Поделиться через


Делегировать управление назначениями ролей Azure другим пользователям с условиями

Администратор может получить несколько запросов на предоставление доступа к ресурсам Azure, которым требуется делегировать другому пользователю. Вы можете назначить пользователю роли владельца или доступа пользователей Администратор istrator, но это очень привилегированные роли. В этой статье описывается более безопасный способ делегировать управление назначениями ролей другим пользователям в организации, но добавлять ограничения для этих назначений ролей. Например, можно ограничить роли, которыми можно назначить или ограничить субъекты, которыми могут быть назначены роли.

На следующей схеме показано, как делегат с условиями может назначать только роли участника резервного копирования или средства чтения резервных копий только группам маркетинга или продаж.

Схема, показывающий администратор, делегирующий управление назначениями ролей с условиями.

Необходимые компоненты

Чтобы назначать роли Azure необходимо наличие:

Шаг 1. Определение разрешений, необходимых делегату

Чтобы определить разрешения, необходимые делегату, ответьте на следующие вопросы:

  • Какие роли могут назначать делегат?
  • Какие типы субъектов могут назначать роли делегату?
  • Какие субъекты могут назначать роли делегату?
  • Можно ли делегировать любые назначения ролей?

После того как вы знаете разрешения, необходимые делегату, выполните следующие действия, чтобы добавить условие в назначение роли делегата. Примеры условий см . в примерах для делегирования управления назначениями ролей Azure с условиями.

Шаг 2. Запуск нового назначения роли

  1. Войдите на портал Azure.

  2. Выполните действия, чтобы открыть страницу добавления назначения ролей.

  3. На вкладке "Роли" выберите вкладку "Привилегированные роли администратора".

  4. Выберите роль контроль доступа Администратор istrator на основе ролей.

    Откроется вкладка "Условия ".

    Вы можете выбрать любую роль, включающую или Microsoft.Authorization/roleAssignments/delete действия, например доступ пользователей Microsoft.Authorization/roleAssignments/write Администратор istrator, но контроль доступа Администратор istrator на основе ролей имеет меньше разрешений.

  5. На вкладке "Члены" найдите и выберите делегат.

Шаг 3. Добавление условия

Добавить условие можно двумя способами. Вы можете использовать шаблон условия или использовать расширенный редактор условий.

  1. На вкладке "Условия" в разделе "Что может сделать пользователь", выберите параметр "Разрешить пользователю назначать только выбранные роли выбранным субъектам (меньше привилегий).

    Снимок экрана: добавление назначения ролей с выбранным параметром ограниченного значения.

  2. Выберите роли и субъекты.

    Откроется страница "Добавить условие назначения ролей" со списком шаблонов условий.

    Снимок экрана: добавление условия назначения ролей со списком шаблонов условий.

  3. Выберите шаблон условия и нажмите кнопку "Настроить".

    Шаблон условия Выберите этот шаблон, чтобы
    Ограничение ролей Разрешить пользователю назначать только выбранные роли
    Ограничение ролей и типов субъектов Разрешить пользователю назначать только выбранные роли
    Разрешить пользователю назначать эти роли только выбранным типам субъектов (пользователи, группы или субъекты-службы)
    Ограничение ролей и субъектов Разрешить пользователю назначать только выбранные роли
    Разрешить пользователю назначать только эти роли выбранным участникам
    Разрешить все, кроме определенных ролей Разрешить пользователю назначать все роли, кроме выбранных ролей
  4. В области настройки добавьте необходимые конфигурации.

    Снимок экрана: панель настройки условия с добавленным выбором.

  5. Нажмите кнопку "Сохранить", чтобы добавить условие в назначение роли.

Шаг 4. Назначение роли с условием делегату

  1. На вкладке Review + assign (Проверка и назначение) проверьте параметры назначения роли.

  2. Выберите Проверить и назначить, чтобы назначить роль.

    Через несколько минут делегат назначает роль на основе ролей контроль доступа Администратор istrator с условиями назначения ролей.

Шаг 5. Делегирование назначает роли с условиями

  • Теперь делегат может выполнить действия по назначению ролей.

    Схема назначений ролей ограничена определенными ролями и определенными группами.

    Когда делегат пытается назначить роли в портал Azure, список ролей будет отфильтрован, чтобы просто показать роли, которые они могут назначить.

    Снимок экрана: назначения ролей, ограниченные определенными ролями.

    Если существует условие для субъектов, список субъектов, доступных для назначения, также фильтруется.

    Снимок экрана: назначения ролей, ограниченные определенными группами.

    Если делегат пытается назначить роль вне условий с помощью API, назначение роли завершается ошибкой. Дополнительные сведения см. в разделе "Симптом " Не удается назначить роль.

Изменение условия

Существует два способа редактирования условия. Шаблон условия можно использовать или использовать редактор условий.

  1. На портал Azure откройте страницу управления доступом (IAM) для назначения роли с условием, которое требуется просмотреть, изменить или удалить.

  2. Перейдите на вкладку "Назначения ролей" и найдите назначение роли.

  3. В столбце "Условие" выберите "Вид и изменение".

    Если вы не видите ссылку view/Edit, убедитесь, что вы просматриваете ту же область, что и назначение роли.

    Снимок экрана: список назначений ролей с ссылкой view/Edit для условия.

    Откроется страница "Добавить условие назначения ролей". Эта страница будет выглядеть по-разному в зависимости от того, соответствует ли условие существующему шаблону.

  4. Если условие соответствует существующему шаблону, выберите "Настроить ", чтобы изменить условие.

    Снимок экрана: шаблоны условий с включенным шаблоном сопоставления.

  5. Если условие не соответствует существующему шаблону, используйте редактор расширенных условий для изменения условия.

    Например, чтобы изменить условие, прокрутите вниз до раздела выражения сборки и обновите атрибуты, оператор или значения.

    Снимок экрана: редактор условий, в котором показаны параметры изменения выражения сборки.

    Чтобы изменить условие непосредственно, выберите тип редактора кода и измените код для условия.

    Снимок экрана: редактор условий, в котором показан тип редактора кода.

  6. По завершении нажмите кнопку "Сохранить ", чтобы обновить условие.

Следующие шаги