à lista Membros.

5. Na caixa Descrição, introduza uma descrição opcional para esta atribuição de função.

   Posteriormente, pode mostrar esta descrição na lista de atribuições de funções.

6. Clique em Next.

Etapa 5: Adicionar uma condição

Como a função Proprietário é uma função altamente privilegiada, a Microsoft recomenda que você adicione uma condição para restringir a atribuição de função.

1. Na guia Condições, em O que o usuário pode fazer, selecione a opção Permitir que o usuário atribua apenas funções selecionadas a entidades selecionadas (menos privilégios).

   

2. Selecione Selecionar funções e entidades de segurança.

   A página Adicionar condição de atribuição de função é exibida com uma lista de modelos de condição.

   

3. Selecione um modelo de condição e, em seguida, selecione Configurar.

   Modelo de condição	Selecione este modelo para
   Restringir funções	Permitir que o usuário atribua apenas funções selecionadas
   Restringir funções e tipos principais	Permitir que o usuário atribua apenas funções selecionadas Permitir que o usuário atribua essas funções apenas aos tipos principais selecionados (usuários, grupos ou entidades de serviço)
   Restringir funções e princípios	Permitir que o usuário atribua apenas funções selecionadas Permitir que o usuário atribua essas funções apenas às entidades selecionadas

   Gorjeta

   Se você quiser permitir a maioria das atribuições de função, mas não permitir atribuições de função específicas, poderá usar o editor de condições avançado e adicionar manualmente uma condição. Para obter um exemplo, consulte Exemplo: permitir a maioria das funções, mas não permitir que outras pessoas atribuam funções.

4. No painel de configuração, adicione as configurações necessárias.

   

5. Selecione Salvar para adicionar a condição à atribuição de função.

Etapa 6: Atribuir função

Siga estes passos:

1. No separador Rever + atribuir, reveja as definições da atribuição de função.

2. Clique em Rever + atribuir para atribuir a função.

   Após alguns instantes, é atribuída ao utilizador a função Proprietário para a subscrição.

   

Conteúdos relacionados

• Atribuir funções do Azure com o portal do Azure
• Organize your resources with Azure management groups (Organizar os recursos com os grupos de gestão do Azure)
• Alerta sobre atribuições de função privilegiadas do Azure

Para tornar um usuário um administrador de uma assinatura do Azure, atribua-lhe a função de Proprietário no escopo da assinatura. A função Proprietário dá ao usuário acesso total a todos os recursos da assinatura, incluindo a permissão para conceder acesso a outras pessoas. Como a função Proprietário é uma função altamente privilegiada, a Microsoft recomenda que você adicione uma condição para restringir a atribuição de função. Por exemplo, você pode permitir que um usuário atribua apenas a função de Colaborador de Máquina Virtual a entidades de serviço.

Este artigo descreve como atribuir um usuário como administrador de uma assinatura do Azure com condições. Estes passos são iguais a qualquer outra atribuição de função.

Para atribuir funções do Azure, tem de ter:

• Microsoft.Authorization/roleAssignments/write permissões, como Administrador de Controle de Acesso Baseado em Função ou Administrador de Acesso de Usuário

Siga estes passos:

1. Inicie sessão no portal do Azure.

2. Na caixa Pesquisar, na parte superior, procure subscrições.

3. Clique na subscrição que quer utilizar.

   Segue-se uma subscrição de exemplo.

   

O Controlo de acesso (IAM) é a página que normalmente utiliza para atribuir funções para conceder acesso aos recursos do Azure. É também conhecida como gestão de identidade e acesso (IAM) e surge em vários locais do portal do Azure.

1. Clique em Controlo de acesso (IAM).

   A seguir mostra um exemplo da página Controle de acesso (IAM) para uma assinatura.

   

2. Clique na guia Atribuições de função para exibir as atribuições de função neste escopo.

3. Clique em Adicionar>atribuição de função.

   Se não tiver permissões para atribuir funções, a opção Adicionar atribuição de função estará desativada.

   

   É aberta a página Adicionar atribuição de função.

A função Proprietário concede acesso total para gerenciar todos os recursos, incluindo a capacidade de atribuir funções no RBAC do Azure. Deve ter um máximo de três proprietários de subscrições para reduzir o potencial de violação por parte de um proprietário comprometido.

1. Na guia Função, selecione a guia Funções de administrador privilegiadas.

   

2. Selecione a função Proprietário .

3. Clique em Next.

Siga estes passos:

1. Na guia Membros, selecione Usuário, grupo ou entidade de serviço.

   

2. Clique em Selecionar membros.

3. Localize e selecione o utilizador.

   Pode escrever na caixa Selecionar para procurar no diretório o nome a apresentar ou o endereço de e-mail.

   

4. Clique em Salvar para adicionar o usuário à lista Membros.

5. Na caixa Descrição, introduza uma descrição opcional para esta atribuição de função.

   Posteriormente, pode mostrar esta descrição na lista de atribuições de funções.

6. Clique em Next.

Como a função Proprietário é uma função altamente privilegiada, a Microsoft recomenda que você adicione uma condição para restringir a atribuição de função.

1. Na guia Condições, em O que o usuário pode fazer, selecione a opção Permitir que o usuário atribua apenas funções selecionadas a entidades selecionadas (menos privilégios).

   

2. Selecione Selecionar funções e entidades de segurança.

   A página Adicionar condição de atribuição de função é exibida com uma lista de modelos de condição.

   

3. Selecione um modelo de condição e, em seguida, selecione Configurar.

   Modelo de condição	Selecione este modelo para
   Restringir funções	Permitir que o usuário atribua apenas funções selecionadas
   Restringir funções e tipos principais	Permitir que o usuário atribua apenas funções selecionadas Permitir que o usuário atribua essas funções apenas aos tipos principais selecionados (usuários, grupos ou entidades de serviço)
   Restringir funções e princípios	Permitir que o usuário atribua apenas funções selecionadas Permitir que o usuário atribua essas funções apenas às entidades selecionadas

   Gorjeta

   Se você quiser permitir a maioria das atribuições de função, mas não permitir atribuições de função específicas, poderá usar o editor de condições avançado e adicionar manualmente uma condição. Para obter um exemplo, consulte Exemplo: permitir a maioria das funções, mas não permitir que outras pessoas atribuam funções.

4. No painel de configuração, adicione as configurações necessárias.

   

5. Selecione Salvar para adicionar a condição à atribuição de função.

Siga estes passos:

1. No separador Rever + atribuir, reveja as definições da atribuição de função.

2. Clique em Rever + atribuir para atribuir a função.

   Após alguns instantes, é atribuída ao utilizador a função Proprietário para a subscrição.