在補救儀表板中建立角色/原則
本文說明如何使用 Microsoft Entra 權限管理 中的補救儀錶板,為 Amazon Web Services (AWS)、Microsoft Azure 或 Google Cloud Platform (GCP) 授權系統建立角色/原則。
注意
若要檢視 [補救] 索引卷標,您必須具有 Viewer、Controller 或 管理員 istrator 許可權。 若要在此索引標籤上進行變更,您必須具有 Controller 或 管理員 istrator 許可權。 如果您沒有這些許可權,請連絡系統管理員。
注意
Microsoft Azure 會針對其他雲端提供者所呼叫的原則使用「角色」一詞。 當您選取授權系統類型時,許可權管理會自動變更此術語。 在用戶檔中,我們使用 角色/原則 來參考這兩者。
建立 AWS 的原則
注意
如需 AWS 服務配額的相關信息,以及要求增加 AWS 服務配額,請流覽 AWS 檔。
在 Microsoft Entra 首頁上,選取 [ 補救] 索引標籤,然後選取 [角色/原則] 索引標籤。
使用下拉式清單來選取 [授權系統類型 ] 和 [授權系統]。
選取 [建立原則]。
在 [ 詳細數據] 頁面上, [授權系統類型 ] 和 [授權系統 ] 會從先前的設定預先填入。
- 若要變更設定,請從下拉式清單中選取專案。
在 [要如何建立原則] 底下,選取必要的選項:
- User(s)的活動:可讓您根據用戶活動建立原則。
- Group(s)的活動:可讓您根據屬於群組的所有用戶的匯總活動來建立原則。
- Resource(s)的活動:可讓您根據資源的活動來建立原則,例如 EC2 實例。
- 角色的活動:可讓您根據擔任該角色之所有用戶的匯總活動來建立原則。
- Tag(s)的活動:可讓您根據所有標籤的匯總活動來建立原則。
- Lambda 函式的活動:可讓您根據 Lambda 函式建立新的原則。
- 從現有原則:可讓您根據現有的原則建立新的原則。
- 新原則:可讓您從頭開始建立新的原則。
在 [上次執行的工作] 中,選取持續時間:90 天、60 天、30 天、7 天或 1 天。
根據您的喜好設定,選取或取消選取 [包含 Access Advisor 數據]。
在 設定 中,從 [可用的] 數據行中,選取加號 (+) 將身分識別移至 [選取] 數據行,然後選取 [下一步]。
在 [ 工作] 頁面上,從 [可用的 ] 資料行中,選取加號 (+) 將工作 移至 [選取 ] 數據行。
- 若要新增整個類別,請選取類別。
- 若要從類別新增個別專案,請選取類別名稱左邊的向下箭號,然後選取個別專案。
在 [資源] 中,選取 [所有資源] 或 [特定資源]。
如果您選取 [ 特定資源],就會顯示可用的資源清單。 尋找您要新增的資源,然後選取 [ 新增]。
在 [要求條件] 中,選取 [ JSON ]。
在 [效果] 中,選取 [允許] 或 [拒絕],然後選取 [下一步]。
在 [ 原則名稱:] 中,輸入原則的名稱。
若要將另一個語句新增至您的原則,請選取 [新增語句],然後從 [語句] 列表中選取語句。
檢閱您的 工作、 資源、 要求條件和 效果 設定,然後選取 [ 下一步]。
在 [ 預覽 ] 頁面上,檢閱腳本以確認其為您想要的內容。
如果未啟用控制器,請選取 [下載 JSON] 或 [下載腳本] 以下載程式代碼並自行執行。
如果您的控制器已啟用,請略過此步驟。
選取 [ 分割原則],然後選取 [ 提交]。
訊息會確認已提交原則以建立
[ 許可權管理工作 ] 窗格會出現在右側。
- [使用中] 索引標籤會顯示許可權管理目前正在處理的原則清單。
- [已完成] 索引標籤會顯示許可權管理已完成的原則清單。
重新整理 [ 角色/原則] 索引標籤,以查看您所建立的原則。
建立 Azure 的角色
在 [許可權管理] 首頁上,選取 [ 補救] 索引卷標,然後選取 [角色/原則] 索引標籤。
使用下拉式清單來選取 [授權系統類型 ] 和 [授權系統]。
選取 [ 建立角色]。
