Dela via


Exempel för att delegera hantering av Azure-rolltilldelning med villkor

Den här artikeln innehåller exempel på hur du delegerar hantering av Azure-rolltilldelning till andra användare med villkor.

Förutsättningar

Information om kraven för att lägga till eller redigera rolltilldelningsvillkor finns i Villkorskrav.

Exempel: Begränsa roller

Med det här villkoret kan ett ombud endast lägga till eller ta bort rolltilldelningar för rollerna Säkerhetskopieringsdeltagare eller Säkerhetskopieringsläsare .

Du måste lägga till det här villkoret i alla rolltilldelningar för ombudet som innehåller följande åtgärder.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagram över rolltilldelningar som är begränsade till roller för säkerhetskopieringsdeltagare eller säkerhetskopieringsläsare.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen och en villkorsmall.

Villkor Inställning
Template Begränsa roller
Roller Säkerhetskopieringsdeltagare
Säkerhetskopieringsläsare

Exempel: Begränsa roller och huvudnamnstyper

Med det här villkoret kan ett ombud endast lägga till eller ta bort rolltilldelningar för rollerna Säkerhetskopieringsdeltagare eller Säkerhetskopieringsläsare . Ombudet kan också bara tilldela dessa roller till huvudnamn av typen användare eller grupp.

Du måste lägga till det här villkoret i alla rolltilldelningar för ombudet som innehåller följande åtgärder.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagram över rolltilldelningar med begränsade roller för säkerhetskopieringsdeltagare eller säkerhetskopieringsläsare samt användar- eller grupphuvudnamnstyper.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen och en villkorsmall.

Villkor Inställning
Template Begränsa roller och huvudtyper
Roller Säkerhetskopieringsdeltagare
Säkerhetskopieringsläsare
Huvudtyper Användare
Grupper

Exempel: Begränsa roller och specifika grupper

Med det här villkoret kan ett ombud endast lägga till eller ta bort rolltilldelningar för rollerna Säkerhetskopieringsdeltagare eller Säkerhetskopieringsläsare . Ombudet kan också bara tilldela dessa roller till specifika grupper med namnet Marketing (28c35fea-2099-4cf5-8ad9-473547bc9423) eller Sales (86951b8b-723a-407b-a74a-1bca3f0c95d0).

Du måste lägga till det här villkoret i alla rolltilldelningar för ombudet som innehåller följande åtgärder.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagram över rolltilldelningar som är begränsade till roller för säkerhetskopieringsdeltagare eller säkerhetskopieringsläsare och marknadsförings- eller försäljningsgrupper.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen och en villkorsmall.

Villkor Inställning
Template Begränsa roller och huvudnamn
Roller Säkerhetskopieringsdeltagare
Säkerhetskopieringsläsare
Huvudkonto Marketing
Sales

Exempel: Begränsa hantering av virtuella datorer

Med det här villkoret kan ett ombud endast lägga till eller ta bort rolltilldelningar för inloggningsrollen för virtuell datoradministratör eller användarinloggning för virtuell dator. Ombudet kan också bara tilldela dessa roller till en specifik användare med namnet Dara (ea585310-c95c-4a68-af22-49af4363bbb1).

Det här villkoret är användbart när du vill tillåta att ett ombud tilldelar en inloggningsroll för virtuella datorer till sig själva för en virtuell dator som de just har skapat.

Du måste lägga till det här villkoret i alla rolltilldelningar för ombudet som innehåller följande åtgärder.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagram över rolltilldelningar som är begränsade till inloggningsroller för virtuell datoradministratör eller inloggningsroller för virtuella datorer och en specifik användare.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen och en villkorsmall.

Villkor Inställning
Template Begränsa roller och huvudnamn
Roller Administratörsinloggning för virtuell dator
Användarinloggning för virtuell dator
Huvudkonto Dara

Exempel: Begränsa AKS-klusterhantering

Med det här villkoret kan ett ombud endast lägga till eller ta bort rolltilldelningar för RBAC-administratören för Azure Kubernetes Service, RBAC-klusteradministratören för Azure Kubernetes Service, RBAC-administratören för Azure Kubernetes Service, RBAC-skrivarroller för Azure Kubernetes Service. Ombudet kan också bara tilldela dessa roller till en specifik användare med namnet Dara (ea585310-c95c-4a68-af22-49af4363bbb1).

Det här villkoret är användbart när du vill tillåta att ett ombud tilldelar Auktoriseringsroller för Azure Kubernetes Service-kluster (AKS) till sig själva för ett kluster som de just har skapat.

Du måste lägga till det här villkoret i alla rolltilldelningar för ombudet som innehåller följande åtgärder.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagram över rolltilldelningar som är begränsade till RBAC-administratör för Azure Kubernetes Service, RBAC-klusteradministratör för Azure Kubernetes Service, RBAC-läsare för Azure Kubernetes Service och en specifik användare.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen och en villkorsmall.

Exempel: Begränsa ACR-hantering

Med det här villkoret kan ett ombud endast lägga till eller ta bort rolltilldelningar för AcrPull-rollen . Ombudet kan också bara tilldela dessa roller till huvudnamn av typen tjänstens huvudnamn.

Det här villkoret är användbart när du vill tillåta att en utvecklare själva tilldelar AcrPull-rollen till en hanterad identitet så att den kan hämta avbildningar från Azure Container Registry (ACR).

Du måste lägga till det här villkoret i alla rolltilldelningar för ombudet som innehåller följande åtgärder.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagram över rolltilldelningar som är begränsade till rollen AcrPull och tjänstens huvudnamn.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen och en villkorsmall.

Villkor Inställning
Template Begränsa roller och huvudtyper
Roller AcrPull
Huvudtyper Tjänstens huvudnamn

Exempel: Begränsa tillägg av rolltilldelningar

Med det här villkoret kan ett ombud endast lägga till rolltilldelningar för rollerna Backup-deltagare eller Säkerhetskopieringsläsare . Ombudet kan ta bort alla rolltilldelningar.

Du måste lägga till det här villkoret i alla rolltilldelningar för ombudet som innehåller följande åtgärd.

  • Microsoft.Authorization/roleAssignments/write

Diagram över hur du lägger till och tar bort rolltilldelningar som är begränsade till roller som säkerhetskopieringsdeltagare eller säkerhetskopieringsläsare.

Ingen

Exempel: Tillåt de flesta roller, men tillåt inte andra att tilldela roller

Med det här villkoret kan ett ombud lägga till eller ta bort rolltilldelningar för alla roller förutom rollen Ägare, Rollbaserad åtkomstkontrolladministratör och Administratör för användaråtkomst.

Det här villkoret är användbart när du vill tillåta att ett ombud tilldelar de flesta roller, men inte tillåter att ombudet tillåter andra att tilldela roller.

Kommentar

Det här villkoret bör användas med försiktighet. Om en ny inbyggd eller anpassad roll läggs till senare som innehåller behörigheten att skapa rolltilldelningar skulle det här villkoret inte hindra ombudet från att tilldela roller. Villkoret måste uppdateras för att inkludera den nya inbyggda eller anpassade rollen.

Du måste lägga till det här villkoret i alla rolltilldelningar för ombudet som innehåller följande åtgärder.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagram över hur du lägger till och tar bort rolltilldelningar för alla roller utom ägare, administratör för rollbaserad åtkomstkontroll och administratör för användaråtkomst.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen och en villkorsmall.

Villkor Inställning
Template Tillåt alla utom specifika roller
Exkludera roller Ägare
Administratör för rollbaserad åtkomstkontroll
Administratör för användaråtkomst

Nästa steg