將 Azure 存取管理委派給其他人
本文內容
在 Azure 角色型存取權 (Azure RBAC) 中,若要授與 Azure 資源的存取權,您可以指派 Azure 角色。 例如,如果使用者需要在訂用帳戶中建立和管理網站,您可以指派網站參與者角色。
指派 Azure 角色以授與 Azure 資源的存取權是常見的工作。 身為系統管理員,您可能會收到數個要求,以授與您想要委派給其他人的存取權。 不過,您想要確定委派只有執行其工作所需的許可權。 本文說明將角色指派管理委派給組織中的其他使用者更安全的方式。
為什麼要委派角色指派管理?
以下是您可能想要將角色指派管理委派給其他人的一些原因:
您會收到數個要求,以指派組織中的角色。
用戶無法等候所需的角色指派。
各自部門、小組或專案內的用戶對於需要存取權的人員有更瞭解。
使用者具有建立 Azure 資源的許可權,但需要額外的角色指派才能完全使用該資源。 例如:
具有建立虛擬機許可權的使用者無法立即登入虛擬機,而不需要虛擬機 管理員 istrator 登入或虛擬機使用者登入角色。 如果使用者可以將登入角色指派給自己,而不是追蹤系統管理員來指派登入角色,則更有效率。
開發人員有權建立 Azure Kubernetes Service (AKS) 叢集和 Azure Container Registry (ACR),但必須將 AcrPull 角色指派給受控識別,以便從 ACR 提取映像。 開發人員可以自行指派角色,而不是追蹤系統管理員來指派 AcrPull 角色,而更有效率。
您目前如何委派角色指派管理
擁有者和 使用者存取 管理員 istrator 角色是內建角色,可讓使用者建立角色指派。 這些角色的成員可以決定誰可以擁有訂用帳戶中任何資源的寫入、讀取和刪除許可權。 若要將角色指派管理委派給其他使用者,您可以將擁有者或使用者存取 管理員 istrator 角色指派給使用者。
下圖顯示Alice如何將角色指派責任委派給Dara。 如需特定步驟,請參閱 將使用者指派為 Azure 訂 用帳戶的系統管理員。
Alice 會將 User Access 管理員 istrator 角色指派給 Dara。
Dara 現在可以將任何角色指派給相同範圍中的任何使用者、群組或服務主體。
目前委派方法的問題為何?
以下是將角色指派管理委派給組織中其他人之目前方法的主要問題。
委派在角色指派範圍中具有不受限制的存取權。 這違反了最低許可權原則,這會讓您面臨更廣泛的攻擊面。
委派可以將任何角色指派給其範圍內的任何使用者,包括本身。
委派可以將擁有者或使用者存取 管理員 istrator 角色指派給另一位使用者,然後指派角色給其他使用者。
較安全的方法是限制委派建立角色指派的能力,而不是指派擁有者或使用者存取 管理員 istrator 角色。
更安全的方法:使用條件委派角色指派管理
使用條件委派角色指派管理是限制使用者可以建立的角色指派的方法。 在上述範例中,Alice 可以允許 Dara 代表她建立一些角色指派,但並非所有角色指派。 例如,Alice 可以限制 Dara 可以指派的角色,並限制 Dara 可以指派角色的主體。 此委派的條件有時稱為限制委派 ,並使用 Azure 屬性型訪問控制 (Azure ABAC) 條件來實 作。
這段影片提供使用條件委派角色指派管理的概觀。
為何使用條件委派角色指派管理?
