Koşullarla Azure rol atama yönetimini başkalarına devretme

Yönetici olarak, başka birine temsilci olarak atamak istediğiniz Azure kaynaklarına erişim izni vermek için çeşitli istekler alabilirsiniz. Kullanıcıya Sahibi veya Kullanıcı Erişim Yöneticisi rollerini atayabilirsiniz, ancak bunlar yüksek ayrıcalıklı rollerdir. Bu makale, kuruluşunuzdaki diğer kullanıcılara rol atama yönetimini devretmenin daha güvenli bir yolunu açıklamakta, ancak bu rol atamalarına kısıtlamalar eklemektedir. Örneğin, atanabilecek rolleri kısıtlayabilir veya rollerin atanabileceği sorumluları kısıtlayabilirsiniz.

Aşağıdaki diyagramda, koşulları olan bir temsilcinin Yedekleme Katkıda Bulunanı veya Yedekleme Okuyucusu rollerini yalnızca Pazarlama veya Satış gruplarına ataması (veya kaldırması) gösterilmektedir.

Önkoşullar

Azure rollerini atamak için şunlar gereklidir:

• Microsoft.Authorization/roleAssignments/writeRol Tabanlı Erişim Denetimi Yöneticisi veya Kullanıcı Erişimi Yöneticisi gibi izinler

1. Adım: Temsilcinin ihtiyaç duyduğu izinleri belirleme

Temsilcinin ihtiyaç duyduğu izinleri belirlemeye yardımcı olmak için aşağıdaki soruları yanıtlayın:

• Temsilci hangi rolleri atayabilir?
• Temsilci hangi rol atamalarını kaldırabilir?
• Temsilci hangi tür sorumlulara rol atayabilir?
• Temsilci hangi sorumlulara rol atayabilir?

Temsilcinin ihtiyaç duyduğu izinleri öğrendiğiniz zaman, temsilcinin rol atamasına bir koşul eklemek için aşağıdaki adımları kullanırsınız. Örnek koşullar için bkz. Azure rol atama yönetiminekoşullarla temsilci atama örnekleri.

Uyarı

Bu adımlarda eklediğiniz koşullar belirli rolleri atamak için geçerlidir, ancak bunlar genellikle aynı roller için rol atamalarını kaldırmak için de geçerlidir.

2. Adım: Yeni rol ataması başlatma

1. Azure portalınaoturum açın.

2. Rol ataması ekleme sayfasını açmak için ,adımları izleyin.

3. Rolleri sekmesinde Ayrıcalıklı yönetici rolleri sekmesini seçin.

4. Rol Tabanlı Erişim Denetimi Yöneticisi rolünü seçin.

   Koşullar sekmesi açılır.

   Microsoft.Authorization/roleAssignments/writegibi Microsoft.Authorization/roleAssignments/delete veya eylemleri içeren herhangi bir rolü seçebilirsiniz, ancak Rol Tabanlı Erişim Denetimi Yöneticisi daha az izne sahiptir.

5. Üyeler sekmesinde temsilciyi bulun ve seçin.

3. Adım: Koşul ekleme

Koşul eklemenin iki yolu vardır. Bir koşul şablonu veya gelişmiş koşul düzenleyicisi kullanabilirsiniz.

Şablon

1. Koşullar sekmesinde, Kullanıcının yapabilecekleri altında, Kullanıcının yalnızca seçili rolleri seçili sorumlulara atamasına izin ver (daha az ayrıcalık) seçeneğini belirleyin.

   

2. Rolleri ve sorumluları seçin.

   Rol ataması koşulu ekle sayfası, koşul şablonlarının listesiyle birlikte görüntülenir.

   

3. Bir koşul şablonu seçin ve ardından Yapılandır'ı seçin.

   Koşul şablonu	Şu şablonu seçin:
   Rolleri kısıtlama	Kullanıcının yalnızca seçtiğiniz rolleri atamasına izin ver Kullanıcının yalnızca seçili roller için rol atamalarını kaldırmasına izin ver
   Rolleri ve sorumlu türlerini kısıtlama	Kullanıcının yalnızca seçtiğiniz rolleri atamasına izin ver Kullanıcının bu rolleri yalnızca seçtiğiniz sorumlu türlerine atamasına izin ver (kullanıcılar, gruplar veya hizmet sorumluları) Kullanıcının yalnızca seçili roller ve sorumlu türleri için rol atamalarını kaldırmasına izin ver
   Rolleri ve sorumluları kısıtlama	Kullanıcının yalnızca seçtiğiniz rolleri atamasına izin ver Kullanıcının bu rolleri yalnızca seçtiğiniz sorumlulara atamasına izin ver Kullanıcının yalnızca seçili roller ve sorumlular için rol atamalarını kaldırmasına izin ver
   Belirli roller dışında tümüne izin ver	Kullanıcının seçtiğiniz roller dışında tüm rolleri atamasına izin ver Kullanıcının seçili roller dışındaki tüm roller için rol atamalarını kaldırmasına izin ver

4. Yapılandır bölmesinde gerekli yapılandırmaları ekleyin.

   

5. Koşulu rol atamasına eklemek için Kaydet'i seçin.

Koşul düzenleyicisi

Koşul şablonları senaryonuz için işe yaramazsa veya daha fazla denetim istiyorsanız koşul düzenleyicisini kullanabilirsiniz.

Koşul düzenleyicisini açma

1. Koşullar sekmesinde, Kullanıcının yapabilecekleri altında, Kullanıcının yalnızca seçili rolleri seçili sorumlulara atamasına izin ver (daha az ayrıcalık) seçeneğini belirleyin.

