Delegowanie zarządzania przypisaniami ról platformy Azure do innych osób z warunkami

Jako administrator możesz uzyskać kilka żądań udzielenia dostępu do zasobów platformy Azure, które chcesz delegować do innej osoby. Możesz przypisać użytkownikowi role właściciela lub dostępu użytkowników Administracja istrator, ale są to role o wysokim poziomie uprawnień. W tym artykule opisano bezpieczniejszy sposób delegowania zarządzania przypisaniami ról do innych użytkowników w organizacji, ale dodawania ograniczeń dla tych przypisań ról. Można na przykład ograniczyć role, które można przypisać lub ograniczyć podmioty zabezpieczeń, do których można przypisać role.

Na poniższym diagramie pokazano, jak delegat z warunkami może przypisywać tylko role Współautor kopii zapasowej lub Czytelnik kopii zapasowych tylko do grup Marketing lub Sales.

Wymagania wstępne

Aby przypisać role platformy Azure, musisz mieć:

• Microsoft.Authorization/roleAssignments/writeuprawnienia, takie jak kontrola dostępu oparta na rolach Administracja istrator lub Administracja istrator dostępu użytkowników

Krok 1. Określanie uprawnień wymaganych przez pełnomocnika

Aby ułatwić określenie uprawnień wymaganych przez pełnomocnika, odpowiedz na następujące pytania:

• Jakie role mogą przypisywać pełnomocnik?
• Do jakich typów podmiotów zabezpieczeń można przypisać role pełnomocnika?
• Do których podmiotów zabezpieczeń można przypisać role?
• Czy można delegować usunąć wszystkie przypisania ról?

Gdy znasz uprawnienia, których pełnomocnik potrzebuje, wykonaj następujące kroki, aby dodać warunek do przypisania roli delegata. Aby uzyskać przykładowe warunki, zobacz Przykłady delegowania zarządzania przypisaniem ról platformy Azure przy użyciu warunków.

Krok 2. Uruchamianie nowego przypisania roli

1. Zaloguj się w witrynie Azure Portal.

2. Wykonaj kroki, aby otworzyć stronę Dodawanie przypisania roli.

3. Na karcie Role wybierz kartę Role administratora uprzywilejowanego.

4. Wybierz rolę Administracja istrator kontroli dostępu opartej na rolach.

   Zostanie wyświetlona karta Warunki .

   Możesz wybrać dowolną rolę obejmującą Microsoft.Authorization/roleAssignments/write akcje lubMicrosoft.Authorization/roleAssignments/delete, takie jak Administracja istrator dostępu użytkowników, ale Administracja istrator kontroli dostępu opartej na rolach ma mniej uprawnień.

5. Na karcie Członkowie znajdź i wybierz pełnomocnika.

Krok 3. Dodawanie warunku

Istnieją dwa sposoby dodawania warunku. Możesz użyć szablonu warunku lub użyć zaawansowanego edytora warunków.

Szablon

1. Na karcie Warunki w obszarze Co użytkownik może zrobić, wybierz opcję Zezwalaj użytkownikowi na przypisywanie wybranych ról tylko do wybranych podmiotów zabezpieczeń (mniej uprawnień).

   

2. Wybierz pozycję Wybierz role i podmioty zabezpieczeń.

   Zostanie wyświetlona strona Dodawanie warunku przypisania roli z listą szablonów warunków.

   

3. Wybierz szablon warunku, a następnie wybierz pozycję Konfiguruj.

   Szablon warunku	Wybierz ten szablon do
   Role ograniczeń	Zezwalaj użytkownikowi na przypisywanie wybranych ról
   Role ograniczeń i typy podmiotów zabezpieczeń	Zezwalaj użytkownikowi na przypisywanie wybranych ról Zezwalaj użytkownikowi na przypisywanie tych ról tylko do wybranych typów podmiotów zabezpieczeń (użytkowników, grup lub jednostek usługi)
   Role ograniczeń i podmioty zabezpieczeń	Zezwalaj użytkownikowi na przypisywanie wybranych ról Zezwalaj użytkownikowi na przypisywanie tych ról tylko do wybranych podmiotów zabezpieczeń
   Zezwalaj na wszystkie z wyjątkiem określonych ról	Zezwalaj użytkownikowi na przypisywanie wszystkich ról z wyjątkiem wybranych ról

4. W okienku konfigurowania dodaj wymagane konfiguracje.

   

5. Wybierz pozycję Zapisz , aby dodać warunek do przypisania roli.

Edytor warunków

Jeśli szablony warunków nie działają w twoim scenariuszu lub jeśli chcesz mieć większą kontrolę, możesz użyć edytora warunków.

Otwórz edytor warunków

1. Na karcie Warunki w obszarze Co użytkownik może zrobić, wybierz opcję Zezwalaj użytkownikowi na przypisywanie wybranych ról tylko do wybranych podmiotów zabezpieczeń (mniej uprawnień).

   

2. Wybierz pozycję Wybierz role i podmioty zabezpieczeń.

   Zostanie wyświetlona strona Dodawanie warunku przypisania roli z listą szablonów warunków.

   

3. Wybierz pozycję Otwórz edytor zaawansowanych warunków.

   Zostanie wyświetlona strona Dodawanie warunku przypisania roli.

