Создание роли или политики на информационной панели «Исправление»

В этой статье описывается, как использовать панель мониторинга исправления в Управление разрешениями Microsoft Entra для создания ролей и политик для систем авторизации Amazon Web Services (AWS), Microsoft Azure или Google Cloud Platform (GCP).

Примечание.

Для просмотра вкладки Исправление необходимо разрешение Читатель, Контроллер или Администратор. Чтобы внести изменения на этой вкладке, необходимы разрешения Контроллер или Администратор. Если у вас нет этих разрешений, обратитесь к системному администратору.

Примечание.

Microsoft Azure обозначает термином роль то, что другие поставщики облачных услуг называют политикой. Служба "Управление разрешениями" автоматически меняет терминологию соответствующим образом, когда вы выбираете тип системы авторизации. В пользовательской документации мы используем роль/политика, чтобы обозначить оба варианта.

Создание политики для AWS

Примечание.

Сведения о квотах служб AWS и запросе увеличения квоты службы AWS см . в документации по AWS.

1. На домашней странице Microsoft Entra выберите вкладку "Исправление " и перейдите на вкладку "Роль или политики ".

2. С помощью раскрывающегося списка выберите тип системы авторизации и систему авторизации.

3. Выберите " Создать политику".

4. На странице Сведения поля Тип системы авторизации и Система авторизации будут автоматически заполнены на основе ранее заданных вами параметров.

   • Чтобы изменить параметры, сделайте выбор из раскрывающегося списка.

5. Выберите нужный вариант в разделе How Would You Like To Create The Policy (Как вы хотите создать политику?):

   • Activity of User(s) (Активность пользователей) позволяет создать политику на основе действий пользователей.
   • Activity of Group(s) (Активность групп) позволяет создать политику на основе агрегированных действий всех пользователей в группах.
   • Activity of Resource(s) (Активность ресурсов) позволяет создать политику на основе активности ресурса, например экземпляра EC2.
   • Activity of Role (Действия роли) позволяет создать политику на основе агрегированных действий всех пользователей, которые получили роль.
   • Activity of Tag(s) (Действия тегов) позволяет создать политику на основе агрегированных действий всех тегов.
   • Activity of Lambda Function (Действия лямбда-функции) позволяет создать политику на основе лямбда-функции.
   • From Existing Policy (Из существующей политики) позволяет создать политику на основе существующей политики.
   • New Policy (Новая политика) позволяет создать политику с нуля.

6. В поле Tasks performed in last (Задачи, выполненные за последние) выберите 90 days (90 дней), 60 days (60 дней), 30 days (30 дней), 7 days (7 дней) или 1 day (1 день).

7. В зависимости от предпочтения выберите или отмените выбор параметра Включить данные Помощника по доступу.

8. В разделе Параметры в столбце Доступные выберите значок "плюс" (+), чтобы переместить идентификатор в столбец Выбранные, а затем нажмите кнопку Далее.

9. На странице Задачи в столбце Доступные выберите значок "плюс" (+), чтобы переместить задачу в столбец Выбранные.

   • Чтобы добавить всю категорию, выберите ее.
   • Чтобы добавить отдельные элементы из категории, нажмите стрелку вниз, которая находится слева от имени категории, а затем выберите отдельные элементы.

10. В разделе Ресурсы выберите Все ресурсы или Определенные ресурсы.

    Если вы выберете Определенные ресурсы, появится список доступных ресурсов. Найдите ресурсы, которые нужно добавить, и нажмите кнопку Добавить.

11. В разделе Условия запроса выберите JSON.

12. В разделе Действие выберите Разрешить или Запретить, а затем нажмите кнопку Далее.

13. Введите имя новой политики в поле Имя политики.

14. Чтобы добавить еще одну инструкцию в политику, выберите Add Statement (Добавить инструкцию), а затем в списке Statements (Инструкции) выберите нужный вариант.

15. Просмотрите разделы Задача, Ресурсы, Условия запроса и Действие, а затем нажмите кнопку Далее.

16. На странице Предварительный просмотр проверьте скрипт.

17. Если контроллер не включен, выберите Загрузить JSON или Загрузить скрипт, чтобы загрузить код и запустить его самостоятельно.

    Если контроллер включен, пропустите этот шаг.

18. Выберите Split Policy (Разделить политику) и нажмите кнопку Submit (Отправить).

    Появится сообщение с подтверждением того, что политика была отправлена для создания

19. Справа появится область Задачи Управления разрешениями.

    • Вкладка Активные содержит список политик, которые обрабатывает Управление разрешениями.
    • На вкладке Завершенные отображается список политик, обработка которых уже завершена.

20. Обновите вкладку Роли/Политики, чтобы просмотреть созданную политику.

Создание роли для Azure

1. На домашней странице Управления разрешениями выберите вкладку Исправление, а затем перейдите на вкладку Роли/политики.

2. С помощью раскрывающегося списка выберите тип системы авторизации и систему авторизации.

3. Нажмите кнопку Create Role (Создать роль).

4. На странице Сведения поля Тип системы авторизации и Система авторизации будут автоматически заполнены на основе ранее заданных вами параметров.

   • Чтобы изменить параметры, выберите поле и сделайте выбор из раскрывающегося списка.