   

2. Rolleri ve sorumluları seçin.

   Rol ataması koşulu ekle sayfası, koşul şablonlarının listesiyle birlikte görüntülenir.

   

3. seçin, ardından gelişmiş koşul düzenleyicisini aç.

   Rol ataması koşulu ekle sayfası görüntülenir.

4. Düzenleyici türü seçeneği için varsayılan Görsel seçili bırakın.

Eylem ekle

1. "Eylem ekle bölümünde, eylem ekleöğesini seçin."

   Eylem seçin bölmesi görüntülenir. Bu bölme, koşulunuzun hedefi olacak rol atamasını temel alan filtrelenmiş bir eylem listesidir.

   

2. Koşul doğruysa izin vermek istediğiniz eylemi olan 'Rol atamalarını oluştur veya güncelle' seçin.

   Tavsiye

   Her iki Rol atamaları oluşturma veya güncelleştirme ve Bir rol atamasını sil eylemlerini seçerseniz, bir koşul ifadesi ekleyemezsiniz. Bu eylemlerin ikisini de hedeflemek istiyorsanız iki koşul eklemeniz gerekir. Daha fazla bilgi için bkz. Örnek:rolleri kısıtlama.

ifadeler oluştur

1. Derleme ifadesi bölümünde, İfade ekle'yi seçin.

   Temsilcinin ekleyebileceği rol atamalarını kısıtlamak için ifadeyi burada derleyebilirsiniz.

2. Öznitelik kaynağı listesinde İstek seçin.

3. Özniteliği listesinde, ifadenin sol tarafı için aşağıdaki özniteliklerden birini seçin.

   • Rol tanımı kimliği, temsilcinin atayabileceği rolleri kısıtlamak için kullanılır.
   • Principal Kimliği, temsilcinin rol atayabileceği belirli yetkilileri kısıtlamak için kullanılır.
   • Sorumlu türü, temsilcinin rol atayabileceği sorumlu türlerini (kullanıcılar, gruplar veya hizmet sorumluları) kısıtlamak için kullanılır.

4. İşleci listesinde bir işleç seçin.

   Oluşturmak istediğiniz özniteliğe ve ifadeye bağlı olarak, genellikle ifadenin sağ tarafı için bir veya daha fazla değer seçmenize olanak tanıyan bu işleçleri seçersiniz.

   Öznitelik	Ortak operatör
   Rol tanımı kimliği	ForAnyOfAnyValues:GuidEquals TümDeğerlerİçin:GuidEşitDeğil
   Ana Kimlik	ForAnyOfAnyValues:GuidEquals
   Ana tür	forAnyOfAnyValues:StringEqualsIgnoreCase

5. Değer kutusuna ifadenin sağ tarafı için bir veya daha fazla değer girin.

   

6. Gerektiğinde ek ifadeler ekleyin.

   Tavsiye

   Koşullarla birlikte temsilci rol atama yönetimine birden çok ifade eklediğinizde, varsayılan Or işlecinin yerine genellikle ifadeler arasında And işlecini kullanırsınız.

7. Koşulu rol atamasına eklemek için Kaydet'i seçin.

4. Adım: Temsilciye koşullu rol atama

1. İncele + Ata sekmesinde, rol atama ayarlarını gözden geçirin.

2. Rolü atamak için 'ı seçin ve'i atayın.

   Birkaç dakika sonra temsilciye rol atama koşullarınızla birlikte Rol Tabanlı Erişim Denetimi Yöneticisi rolü atanır.

5. Adım: Temsilci, koşullara sahip roller atar

• Temsilci artık adımlarını izleyerekrolleri atayabilir.

  

  Temsilci Azure portalında rol atamaya çalıştığında, rol listesi yalnızca atayabilecekleri rolleri gösterecek şekilde filtrelenir.

  

  Sorumlular için bir koşul varsa, atama için kullanılabilen sorumluların listesi de filtrelenir.

  

  Temsilci API kullanarak koşulların dışında bir rol atamayı denerse rol ataması hatayla başarısız olur. Daha fazla bilgi için bkz. Belirti - Rol atanamadı.

Koşulu düzenleme

Koşulu düzenlemenin iki yolu vardır. Koşul şablonunu veya koşul düzenleyicisini kullanabilirsiniz.

1. Azure portalında, görüntülemek, düzenlemek veya silmek istediğiniz bir koşula sahip rol ataması için Erişim denetimi (IAM) sayfasını açın.

2. Rol atamaları sekmesini seçin ve rol atamasını bulun.

3. Koşulu sütununda, Görüntüle/Düzenleseçin.

   Görüntüle/Düzenle bağlantısını görmüyorsanız rol ataması ile aynı kapsama baktığınıza emin olun.

   

   Rol ataması koşulu ekle sayfası görüntülenir. Bu sayfa, koşulun var olan bir şablonla eşleşip eşleşmediğine bağlı olarak farklı görünür.

4. Koşul mevcut bir şablonla eşleşiyorsa, koşulu düzenlemek için Yapılandır'ı seçin.

   

5. Koşul mevcut bir şablonla eşleşmiyorsa, koşulu düzenlemek için gelişmiş koşul düzenleyicisini kullanın.

   Örneğin, bir koşulu düzenlemek için derleme ifadesi bölümüne kadar aşağı kaydırın ve öznitelikleri, işleci veya değerleri güncelleştirin.

   

   Koşulu doğrudan düzenlemek için Code düzenleyicisi türünü seçin ve koşulun kodunu düzenleyin.

   

6. Bitirdiğinizde, koşulu güncelleştirmek için Kaydet'e tıklayın.

Sonraki adımlar

• Azure erişim yönetimini başkalarına devretme
• Yetkilendirme eylemleri ve öznitelikleri