Делегирование управления доступом Azure другим пользователям

В Службе управления доступом на основе ролей Azure (Azure RBAC) для предоставления доступа к ресурсам Azure вы назначаете роли Azure. Например, если пользователю необходимо создать веб-сайты в подписке и управлять ими, назначьте роль участника веб-сайта.

Назначение ролей Azure для предоставления доступа к ресурсам Azure является обычной задачей. Администратор может получить несколько запросов на предоставление доступа, которым вы хотите делегировать другому пользователю. Однако вы хотите убедиться, что делегат имеет только разрешения, необходимые им для выполнения своей работы. В этой статье описывается более безопасный способ делегирования управления назначениями ролей другим пользователям в организации.

Почему делегирование управления назначениями ролей?

Ниже приведены некоторые причины, по которым может потребоваться делегировать управление назначениями ролей другим пользователям:

• Вы получаете несколько запросов на назначение ролей в организации.
• Пользователи блокируют ожидание назначения ролей, необходимых им.
• Пользователи в соответствующих отделах, командах или проектах имеют больше знаний о том, кто нуждается в доступе.
• У пользователей есть разрешения на создание ресурсов Azure, но для полного использования этого ресурса требуется дополнительное назначение ролей. Например:
  • Пользователи с разрешением на создание виртуальных машин не могут немедленно войти в виртуальную машину без роли входа пользователя виртуальной машины Администратор istrator или имени входа пользователя виртуальной машины. Вместо отслеживания администратора, чтобы назначить им роль входа, эффективнее, если пользователь может назначить роль входа для себя.
  • Разработчик имеет разрешения на создание кластера Служба Azure Kubernetes (AKS) и Реестр контейнеров Azure (ACR), но необходимо назначить роль AcrPull управляемому удостоверению, чтобы он смог извлечь изображения из ACR. Вместо отслеживания администратора, чтобы назначить роль AcrPull, эффективнее, если разработчик может назначить роль самостоятельно.

Как в настоящее время можно делегировать управление назначениями ролей

Роли владельца и доступа пользователей Администратор istrator — это встроенные роли, позволяющие пользователям создавать назначения ролей. Члены этих ролей могут решить, кто может иметь разрешения на запись, чтение и удаление для любого ресурса в подписке. Чтобы делегировать управление назначениями ролей другому пользователю, можно назначить роль владельца или доступа пользователей Администратор istrator пользователю.

На следующей схеме показано, как Алиса может делегировать обязанности по назначению ролей Даре. Инструкции см. в статье "Назначение пользователя в качестве администратора подписки Azure".

1. Алиса назначает роль пользователя Администратор istrator Даре.
2. Дара теперь может назначить любую роль любому пользователю, группе или субъекту-службе в одном область.

Каковы проблемы с текущим методом делегирования?

Ниже приведены основные проблемы с текущим методом делегирования управления назначениями ролей другим пользователям в организации.

• Делегат имеет неограниченный доступ к назначению ролей область. Это нарушает принцип наименьшей привилегии, который предоставляет более широкую область атаки.
• Делегат может назначить любую роль любому пользователю в область, включая себя.
• Делегат может назначать роли владельца или доступа пользователей Администратор istrator другому пользователю, который затем может назначать роли другим пользователям.

Вместо назначения ролей владельца или доступа пользователей Администратор istrator более безопасный метод заключается в том, чтобы ограничить возможность делегата создавать назначения ролей.

Более безопасный метод: делегирование управления назначениями ролей с условиями

Делегирование управления назначениями ролей с условиями — это способ ограничить назначения ролей, которые пользователь может создать. В предыдущем примере Алиса может разрешить Даре создавать некоторые назначения ролей от ее имени, но не все назначения ролей. Например, Алиса может ограничить роли, которыми Дара может назначать и ограничивать субъектов, которыми Дара может назначать роли. Это делегирование с условиями иногда называется ограниченным делегированием и реализуется с помощью условий управления доступом на основе атрибутов Azure (Azure ABAC).

В этом видео представлен обзор делегирования управления назначениями ролей с условиями.