4. Dla opcji Typ edytora pozostaw wybraną domyślną wizualizację.

Dodaj akcję

1. W sekcji Dodawanie akcji wybierz pozycję Dodaj akcję.

   Zostanie wyświetlone okienko Wybierz akcję. To okienko jest filtrowaną listą akcji na podstawie przypisania roli, która będzie elementem docelowym warunku.

   

2. Wybierz akcję Utwórz lub zaktualizuj przypisania ról, które chcesz zezwolić, jeśli warunek ma wartość true.

   Napiwek

   Jeśli wybierzesz zarówno opcję Utwórz, jak i zaktualizuj przypisania ról i Usuń akcje przypisania roli, nie będzie można dodać wyrażenia warunku. Jeśli chcesz kierować obie te akcje, musisz dodać dwa warunki. Aby uzyskać więcej informacji, zobacz Przykład: role ograniczeń.

Wyrażenia kompilacji

1. W sekcji Wyrażenie kompilacji wybierz pozycję Dodaj wyrażenie.

   W tym miejscu utworzysz wyrażenie w celu ograniczenia przypisań ról, które może dodać delegat.

2. Na liście Źródło atrybutu wybierz pozycję Żądanie.

3. Na liście Atrybut wybierz jeden z następujących atrybutów po lewej stronie wyrażenia.

   • Identyfikator definicji roli służy do ograniczania ról, które może przypisać delegat.
   • Identyfikator podmiotu zabezpieczeń służy do ograniczania określonych podmiotów zabezpieczeń, do których delegat może przypisywać role.
   • Typ podmiotu zabezpieczeń służy do ograniczania typów podmiotów zabezpieczeń (użytkowników, grup lub jednostek usługi), do których delegat może przypisywać role.

4. Na liście Operator wybierz operator.

   W zależności od atrybutu i wyrażenia, które chcesz skompilować, zazwyczaj wybierasz te operatory, co pozwala wybrać jedną lub więcej wartości dla prawej strony wyrażenia.

   Atrybut	Wspólny operator
   Identyfikator definicji roli	ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals
   Identyfikator podmiotu zabezpieczeń	ForAnyOfAnyValues:GuidEquals
   Typ podmiotu zabezpieczeń	ForAnyOfAnyValues:StringEqualsIgnoreCase

5. W polu Wartość wprowadź co najmniej jedną wartość dla prawej strony wyrażenia.

   

6. Dodaj dodatkowe wyrażenia zgodnie z potrzebami.

   Napiwek

   W przypadku dodawania wielu wyrażeń do delegowania zarządzania przypisaniem ról przy użyciu warunków zazwyczaj używasz operatora And między wyrażeniami zamiast domyślnego operatora Or .

7. Wybierz pozycję Zapisz , aby dodać warunek do przypisania roli.

Krok 4. Przypisywanie roli z warunkiem do delegowania

1. Na karcie Przejrzyj i przypisz przejrzyj ustawienia przypisania roli.

2. Wybierz przycisk Przejrzyj i przypisz, aby przypisać rolę.

   Po kilku chwilach pełnomocnik zostanie przypisany do roli Kontrola dostępu oparta na rolach Administracja istrator z warunkami przypisania roli.

Krok 5. Delegowanie przypisuje role z warunkami

• Pełnomocnik może teraz wykonać kroki przypisywania ról.

  

  Gdy pełnomocnik podejmie próbę przypisania ról w witrynie Azure Portal, lista ról zostanie przefiltrowana, aby pokazać tylko role, które mogą przypisać.

  

  Jeśli istnieje warunek dla podmiotów zabezpieczeń, lista podmiotów zabezpieczeń dostępnych dla przypisania jest również filtrowana.

  

  Jeśli pełnomocnik próbuje przypisać rolę, która znajduje się poza warunkami przy użyciu interfejsu API, przypisanie roli kończy się niepowodzeniem z powodu błędu. Aby uzyskać więcej informacji, zobacz Objaw — nie można przypisać roli.

Edytowanie warunku

Istnieją dwa sposoby edytowania warunku. Możesz użyć szablonu warunku lub użyć edytora warunków.

1. W witrynie Azure Portal otwórz stronę Kontrola dostępu (IAM) dla przypisania roli z warunkiem, który ma być wyświetlany, edytowany lub usuwany.

2. Wybierz kartę Przypisania ról i znajdź przypisanie roli.

3. W kolumnie Warunek wybierz pozycję Wyświetl/Edytuj.

   Jeśli nie widzisz linku Wyświetl/Edytuj , upewnij się, że patrzysz na ten sam zakres co przypisanie roli.

   

   Zostanie wyświetlona strona Dodawanie warunku przypisania roli. Ta strona będzie wyglądać inaczej w zależności od tego, czy warunek pasuje do istniejącego szablonu.

4. Jeśli warunek jest zgodny z istniejącym szablonem, wybierz pozycję Konfiguruj , aby edytować warunek.

   

5. Jeśli warunek nie jest zgodny z istniejącym szablonem, użyj zaawansowanego edytora warunków, aby edytować warunek.

   Aby na przykład edytować warunek, przewiń w dół do sekcji wyrażenia kompilacji i zaktualizuj atrybuty, operator lub wartości.

   

   Aby edytować warunek bezpośrednio, wybierz typ edytora kodu , a następnie edytuj kod warunku.

   

6. Po zakończeniu kliknij przycisk Zapisz , aby zaktualizować warunek.

Następne kroki

• Delegowanie zarządzania dostępem do platformy Azure innym osobom
• Akcje autoryzacji i atrybuty