Делегировать управление назначениями ролей Azure другим пользователям с условиями

Администратор может получить несколько запросов на предоставление доступа к ресурсам Azure, которым требуется делегировать другому пользователю. Вы можете назначить пользователю роли владельца или доступа пользователей Администратор istrator, но это очень привилегированные роли. В этой статье описывается более безопасный способ делегировать управление назначениями ролей другим пользователям в организации, но добавлять ограничения для этих назначений ролей. Например, можно ограничить роли, которыми можно назначить или ограничить субъекты, которыми могут быть назначены роли.

На следующей схеме показано, как делегат с условиями может назначать только роли участника резервного копирования или средства чтения резервных копий только группам маркетинга или продаж.

Необходимые компоненты

Чтобы назначать роли Azure необходимо наличие:

• Microsoft.Authorization/roleAssignments/writeразрешения, такие как контроль доступа Администратор istrator на основе ролей или Администратор istrator пользователя

Шаг 1. Определение разрешений, необходимых делегату

Чтобы определить разрешения, необходимые делегату, ответьте на следующие вопросы:

• Какие роли могут назначать делегат?
• Какие типы субъектов могут назначать роли делегату?
• Какие субъекты могут назначать роли делегату?
• Можно ли делегировать любые назначения ролей?

После того как вы знаете разрешения, необходимые делегату, выполните следующие действия, чтобы добавить условие в назначение роли делегата. Примеры условий см . в примерах для делегирования управления назначениями ролей Azure с условиями.

Шаг 2. Запуск нового назначения роли

1. Войдите на портал Azure.

2. Выполните действия, чтобы открыть страницу добавления назначения ролей.

3. На вкладке "Роли" выберите вкладку "Привилегированные роли администратора".

4. Выберите роль контроль доступа Администратор istrator на основе ролей.

   Откроется вкладка "Условия ".

   Вы можете выбрать любую роль, включающую или Microsoft.Authorization/roleAssignments/delete действия, например доступ пользователей Microsoft.Authorization/roleAssignments/write Администратор istrator, но контроль доступа Администратор istrator на основе ролей имеет меньше разрешений.

5. На вкладке "Члены" найдите и выберите делегат.

Шаг 3. Добавление условия

Добавить условие можно двумя способами. Вы можете использовать шаблон условия или использовать расширенный редактор условий.

Шаблон

1. На вкладке "Условия" в разделе "Что может сделать пользователь", выберите параметр "Разрешить пользователю назначать только выбранные роли выбранным субъектам (меньше привилегий).

   

2. Выберите роли и субъекты.

   Откроется страница "Добавить условие назначения ролей" со списком шаблонов условий.

   

3. Выберите шаблон условия и нажмите кнопку "Настроить".

   Шаблон условия	Выберите этот шаблон, чтобы
   Ограничение ролей	Разрешить пользователю назначать только выбранные роли
   Ограничение ролей и типов субъектов	Разрешить пользователю назначать только выбранные роли Разрешить пользователю назначать эти роли только выбранным типам субъектов (пользователи, группы или субъекты-службы)
   Ограничение ролей и субъектов	Разрешить пользователю назначать только выбранные роли Разрешить пользователю назначать только эти роли выбранным участникам
   Разрешить все, кроме определенных ролей	Разрешить пользователю назначать все роли, кроме выбранных ролей

4. В области настройки добавьте необходимые конфигурации.

   

5. Нажмите кнопку "Сохранить", чтобы добавить условие в назначение роли.

Редактор условий

Если шаблоны условий не работают для вашего сценария или если требуется больше элементов управления, можно использовать редактор условий.

Открытие редактора условий

1. На вкладке "Условия" в разделе "Что может сделать пользователь", выберите параметр "Разрешить пользователю назначать только выбранные роли выбранным субъектам (меньше привилегий).

   

2. Выберите роли и субъекты.

   Откроется страница "Добавить условие назначения ролей" со списком шаблонов условий.

   

3. Выберите "Открыть расширенный редактор условий".

   Откроется страница добавления условия назначения роли.

4. Для параметра Тип редактора оставьте выбранный по умолчанию вариант Визуальный.

Добавление действия

1. В разделе "Добавление действия" выберите "Добавить действие".

