Delegowanie zarządzania przypisaniami ról platformy Azure do innych osób z warunkami

Jako administrator możesz uzyskać kilka żądań udzielenia dostępu do zasobów platformy Azure, które chcesz delegować do innej osoby. Możesz przypisać użytkownikowi role właściciela lub dostępu użytkowników Administracja istrator, ale są to role o wysokim poziomie uprawnień. W tym artykule opisano bezpieczniejszy sposób delegowania zarządzania przypisaniami ról do innych użytkowników w organizacji, ale dodawania ograniczeń dla tych przypisań ról. Można na przykład ograniczyć role, które można przypisać lub ograniczyć podmioty zabezpieczeń, do których można przypisać role.

Na poniższym diagramie pokazano, jak delegat z warunkami może przypisywać tylko role Współautor kopii zapasowej lub Czytelnik kopii zapasowych tylko do grup Marketing lub Sales.

Wymagania wstępne

Aby przypisać role platformy Azure, musisz mieć:

• Microsoft.Authorization/roleAssignments/writeuprawnienia, takie jak kontrola dostępu oparta na rolach Administracja istrator lub Administracja istrator dostępu użytkowników

Krok 1. Określanie uprawnień wymaganych przez pełnomocnika

Aby ułatwić określenie uprawnień wymaganych przez pełnomocnika, odpowiedz na następujące pytania:

• Jakie role mogą przypisywać pełnomocnik?
• Do jakich typów podmiotów zabezpieczeń można przypisać role pełnomocnika?
• Do których podmiotów zabezpieczeń można przypisać role?
• Czy można delegować usunąć wszystkie przypisania ról?

Gdy znasz uprawnienia, których pełnomocnik potrzebuje, wykonaj następujące kroki, aby dodać warunek do przypisania roli delegata. Aby uzyskać przykładowe warunki, zobacz Przykłady delegowania zarządzania przypisaniem ról platformy Azure przy użyciu warunków.

Krok 2. Uruchamianie nowego przypisania roli

1. Zaloguj się w witrynie Azure Portal.

2. Wykonaj kroki, aby otworzyć stronę Dodawanie przypisania roli.

3. Na karcie Role wybierz kartę Role administratora uprzywilejowanego.

4. Wybierz rolę Administracja istrator kontroli dostępu opartej na rolach.

   Zostanie wyświetlona karta Warunki .

   Możesz wybrać dowolną rolę obejmującą Microsoft.Authorization/roleAssignments/write akcje lubMicrosoft.Authorization/roleAssignments/delete, takie jak Administracja istrator dostępu użytkowników, ale Administracja istrator kontroli dostępu opartej na rolach ma mniej uprawnień.

5. Na karcie Członkowie znajdź i wybierz pełnomocnika.

Krok 3. Dodawanie warunku

Istnieją dwa sposoby dodawania warunku. Możesz użyć szablonu warunku lub użyć zaawansowanego edytora warunków.

Szablon

1. Na karcie Warunki w obszarze Co użytkownik może zrobić, wybierz opcję Zezwalaj użytkownikowi na przypisywanie wybranych ról tylko do wybranych podmiotów zabezpieczeń (mniej uprawnień).

   

2. Wybierz pozycję Wybierz role i podmioty zabezpieczeń.

   Zostanie wyświetlona strona Dodawanie warunku przypisania roli z listą szablonów warunków.

   

3. Wybierz szablon warunku, a następnie wybierz pozycję Konfiguruj.

   Szablon warunku	Wybierz ten szablon do
   Role ograniczeń	Zezwalaj użytkownikowi na przypisywanie wybranych ról
   Role ograniczeń i typy podmiotów zabezpieczeń	Zezwalaj użytkownikowi na przypisywanie wybranych ról Zezwalaj użytkownikowi na przypisywanie tych ról tylko do wybranych typów podmiotów zabezpieczeń (użytkowników, grup lub jednostek usługi)
   Role ograniczeń i podmioty zabezpieczeń	Zezwalaj użytkownikowi na przypisywanie wybranych ról Zezwalaj użytkownikowi na przypisywanie tych ról tylko do wybranych podmiotów zabezpieczeń

4. W okienku konfigurowania dodaj wymagane konfiguracje.

   

5. Wybierz pozycję Zapisz , aby dodać warunek do przypisania roli.

Edytor warunków

Jeśli szablony warunków nie działają w twoim scenariuszu lub jeśli chcesz mieć większą kontrolę, możesz użyć edytora warunków.

Otwórz edytor warunków

1. Na karcie Warunki w obszarze Co użytkownik może zrobić, wybierz opcję Zezwalaj użytkownikowi na przypisywanie wybranych ról tylko do wybranych podmiotów zabezpieczeń (mniej uprawnień).

