Share via

在“修正”仪表板中创建角色/策略

  • 项目

本文介绍如何使用 Microsoft Entra 权限管理中的“修正”仪表板创建 Amazon Web Services (AWS)、Microsoft Azure 或 Google Cloud Platform (GCP) 授权系统中的角色/策略。

注意

若要查看“修正”选项卡,必须拥有“查看者”、“控制者”或“管理员”权限。 若要在此选项卡上进行更改,必须拥有“控制者”或“管理员”权限。 如果没有这些权限,请联系系统管理员。

注意

Microsoft Azure 使用术语“角色”来表示其他云提供商所称的“策略”。 选择授权系统类型时,权限管理会自动更改此术语。 在用户文档中,使用“角色/策略”来指代这两者。

为 AWS 创建策略

注意

有关 AWS 服务配额的信息以及如何请求增加 AWS 服务配额,请访问 AWS 文档

  1. 在 Microsoft Entra 主页上,选择“修正”选项卡,然后选择“角色/策略”选项卡。

  2. 使用下拉列表选择“授权系统类型”和“授权系统”。

  3. 选择“创建策略”。

  4. 在“详细信息”页上,“授权系统类型”和“授权系统”从之前的设置中进行了预填充。

    • 若要更改设置,请从下拉列表中进行选择。

  5. 在“你希望如何创建策略?”下,选择需要的选项:

    • 用户活动:允许基于用户活动创建策略。
    • 组活动:允许基于从属于组的所有用户的聚合活动创建策略。
    • 资源活动:允许基于资源活动创建策略,例如 EC2 实例。
    • 角色活动:允许基于所有担任相应角色的用户的聚合活动创建策略。
    • 标记活动:允许基于所有标记的聚合活动创建策略。
    • Lambda 函数活动:允许基于 Lambda 函数创建新策略。
    • 从现有策略:允许基于现有策略创建新策略。
    • 新策略:允许从头开始创建新策略。

  6. 在“最近执行的任务”中,选择持续时间:“90 天”、“60 天”、“30 天”、“7 天”或“1 天”。

  7. 根据你的喜好,选择或取消选择“包括访问顾问数据”。

  8. 在“设置”中,从“可用”列中选择加号“(+)”,将标识移动到“已选”列,然后选择“下一步”。

  9. 在“任务”页,从“可用”列选择加号“(+)”,将任务移动到“已选”列。

    • 若要添加整个类别,请选择类别。
    • 若要从类别中添加单个项,请选择类别名称左侧的向下箭头,然后选择单个项。

  10. 在“资源”中,选择“所有资源”或“特定资源”。

    如果选择“特定资源”,则会显示可用资源的列表。 找到要添加的资源,然后选择“添加”。

  11. 在“请求条件”中,选择“JSON”。

  12. 在“效果”中,选择“允许”或“拒绝”,然后选择“下一步”。

  13. 在“策略名称:”处,输入策略的名称。

  14. 若要向策略添加另一条语句,请选择“添加语句”,然后从“语句”列表中选择一个语句。

  15. 查看“任务”、“资源”和“请求条件”,然后选择“下一步”。

  16. 在“预览”页上,查看脚本以确认它是你所需的内容。

  17. 如果未启用控制器,选择“下载 JSON”或“下载脚本”以下载代码并自行运行。

    如果已启用控制器,跳过此步骤。

  18. 选择“拆分策略”,然后选择“提交”。

    出现一条消息,确认策略已提交以供创建

  19. “权限管理任务”窗格显示在右侧

    • “活动”选项卡显示权限管理当前正在处理的策略列表。
    • “已完成”选项卡显示权限管理已完成的策略列表。

  20. 刷新“角色/策略”选项卡以查看所创建的策略。

为 Azure 创建角色

  1. 在权限管理主页上,请选择“修正”选项卡,然后选择“角色/策略”选项卡。

  2. 使用下拉列表选择“授权系统类型”和“授权系统”。

  3. 选择“创建角色”。

  4. 在“详细信息”页上,“授权系统类型”和“授权系统”从之前的设置中进行了预填充。

    • 若要更改设置,选中该框,然后从下拉列表中进行选择。

  5. 在“你希望如何创建角色?”下,选择需要的选项:

    • 用户活动:允许基于用户活动创建角色。
    • 组活动:允许基于从属于组的所有用户的聚合活动创建角色。
    • 应用活动:允许基于所有应用的聚合活动创建角色。
    • 从现有角色:允许基于现有角色创建新角色。
    • 新角色:允许从头开始创建新角色。

  6. 在“最近执行的任务”中,选择持续时间:“90 天”、“60 天”、“30 天”、“7 天”或“1 天”。

  7. 根据偏好:

    • 选择或取消选择“忽略非 Microsoft 读取操作”。
    • 选择或取消选择“包括只读任务”。

  8. 在“设置”中,从“可用”列中选择加号“(+)”,将标识移动到“已选”列,然后选择“下一步”。

  9. 在“任务”页面的“角色名称:”中,输入角色名称。

  10. 在“可用”列中,选择加号“(+)”,将任务移至“已选择”列。

    • 若要添加整个类别,请选择类别。
    • 若要从类别中添加单个项,请选择类别名称左侧的向下箭头,然后选择单个项。

  11. 选择下一步

  12. (可选)管理员可以复制要用作作用域的资源组范围字符串。 在 Azure 中,选择资源组>监视>属性,然后复制资源 ID

  13. 在“预览”页面,查看:

    • 所选“操作”和“非操作”的列表。
    • “JSON”或“脚本”,以确认它是你所需的内容。

  14. 如果未启用控制器,选择“下载 JSON”或“下载脚本”以下载代码并自行运行。

    如果已启用控制器,跳过此步骤。

  15. 选择“提交”。

    出现一条消息,确认角色已提交以供创建

  16. “权限管理任务”窗格显示在右侧

    • “活动”选项卡显示权限管理当前正在处理的策略列表。
    • “已完成”选项卡显示权限管理已完成的策略列表。

  17. 刷新“角色/策略”选项卡以查看所创建的角色。

为 GCP 创建角色

  1. 在权限管理主页上,请选择“修正”选项卡,然后选择“角色/策略”选项卡。

  2. 使用下拉列表选择“授权系统类型”和“授权系统”。

  3. 选择“创建角色”。

  4. 在“详细信息”页上,“授权系统类型”和“授权系统”从之前的设置中进行了预填充。

    • 若要更改设置,选中该框,然后从下拉列表中进行选择。

  5. 在“你希望如何创建角色?”下,选择需要的选项:

    • 用户活动:允许基于用户活动创建角色。
    • 组活动:允许基于从属于组的所有用户的聚合活动创建角色。
    • 服务帐户活动:允许基于所有服务帐户的聚合活动创建角色。
    • 从现有角色:允许基于现有角色创建新角色。
    • 新角色:允许从头开始创建新角色。

  6. 在“最近执行的任务”中,选择持续时间:“90 天”、“60 天”、“30 天”、“7 天”或“1 天”。

  7. 如果在上一步中选择了“服务帐户活动”,请选择或取消选择“跨所有 GCP 授权系统收集活动”。

  8. 从“可用”列中选择加号“(+)”,将标识移动到“已选”列,然后选择“下一步”。

  9. 在“任务”页面的“角色名称:”中,输入角色名称。

  10. 在“可用”列中,选择加号“(+)”,将任务移至“已选择”列。

    • 若要添加整个类别,请选择类别。
    • 若要从类别中添加单个项,请选择类别名称左侧的向下箭头,然后选择单个项。

  11. 选择“下一步”。

  12. 在“预览”页面,查看:

    • 所选“操作”的列表。
    • “YAML”或“脚本”,以确认它是你所需的内容。

  13. 如果未启用控制器,选择“下载 YAML”或“下载脚本”以下载代码并自行运行。

  14. 选择“提交”。 出现一条消息,确认角色已提交以供创建

  15. “权限管理任务”窗格显示在右侧

    • “活动”选项卡显示权限管理当前正在处理的策略列表。
    • “已完成”选项卡显示权限管理已完成的策略列表。

  16. 刷新“角色/策略”选项卡以查看所创建的角色。

后续步骤