以下是將角色指派管理委派給條件較安全之其他人的一些原因:
您可以限制允許委派建立的角色指派。
您可以防止委派允許其他使用者指派角色。
您可以強制執行組織最低許可權原則的合規性。
您可以將 Azure 資源的管理自動化,而不需要將完整許可權授與服務帳戶。
條件範例
假設Alice是具有訂用帳戶之使用者存取 管理員 istrator 角色的系統管理員。 Alice 想要授與 Dara 指派特定群組特定角色的能力。 Alice 不希望 Dara 擁有任何其他角色指派許可權。 下圖顯示Alice如何使用條件將角色指派責任委派給Dara。
Alice 會將角色型 存取控制 管理員 istrator 角色指派給 Dara。 Alice 新增條件,讓 Dara 只能將備份參與者或備份讀取者角色指派給行銷和銷售群組。
Dara 現在可以將備份參與者或備份讀者角色指派給營銷和銷售群組。
如果 Dara 嘗試指派其他角色,或將任何角色指派給不同的主體(例如使用者或受控識別),角色指派就會失敗。
角色型 存取控制 管理員 istrator 角色
角色型 存取控制 管理員 istrator 角色是內建角色,專為將角色指派管理委派給其他人所設計。 其許可權比使用者存取 管理員 istrator 少,其遵循最低許可權最佳做法。 角色型 存取控制 管理員 istrator 角色具有下列許可權:
在指定的範圍建立角色指派
刪除指定範圍的角色指派
讀取所有類型的資源,但秘密除外
建立及更新支援票證
限制角色指派的方式
以下是角色指派可以受限於條件的方式。 您也可以結合這些條件以符合您的案例。
如何使用條件委派角色指派管理
若要使用條件委派角色指派管理,您可以像目前一樣指派角色,但也會將條件新增 至角色指派 。
判斷委派所需的許可權
委派可以指派哪些角色?
委派可以將角色指派給何種類型?
委派可以指派角色給哪些主體?
委派是否可以移除任何角色指派?
啟動新的角色指派
選取角色型 存取控制 管理員 istrator 角色
您可以選取包含Microsoft.Authorization/roleAssignments/write動作的任何角色,但角色型 存取控制 管理員 istrator 的許可權較少。
選取委派
選取您要委派角色指派管理的使用者。
新增條件
您可以透過多種方式新增條件。 例如,您可以在 Azure 入口網站 中使用條件範本、Azure 入口網站、Azure PowerShell、Azure CLI、Bicep 或 REST API 中的進階條件編輯器。
如果條件範本不適用於您的案例,或想要更多控制,您可以使用條件編輯器。
如需範例,請參閱 使用條件 委派 Azure 角色指派管理的範例。
New-AzRoleAssignment
$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
az role assignment create
set roleDefinitionId="f58310d9-a9f6-439a-9e8d-f62e7b41a168"
set principalId="{principalId}"
set principalType="User"
set scope="/subscriptions/{subscriptionId}"
set condition="((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))"
set conditionVersion="2.0"
az role assignment create --assignee-object-id %principalId% --assignee-principal-type %principalType% --scope %scope% --role %roleDefinitionId% --condition %condition% --condition-version %conditionVersion%
param roleDefinitionResourceId string
param principalId string
param condition string
targetScope = 'subscription'
resource roleAssignment 'Microsoft.Authorization/roleAssignments@2020-04-01-preview' = {
name: guid(subscription().id, principalId, roleDefinitionResourceId)
properties: {
roleDefinitionId: roleDefinitionResourceId
principalId: principalId
principalType: 'User'
condition: condition
conditionVersion:'2.0'
}
}
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"roleDefinitionResourceId": {
"value": "providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168"
},
"principalId": {
"value": "{principalId}"
},
"condition": {
"value": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))"
}
}
}
角色指派 - 建立
PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleAssignments/f58310d9-a9f6-439a-9e8d-f62e7b41a168?api-version=2020-04-01-Preview
{
"properties": {
"roleDefinitionId": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168",
"principalId": "{principalId}",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))",
"conditionVersion": "2.0"
}
}
將具有條件的角色指派給委派
指定條件之後,請完成角色指派。
連絡委派
讓委派知道他們現在可以使用條件指派角色。
具有條件的內建角色
金鑰保存庫 數據存取 管理員 istrator 和 虛擬機數據存取 管理員 istrator (預覽) 角色已經有內建條件來限制角色指派。
金鑰保存庫 資料存取 管理員 istrator 角色可讓您管理對 金鑰保存庫 秘密、憑證和密鑰的存取。 它完全著重於訪問控制,而無法指派特殊許可權角色,例如擁有者或使用者存取 管理員 istrator 角色。 它可針對跨數據服務管理待用加密等案例,以進一步遵守最低許可權原則等案例,進一步區分職責。 條件會將角色指派限制為下列 Azure 金鑰保存庫 角色:
如果您想要進一步限制 金鑰保存庫 Data Access 管理員 istrator 角色指派,您可以新增自己的條件來限制可以指派 金鑰保存庫 角色的主體 類型(使用者、群組或服務主體)或特定主體 。
已知問題
以下是使用條件委派角色指派管理的已知問題:
授權需求
使用這項功能是免費的,並包含在您的 Azure 訂用帳戶中。
下一步