5. Выберите нужный вариант в разделе How Would You Like To Create The Role? (Как вы хотите создать роль?):

   • Activity of User(s) (Активность пользователей) позволяет создать роль на основе действий пользователей.
   • Activity of Group(s) (Активность групп) позволяет создать роль на основе агрегированных действий всех пользователей в группах.
   • Activity of App(s) (Действия приложений) позволяет создать роль на основе агрегированных действий всех приложений.
   • From Existing Role (Из существующей роли) позволяет создать роль на основе существующей роли.
   • New Role (Новая роль) позволяет создать роль с нуля.

6. В поле Tasks performed in last (Задачи, выполненные за последние) выберите 90 days (90 дней), 60 days (60 дней), 30 days (30 дней), 7 days (7 дней) или 1 day (1 день).

7. В зависимости от вашего предпочтения:

   • Установите или снимите флажок Ignore Non-Microsoft Read Actions (Игнорировать действия чтения, не связанные с Майкрософт).
   • Установите или снимите флажок Include Read-Only Tasks (Включить задачи только для чтения).

8. В разделе Параметры в столбце Доступные выберите значок "плюс" (+), чтобы переместить идентификатор в столбец Выбранные, а затем нажмите кнопку Далее.

9. На странице Задачи в поле Имя роли введите имя для роли.

10. В столбце Доступные выберите значок "плюс" (+), чтобы переместить задачу в столбец Выбранные.

    • Чтобы добавить всю категорию, выберите ее.
    • Чтобы добавить отдельные элементы из категории, нажмите стрелку вниз, которая находится слева от имени категории, а затем выберите отдельные элементы.

11. Выберите Далее.

12. (Необязательно) Администратор может скопировать строку область групп ресурсов для использования в качестве область. В Azure выберите свойства мониторинга>группы>ресурсов, а затем скопируйте идентификатор ресурса.

13. На странице Предварительный просмотр просмотрите:

    • Список выбранных действий и не действий.
    • JSON или скрипт, чтобы проверить его правильность.

14. Если контроллер не включен, выберите Загрузить JSON или Загрузить скрипт, чтобы загрузить код и запустить его самостоятельно.

    Если контроллер включен, пропустите этот шаг.

15. Выберите Отправить.

    Появится сообщение с подтверждением того, что ваш запрос на создание роли отправлен.

16. Справа появится область Задачи Управления разрешениями.

    • Вкладка Активные содержит список политик, которые обрабатывает Управление разрешениями.
    • На вкладке Завершенные отображается список политик, обработка которых уже завершена.

17. Обновите вкладку Роли/Политики, чтобы просмотреть созданную роль.

Создание роли для GCP

1. На домашней странице Управления разрешениями выберите вкладку Исправление, а затем перейдите на вкладку Роли/политики.

2. С помощью раскрывающегося списка выберите тип системы авторизации и систему авторизации.

3. Нажмите кнопку Create Role (Создать роль).

4. На странице Сведения поля Тип системы авторизации и Система авторизации будут автоматически заполнены на основе ранее заданных вами параметров.

   • Чтобы изменить параметры, выберите поле и сделайте выбор из раскрывающегося списка.

5. Выберите нужный вариант в разделе How Would You Like To Create The Role? (Как вы хотите создать роль?):

   • Activity of User(s) (Активность пользователей) позволяет создать роль на основе действий пользователей.
   • Activity of Group(s) (Активность групп) позволяет создать роль на основе агрегированных действий всех пользователей в группах.
   • Activity of Service Account(s) (Активность учетных записей служб) позволяет создать роль на основе агрегированных действий всех учетных записей служб.
   • From Existing Role (Из существующей роли) позволяет создать роль на основе существующей роли.
   • New Role (Новая роль) позволяет создать роль с нуля.

6. В поле Tasks performed in last (Задачи, выполненные за последние) выберите 90 days (90 дней), 60 days (60 дней), 30 days (30 дней), 7 days (7 дней) или 1 day (1 день).

7. Если на предыдущем шаге вы выбрали Activity Of Service Account(s) (Действия учетных записей служб), выберите или отмените выбор параметра Collect activity across all GCP Authorization Systems (Собирать действия во всех системах авторизации GCP).

8. В столбце Доступные выберите значок "плюс" (+), чтобы переместить идентификатор в столбец Выбранные, а затем нажмите кнопку Далее.

9. На странице Задачи в поле Имя роли введите имя для роли.

10. В столбце Доступные выберите значок "плюс" (+), чтобы переместить задачу в столбец Выбранные.

    • Чтобы добавить всю категорию, выберите ее.
    • Чтобы добавить отдельные элементы из категории, нажмите стрелку вниз, которая находится слева от имени категории, а затем выберите отдельные элементы.

11. Выберите Далее.

12. На странице Предварительный просмотр просмотрите:

    • Список выбранных действий.
    • YAML или скрипт, чтобы проверить его правильность.

13. Если контроллер не включен, выберите Загрузить YAML или Загрузить скрипт, чтобы загрузить код и запустить его самостоятельно.

14. Выберите Отправить. Появится сообщение с подтверждением того, что ваш запрос на создание роли отправлен.

15. Справа появится область Задачи Управления разрешениями.

    • Вкладка Активные содержит список политик, которые обрабатывает Управление разрешениями.
    • На вкладке Завершенные отображается список политик, обработка которых уже завершена.

16. Обновите вкладку Роли/Политики, чтобы просмотреть созданную роль.

Следующие шаги

• Сведения о просмотре существующих ролей/политик, запросов и разрешений см. в статье Просмотр ролей/политик, запросов и разрешений на панели мониторинга "Исправление".
• Сведения о том, как изменить роль/политику, см. в статье Изменение роли или политики.