   

2. Wybierz pozycję Wybierz role i podmioty zabezpieczeń.

   Zostanie wyświetlona strona Dodawanie warunku przypisania roli z listą szablonów warunków.

   

3. Wybierz pozycję Otwórz edytor zaawansowanych warunków.

   Zostanie wyświetlona strona Dodawanie warunku przypisania roli.

4. Dla opcji Typ edytora pozostaw wybraną domyślną wizualizację.

Dodaj akcję

1. W sekcji Dodawanie akcji wybierz pozycję Dodaj akcję.

   Zostanie wyświetlone okienko Wybierz akcję. To okienko jest filtrowaną listą akcji na podstawie przypisania roli, która będzie elementem docelowym warunku.

   

2. Wybierz akcję Utwórz lub zaktualizuj przypisania ról, które chcesz zezwolić, jeśli warunek ma wartość true.

   Napiwek

   Jeśli wybierzesz zarówno opcję Utwórz, jak i zaktualizuj przypisania ról i Usuń akcje przypisania roli, nie będzie można dodać wyrażenia warunku. Jeśli chcesz kierować obie te akcje, musisz dodać dwa warunki. Aby uzyskać więcej informacji, zobacz Przykład: role ograniczeń.

Wyrażenia kompilacji

1. W sekcji Wyrażenie kompilacji wybierz pozycję Dodaj wyrażenie.

   W tym miejscu utworzysz wyrażenie w celu ograniczenia przypisań ról, które może dodać delegat.

2. Na liście Źródło atrybutu wybierz pozycję Żądanie.

3. Na liście Atrybut wybierz jeden z następujących atrybutów po lewej stronie wyrażenia.

   • Identyfikator definicji roli służy do ograniczania ról, które może przypisać delegat.
   • Identyfikator podmiotu zabezpieczeń służy do ograniczania określonych podmiotów zabezpieczeń, do których delegat może przypisywać role.
   • Typ podmiotu zabezpieczeń służy do ograniczania typów podmiotów zabezpieczeń (użytkowników, grup lub jednostek usługi), do których delegat może przypisywać role.

4. Na liście Operator wybierz operator.

   W zależności od atrybutu i wyrażenia, które chcesz skompilować, zazwyczaj wybierasz te operatory, co pozwala wybrać jedną lub więcej wartości dla prawej strony wyrażenia.

   Atrybut	Wspólny operator
   Identyfikator definicji roli	ForAnyOfAnyValues:GuidEquals
   Identyfikator podmiotu zabezpieczeń	ForAnyOfAnyValues:GuidEquals
   Typ podmiotu zabezpieczeń	ForAnyOfAnyValues:StringEqualsIgnoreCase

5. W polu Wartość wprowadź co najmniej jedną wartość dla prawej strony wyrażenia.

   

6. Dodaj dodatkowe wyrażenia zgodnie z potrzebami.

   Napiwek

   W przypadku dodawania wielu wyrażeń do delegowania zarządzania przypisaniem ról przy użyciu warunków zazwyczaj używasz operatora And między wyrażeniami zamiast domyślnego operatora Or .

7. Wybierz pozycję Zapisz , aby dodać warunek do przypisania roli.

Krok 4. Przypisywanie roli z warunkiem do delegowania

1. Na karcie Przejrzyj i przypisz przejrzyj ustawienia przypisania roli.

2. Wybierz przycisk Przejrzyj i przypisz, aby przypisać rolę.

   Po kilku chwilach pełnomocnik zostanie przypisany do roli Kontrola dostępu oparta na rolach Administracja istrator z warunkami przypisania roli.

Krok 5. Delegowanie przypisuje role z warunkami

• Pełnomocnik może teraz wykonać kroki przypisywania ról.

  

  Gdy pełnomocnik podejmie próbę przypisania ról w witrynie Azure Portal, lista ról zostanie przefiltrowana, aby pokazać tylko role, które mogą przypisać.

  

  Jeśli istnieje warunek dla podmiotów zabezpieczeń, lista podmiotów zabezpieczeń dostępnych dla przypisania jest również filtrowana.

  

  Jeśli pełnomocnik próbuje przypisać rolę, która znajduje się poza warunkami przy użyciu interfejsu API, przypisanie roli kończy się niepowodzeniem z powodu błędu. Aby uzyskać więcej informacji, zobacz Objaw — nie można przypisać roli.

Następne kroki

• Delegowanie zarządzania dostępem do platformy Azure innym osobom
• Akcje autoryzacji i atrybuty