Azure rol atama yönetimini koşulları olan diğer kişilere devretme

Yönetici olarak, başka birine temsilci olarak atamak istediğiniz Azure kaynaklarına erişim izni vermek için çeşitli istekler alabilirsiniz. Kullanıcıya Sahip veya Kullanıcı Erişimi Yönetici istrator rolleri atayabilirsiniz, ancak bunlar yüksek ayrıcalıklı rollerdir. Bu makalede, rol ataması yönetimini kuruluşunuzdaki diğer kullanıcılara devretmenin daha güvenli bir yolu açıklanır, ancak bu rol atamaları için kısıtlamalar eklenir. Örneğin, atanabilecek rolleri kısıtlayabilir veya rollerin atanabileceği sorumluları kısıtlayabilirsiniz.

Aşağıdaki diyagramda, koşulları olan bir temsilcinin Yalnızca Pazarlama veya Satış gruplarına Yedekleme Katkıda Bulunanı veya Yedekleme Okuyucusu rollerini nasıl atayabileceği gösterilmektedir.

Önkoşullar

Azure rollerini atamak için şunlar gereklidir:

• Microsoft.Authorization/roleAssignments/writeRol Tabanlı Erişim Denetimi Yönetici istrator veya Kullanıcı Erişimi Yönetici istrator gibi izinler

1. Adım: Temsilcinin ihtiyaç duyduğu izinleri belirleme

Temsilcinin ihtiyaç duyduğu izinleri belirlemeye yardımcı olmak için aşağıdaki soruları yanıtlayın:

• Temsilci hangi rolleri atayabilir?
• Temsilci hangi tür sorumlulara rol atayabilir?
• Temsilci hangi sorumlulara rol atayabilir?
• Temsilci herhangi bir rol atamasını kaldırabilir mi?

Temsilcinin ihtiyaç duyduğu izinleri öğrendiğiniz zaman, temsilcinin rol atamasına bir koşul eklemek için aşağıdaki adımları kullanırsınız. Örneğin koşullar için bkz . Azure rol atama yönetimine koşullarla temsilci seçme örnekleri.

2. Adım: Yeni rol ataması başlatma

1. Azure Portal’ında oturum açın.

2. Rol ataması ekle sayfasını açmak için adımları izleyin.

3. Roller sekmesinde Ayrıcalıklı yönetici rolleri sekmesini seçin.

4. Rol Tabanlı Erişim Denetimi Yönetici istrator rolünü seçin.

   Koşullar sekmesi görüntülenir.

   Kullanıcı Erişimi Yönetici istrator gibi veya Microsoft.Authorization/roleAssignments/delete eylemlerini Microsoft.Authorization/roleAssignments/write içeren herhangi bir rolü seçebilirsiniz, ancak Rol Tabanlı Erişim Denetimi Yönetici istrator'ın daha az izni vardır.

5. Üyeler sekmesinde temsilciyi bulun ve seçin.

3. Adım: Koşul ekleme

Koşul eklemenin iki yolu vardır. Bir koşul şablonu veya gelişmiş koşul düzenleyicisi kullanabilirsiniz.

Şablon

1. Koşullar sekmesinde, Kullanıcının yapabilecekleri altında, Kullanıcının yalnızca seçili rolleri seçili sorumlulara atamasına izin ver (daha az ayrıcalık) seçeneğini belirleyin.

   

2. Rolleri ve sorumluları seçin'i seçin.

   Rol ataması koşulu ekle sayfası, koşul şablonlarının listesiyle birlikte görüntülenir.

   

3. Bir koşul şablonu seçin ve ardından Yapılandır'ı seçin.

   Koşul şablonu	Şu şablonu seçin:
   Rolleri kısıtlama	Kullanıcının yalnızca seçtiğiniz rolleri atamasına izin ver
   Rolleri ve sorumlu türlerini kısıtlama	Kullanıcının yalnızca seçtiğiniz rolleri atamasına izin ver Kullanıcının bu rolleri yalnızca seçtiğiniz sorumlu türlerine atamasına izin ver (kullanıcılar, gruplar veya hizmet sorumluları)
   Rolleri ve sorumluları kısıtlama	Kullanıcının yalnızca seçtiğiniz rolleri atamasına izin ver Kullanıcının bu rolleri yalnızca seçtiğiniz sorumlulara atamasına izin ver

4. Yapılandır bölmesinde gerekli yapılandırmaları ekleyin.

   

5. Koşulu rol atamasına eklemek için Kaydet'i seçin.

Koşul düzenleyicisi

Koşul şablonları senaryonuz için işe yaramazsa veya daha fazla denetim istiyorsanız koşul düzenleyicisini kullanabilirsiniz.