在 [ 詳細數據] 頁面上, [授權系統類型 ] 和 [授權系統 ] 會從先前的設定預先填入。
- 若要變更設定,請選取方塊,然後從下拉式清單中選取專案。
在 [您要如何建立角色?] 下,選取必要的選項:
- User(s)的活動:可讓您根據用戶活動建立角色。
- 群組的活動:可讓您根據屬於群組的所有用戶的匯總活動來建立角色。
- 應用程式的活動:可讓您根據所有應用程式的匯總活動來建立角色。
- 從現有的角色:可讓您根據現有的角色建立新的角色。
- 新增角色:可讓您從頭開始建立新的角色。
在 [上次執行的工作] 中,選取持續時間:90 天、60 天、30 天、7 天或 1 天。
視您的喜好設定而定:
- 選取或取消選取 [忽略非 Microsoft 讀取動作]。
- 選取或取消選取 [包含唯讀工作]。
在 設定 中,從 [可用的] 數據行中,選取加號 (+) 將身分識別移至 [選取] 數據行,然後選取 [下一步]。
在 [ 工作] 頁面的 [ 角色名稱:] 中,輸入角色的名稱。
從 [可用的] 資料行中,選取加號 (+) 將工作移至 [選取] 數據行。
- 若要新增整個類別,請選取類別。
- 若要從類別新增個別專案,請選取類別名稱左邊的向下箭號,然後選取個別專案。
選取 [下一步]。
(選擇性)管理員 可以複製資源群組範圍字串作為範圍。 在 Azure 中,選取 [資源群組>監視>屬性],然後複製 [資源標識符]。
在 [ 預覽] 頁面上,檢閱:
- 選取 的 [動作 ] 和 [非動作] 清單。
- 用來確認其為您想要的 JSON 或腳本。
如果未啟用控制器,請選取 [下載 JSON] 或 [下載腳本] 以下載程式代碼並自行執行。
如果您的控制器已啟用,請略過此步驟。
選取 [提交]。
訊息會確認您的角色已提交建立
[ 許可權管理工作 ] 窗格會出現在右側。
- [使用中] 索引標籤會顯示許可權管理目前正在處理的原則清單。
- [已完成] 索引標籤會顯示許可權管理已完成的原則清單。
重新整理 [ 角色/原則] 索引標籤,以查看您所建立的角色。
建立 GCP 的角色
在 [許可權管理] 首頁上,選取 [ 補救] 索引卷標,然後選取 [角色/原則] 索引標籤。
使用下拉式清單來選取 [授權系統類型 ] 和 [授權系統]。
選取 [ 建立角色]。
在 [ 詳細數據] 頁面上, [授權系統類型 ] 和 [授權系統 ] 會從先前的設定預先填入。
- 若要變更設定,請選取方塊,然後從下拉式清單中選取專案。
在 [您要如何建立角色?] 下,選取必要的選項:
- User(s)的活動:可讓您根據用戶活動建立角色。
- 群組的活動:可讓您根據屬於群組的所有用戶的匯總活動來建立角色。
- 服務帳戶的活動:可讓您根據所有服務帳戶的匯總活動來建立角色。
- 從現有的角色:可讓您根據現有的角色建立新的角色。
- 新增角色:可讓您從頭開始建立新的角色。
在 [上次執行的工作] 中,選取持續時間:90 天、60 天、30 天、7 天或 1 天。
如果您在上一個步驟中選取 [服務帳戶 的活動],請選取或取消選取 [收集所有 GCP 授權系統的活動]。
從 [ 可用的] 數據行中,選取加號 (+) 將身分 識別移至 [選取 ] 數據行,然後選取 [ 下一步]。
在 [ 工作] 頁面的 [ 角色名稱:] 中,輸入角色的名稱。
從 [可用的] 資料行中,選取加號 (+) 將工作移至 [選取] 數據行。
- 若要新增整個類別,請選取類別。
- 若要從類別新增個別專案,請選取類別名稱左邊的向下箭號,然後選取個別專案。
選取 [下一步]。
在 [ 預覽] 頁面上,檢閱:
- 選取 的 [動作] 清單。
- YAML 或文稿,以確認其為您想要的內容。
如果未啟用您的控制器,請選取 [下載 YAML] 或 [下載腳本] 以下載程式代碼並自行執行。
選取 [提交]。 訊息會確認您的角色已提交建立
[ 許可權管理工作 ] 窗格會出現在右側。
- [使用中] 索引標籤會顯示許可權管理目前正在處理的原則清單。
- [已完成] 索引標籤會顯示許可權管理已完成的原則清單。
重新整理 [ 角色/原則] 索引標籤,以查看您所建立的角色。