Почему делегирование управления назначениями ролей с условиями?

Ниже приведены некоторые причины, по которым делегирование управления назначениями ролей другим пользователям с условиями является более безопасным:

• Можно ограничить назначения ролей, которые делегат может создать.
• Делегат может запретить другому пользователю назначать роли.
• Вы можете применить соответствие политикам вашей организации с наименьшими привилегиями.
• Вы можете автоматизировать управление ресурсами Azure без предоставления полных разрешений учетной записи службы.

Пример условий

Рассмотрим пример, когда Алиса является администратором с ролью Администратор istrator пользователя для подписки. Алиса хочет предоставить Даре возможность назначать определенные роли для определенных групп. Алиса не хочет, чтобы Дара имеет какие-либо другие разрешения на назначение ролей. На следующей схеме показано, как Алиса может делегировать обязанности по назначению ролей Даре с условиями.

1. Алиса назначает роль на основе ролей контроль доступа Администратор istrator Дара. Алиса добавляет условия, чтобы Дара может назначать только роли участника резервного копирования или средства чтения резервных копий группам маркетинга и продаж.
2. Теперь Дара может назначить роли участника резервного копирования или средства чтения резервных копий группам маркетинга и продаж.
3. Если Дара пытается назначить другие роли или назначить какие-либо роли разным субъектам (например, пользователю или управляемому удостоверению), назначение роли завершается ошибкой.

Роль контроль доступа Администратор istrator на основе ролей

Роль на основе ролей контроль доступа Администратор istrator — это встроенная роль, предназначенная для делегирования управления назначением ролей другим пользователям. Он имеет меньше разрешений, чем доступ пользователей Администратор istrator, который следует рекомендациям по наименьшим привилегиям. Роль контроль доступа Администратор istrator на основе ролей имеет следующие разрешения:

• Создание назначения роли на указанном область
• Удаление назначения роли по указанному область
• Чтение ресурсов всех типов, кроме секретов
• Создание и обновление запроса в службу поддержки

Способы ограничения назначений ролей

Ниже приведены способы ограничения назначений ролей с условиями. Вы также можете объединить эти условия в соответствии с вашим сценарием.

• Ограничение ролей , которые могут быть назначены

  

• Ограничение ролей и типов субъектов (пользователей, групп или субъектов-служб), которые могут быть назначены ролями.

  

• Ограничение ролей и определенных субъектов, которые могут быть назначены ролям .

  

• Указание различных условий для действий назначения ролей и добавления и удаления

  

Делегирование управления назначениями ролей с условиями

Чтобы делегировать управление назначениями ролей с условиями, вы назначаете роли по мере выполнения, но также добавляете условие в назначение роли.

1. Определение разрешений, необходимых делегату

   • Какие роли могут назначать делегат?
   • Какие типы субъектов могут назначать роли делегату?
   • Какие субъекты могут назначать роли делегату?
   • Можно ли делегировать любые назначения ролей?

2. Запуск нового назначения роли

3. Выберите роль контроль доступа Администратор istrator на основе ролей

   Вы можете выбрать любую роль, включающую Microsoft.Authorization/roleAssignments/write действие, но контроль доступа Администратор istrator на основе ролей имеет меньше разрешений.

4. Выбор делегата

   Выберите пользователя, которому нужно делегировать управление назначениями ролей.

5. Добавить условие

   Существует несколько способов добавления условия. Например, можно использовать шаблон условия в портал Azure, расширенный редактор условий в портал Azure, Azure PowerShell, Azure CLI, Bicep или REST API.

   Шаблон

   Выберите из списка шаблонов условий. Выберите "Настроить", чтобы указать роли, типы субъектов или субъекты.

   Дополнительные сведения см. в статье "Делегирование управления назначениями ролей Azure другим пользователям с условиями".

   

   Редактор условий

   Если шаблоны условий не работают для вашего сценария или если требуется больше элементов управления, можно использовать редактор условий.

   Примеры см . в примерах для делегирования управления назначениями ролей Azure с условиями.