   Отобразится область "Выберите действие". Эта область — это отфильтрованный список действий на основе назначения роли, который будет целевым объектом условия.

   

2. Выберите действие "Создать или обновить назначения ролей", которое необходимо разрешить, если условие имеет значение true.

   Совет

   Если выбрать как создать, так и обновить назначения ролей и удалить действия назначения ролей, вы не сможете добавить выражение условия. Если вы хотите использовать оба этих действия, необходимо добавить два условия. Дополнительные сведения см. в разделе "Пример: ограничение ролей".

Выражения сборки

1. В разделе "Выражение сборки" выберите "Добавить выражение".

   Вот где вы создаете выражение для ограничения назначений ролей, которые делегат может добавить.

2. В списке источников атрибутов выберите "Запрос".

3. В списке атрибутов выберите один из следующих атрибутов для левой части выражения.

   • Идентификатор определения роли используется для ограничения ролей, которые может назначать делегат.
   • Идентификатор субъекта используется для ограничения конкретных субъектов, которым делегат может назначать роли.
   • Тип субъекта используется для ограничения типов субъектов (пользователей, групп или субъектов-служб), которым делегат может назначать роли.

4. В списке операторов выберите оператор.

   В зависимости от атрибута и выражения, которое требуется создать, обычно выбираются эти операторы, которые позволяют выбрать одно или несколько значений для правой стороны выражения.

   Атрибут	Общий оператор
   Идентификатор определения роли.	ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals
   Идентификатор субъекта	ForAnyOfAnyValues:GuidEquals
   Тип субъекта	ForAnyOfAnyValues:StringEqualsIgnoreCase

5. В поле "Значение" введите одно или несколько значений для правой стороны выражения.

   

6. При необходимости добавьте дополнительные выражения.

   Совет

   При добавлении нескольких выражений для делегирования управления назначениями ролей с условиями обычно используется оператор And между выражениями вместо оператора Or по умолчанию.

7. Нажмите кнопку "Сохранить", чтобы добавить условие в назначение роли.

Шаг 4. Назначение роли с условием делегату

1. На вкладке Review + assign (Проверка и назначение) проверьте параметры назначения роли.

2. Выберите Проверить и назначить, чтобы назначить роль.

   Через несколько минут делегат назначает роль на основе ролей контроль доступа Администратор istrator с условиями назначения ролей.

Шаг 5. Делегирование назначает роли с условиями

• Теперь делегат может выполнить действия по назначению ролей.

  

  Когда делегат пытается назначить роли в портал Azure, список ролей будет отфильтрован, чтобы просто показать роли, которые они могут назначить.

  

  Если существует условие для субъектов, список субъектов, доступных для назначения, также фильтруется.

  

  Если делегат пытается назначить роль вне условий с помощью API, назначение роли завершается ошибкой. Дополнительные сведения см. в разделе "Симптом " Не удается назначить роль.

Изменение условия

Существует два способа редактирования условия. Шаблон условия можно использовать или использовать редактор условий.

1. На портал Azure откройте страницу управления доступом (IAM) для назначения роли с условием, которое требуется просмотреть, изменить или удалить.

2. Перейдите на вкладку "Назначения ролей" и найдите назначение роли.

3. В столбце "Условие" выберите "Вид и изменение".

   Если вы не видите ссылку view/Edit, убедитесь, что вы просматриваете ту же область, что и назначение роли.

   

   Откроется страница "Добавить условие назначения ролей". Эта страница будет выглядеть по-разному в зависимости от того, соответствует ли условие существующему шаблону.

4. Если условие соответствует существующему шаблону, выберите "Настроить ", чтобы изменить условие.

   

5. Если условие не соответствует существующему шаблону, используйте редактор расширенных условий для изменения условия.

   Например, чтобы изменить условие, прокрутите вниз до раздела выражения сборки и обновите атрибуты, оператор или значения.

   

   Чтобы изменить условие непосредственно, выберите тип редактора кода и измените код для условия.

   

6. По завершении нажмите кнопку "Сохранить ", чтобы обновить условие.

Следующие шаги

• Делегирование управления доступом Azure другим пользователям
• Действия и атрибуты авторизации