Koşul düzenleyicisini açma

1. Koşullar sekmesinde, Kullanıcının yapabilecekleri altında, Kullanıcının yalnızca seçili rolleri seçili sorumlulara atamasına izin ver (daha az ayrıcalık) seçeneğini belirleyin.

   

2. Rolleri ve sorumluları seçin'i seçin.

   Rol ataması koşulu ekle sayfası, koşul şablonlarının listesiyle birlikte görüntülenir.

   

3. Gelişmiş koşul düzenleyicisini aç'ı seçin.

   Rol ataması koşulu ekle sayfası görüntülenir.

4. Düzenleyici türü seçeneği için varsayılan Görsel'i seçili bırakın.

Eylem ekle

1. Eylem ekle bölümünde Eylem ekle'yi seçin.

   Eylem seçin bölmesi görüntülenir. Bu bölme, koşulunuzun hedefi olacak rol atamasını temel alan filtrelenmiş bir eylem listesidir.

   

2. Koşul doğruysa izin vermek istediğiniz Rol atamalarını oluştur veya güncelleştir eylemini seçin.

   İpucu

   Rol atamaları oluştur veya güncelleştir ve Rol ataması silme eylemlerini seçerseniz, koşul ifadesi ekleyemezsiniz. Bu eylemlerin ikisini de hedeflemek istiyorsanız iki koşul eklemeniz gerekir. Daha fazla bilgi için bkz . Örnek: Rolleri kısıtlama.

derleme ifadeleri

1. derleme ifadesi bölümünde İfade ekle'yi seçin.

   Temsilcinin ekleyebileceği rol atamalarını kısıtlamak için ifadeyi burada derleyebilirsiniz.

2. Öznitelik kaynağı listesinde İstek'i seçin.

3. Öznitelik listesinde, ifadenin sol tarafı için aşağıdaki özniteliklerden birini seçin.

   • Rol tanımı kimliği , temsilcinin atayabileceği rolleri kısıtlamak için kullanılır.
   • Asıl Kimlik , temsilcinin rol atayabileceği belirli sorumluları kısıtlamak için kullanılır.
   • Sorumlu türü , temsilcinin rol atayabileceği sorumlu türlerini (kullanıcılar, gruplar veya hizmet sorumluları) kısıtlamak için kullanılır.

4. İşleç listesinde bir işleç seçin.

   Oluşturmak istediğiniz özniteliğe ve ifadeye bağlı olarak, genellikle ifadenin sağ tarafı için bir veya daha fazla değer seçmenize olanak tanıyan bu işleçleri seçersiniz.

   Öznitelik	Ortak işleç
   Rol tanımı kimliği	ForAnyOfAnyValues:GuidEquals
   Asıl Kimlik	ForAnyOfAnyValues:GuidEquals
   Asıl tür	ForAnyOfAnyValues:StringEqualsIgnoreCase

5. Değer kutusuna ifadenin sağ tarafı için bir veya daha fazla değer girin.

   

6. Gerektiğinde ek ifadeler ekleyin.

   İpucu

   Rol ataması yönetimine koşullarla temsilci seçmek için birden çok ifade eklediğinizde, genellikle varsayılan Or işleci yerine ifadeler arasında And işlecini kullanırsınız.

7. Koşulu rol atamasına eklemek için Kaydet'i seçin.

4. Adım: Temsilciye koşullu rol atama

1. Gözden geçir + ata sekmesinde rol ataması ayarlarını gözden geçirin.

2. Rolü atamak için Gözden geçir + ata öğesini seçin.

   Birkaç dakika sonra temsilciye rol atama koşullarınızla birlikte Rol Tabanlı Erişim Denetimi Yönetici istrator rolü atanır.

5. Adım: Temsilci, koşullara sahip roller atar

• Temsilci artık rolleri atamak için adımları izleyebilir.

  

  Temsilci Azure portalında rol atamaya çalıştığında, rol listesi yalnızca atayabilecekleri rolleri gösterecek şekilde filtrelenir.

  

  Sorumlular için bir koşul varsa, atama için kullanılabilen sorumluların listesi de filtrelenir.

  

  Temsilci API kullanarak koşulların dışında bir rol atamayı denerse rol ataması hatayla başarısız olur. Daha fazla bilgi için bkz . Belirti - Rol atanamadı.

Sonraki adımlar

• Azure erişim yönetimini başkalarına devretme
• Yetkilendirme eylemleri ve öznitelikleri