   

   Azure PowerShell

   New-AzRoleAssignment

   $roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
   $principalId = "<principalId>"
   $scope = "/subscriptions/<subscriptionId>"
   $condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))"
   $conditionVersion = "2.0"
   New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
   

   Azure CLI

   az role assignment create;

   set roleDefinitionId="f58310d9-a9f6-439a-9e8d-f62e7b41a168"
   set principalId="{principalId}"
   set principalType="User"
   set scope="/subscriptions/{subscriptionId}"
   set condition="((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))"
   set conditionVersion="2.0"
   az role assignment create --assignee-object-id %principalId% --assignee-principal-type %principalType% --scope %scope% --role %roleDefinitionId% --condition %condition% --condition-version %conditionVersion%
   

   Bicep

   param roleDefinitionResourceId string
   param principalId string
   param condition string
   
   targetScope = 'subscription'
   
   resource roleAssignment 'Microsoft.Authorization/roleAssignments@2020-04-01-preview' = {
     name: guid(subscription().id, principalId, roleDefinitionResourceId)
     properties: {
       roleDefinitionId: roleDefinitionResourceId
       principalId: principalId
       principalType: 'User'
       condition: condition
       conditionVersion:'2.0'
     }
   }
   

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "roleDefinitionResourceId": {
         "value": "providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168"
       },
       "principalId": {
         "value": "{principalId}"
       },
       "condition": {
         "value": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))"
       }
     }
   }
   

   REST API

   Назначения ролей — создание

   PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleAssignments/f58310d9-a9f6-439a-9e8d-f62e7b41a168?api-version=2020-04-01-Preview
   
   {
     "properties": {
       "roleDefinitionId": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168",
       "principalId": "{principalId}",
       "condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))",
       "conditionVersion": "2.0"
     }
   }
   

6. Назначение роли с условием делегату

   После указания условия завершите назначение роли.

7. Обратитесь к делегату

   Сообщите делегату, что теперь они могут назначать роли с условиями.

Встроенные роли с условиями

Доступ к данным Key Vault Администратор istrator и доступ к данным виртуальных машин Администратор istrator (предварительная версия) уже имеют встроенное условие для ограничения назначений ролей.

Роль доступа к данным Key Vault Администратор istrator позволяет управлять доступом к секретам, сертификатам и ключам Key Vault. Он предназначен исключительно для управления доступом без возможности назначения привилегированных ролей, таких как владелец или доступ пользователей Администратор istrator. Это позволяет лучше разделить обязанности для таких сценариев, как управление шифрованием неактивных данных в службах данных для дальнейшего соблюдения принципа наименьших привилегий. Условие ограничивает назначения ролей следующими ролями Azure Key Vault:

• Администратор хранилища ключей
• Специалист по сертификатам хранилища ключей
• Специалист по шифрованию хранилища ключей
• Пользователь службы шифрования хранилища ключей
• Пользователь шифрования хранилища ключей
• Читатель Key Vault
• Специалист по секретам хранилища ключей
• Пользователь секретов хранилища ключей

Если вы хотите дополнительно ограничить назначение роли доступа к данным Key Vault Администратор istrator, можно добавить собственное условие, чтобы ограничить типы субъектов (пользователи, группы или субъекты-службы) или определенные субъекты, которые могут быть назначены ролям Key Vault.

Известные проблемы

Ниже приведены известные проблемы, связанные с делегированием управления назначениями ролей с условиями:

• Невозможно делегировать управление назначениями ролей с условиями с помощью управление привилегированными пользователями.
• У вас нет назначения ролей корпорацией Майкрософт. служба хранилища действие данных и условие ABAC, использующее оператор сравнения GUID. Дополнительные сведения см. в статье об устранении неполадок службы Azure RBAC.

Требования к лицензиям

Эта функция бесплатна и доступна в вашей подписке Azure.

Следующие шаги

• Делегировать управление назначениями ролей Azure другим пользователям с условиями
• Что такое управление доступом на основе атрибутов Azure (Azure ABAC)?
• Примеры делегирования управления назначениями ролей Azure с условиями