Gerenciar o acesso aos recursos do Azure usando o RBAC e o portal do AzureManage access to Azure resources using RBAC and the Azure portal

O RBAC (controle de acesso baseado em função) serve para gerenciar o acesso aos recursos do Azure.Role-based access control (RBAC) is the way that you manage access to Azure resources. Este artigo descreve como gerenciar o acesso usando o portal do Azure.This article describes how you manage access using the Azure portal. Se você precisar gerenciar o acesso ao Azure Active Directory, consulte modo de exibição e atribuir funções de administrador no Azure Active Directory.If you need to manage access to Azure Active Directory, see View and assign administrator roles in Azure Active Directory.

Pré-requisitosPrerequisites

Para adicionar e remover as atribuições de função, você deve ter:To add and remove role assignments, you must have:

Visão geral do controle de acesso (IAM)Overview of Access control (IAM)

Controle de acesso (IAM) é a folha que você pode usar para gerenciar o acesso aos recursos do Azure.Access control (IAM) is the blade that you use to manage access to Azure resources. Ele também é conhecido como gerenciamento de identidade e acesso e aparece em vários locais no portal do Azure.It's also known as identity and access management and appears in several locations in the Azure portal. O exemplo a seguir mostra um exemplo de folha de controle (IAM) de acesso para uma assinatura.The following shows an example of the Access control (IAM) blade for a subscription.

Folha IAM (controle) de acesso para uma assinatura

A tabela a seguir descreve o que alguns dos elementos são usados para:The following table describes what some of the elements are use for:

# ElementoElement O que você usá-lo paraWhat you use it for
11 Recursos em que o controle de acesso (IAM) é abertoResource where Access control (IAM) is opened Identifique o escopo (assinatura neste exemplo)Identify scope (subscription in this example)
22 Adicionar botãoAdd button Adicionar atribuições de funçãoAdd role assignments
33 Verificar acesso guiaCheck access tab Exibir as atribuições de função para um único usuárioView the role assignments for a single user
44 As atribuições de função guiaRole assignments tab Exibir as atribuições de função no escopo atualView the role assignments at the current scope
55 Funções guiaRoles tab Exibir todas as funções e permissõesView all roles and permissions

Para ser mais eficiente com a folha IAM (controle) de acesso, é útil se você pode responder as três perguntas a seguir quando você está tentando gerenciar o acesso:To be the most effective with the Access control (IAM) blade, it helps if you can answer the following three questions when you are trying to manage access:

  1. Quem precisa de acesso?Who needs access?

    Quem se refere a um usuário, o grupo, a entidade de serviço ou a identidade gerenciada.Who refers to a user, group, service principal, or managed identity. Isso também é chamado de um entidade de segurança.This is also called a security principal.

  2. Quais permissões eles precisam?What permissions do they need?

    As permissões são agrupadas em funções.Permissions are grouped together into roles. Você pode selecionar em uma lista de várias funções internas.You can select from a list of several built-in roles.

  3. Em que eles precisam acesso?Where do they need access?

    Em que se refere ao conjunto de recursos que o acesso se aplica à.Where refers to the set of resources that the access applies to. Onde pode ser um grupo de gerenciamento, assinatura, grupo de recursos ou um único recurso, como uma conta de armazenamento.Where can be a management group, subscription, resource group, or a single resource such as a storage account. Isso é chamado de escopo.This is called the scope.

Abra o controle de acesso (IAM)Open Access control (IAM)

A primeira coisa que você precisa decidir é onde abrir a folha IAM (controle) de acesso.The first thing you need to decide is where to open the Access control (IAM) blade. Depende de quais recursos você deseja gerenciar o acesso.It depends on what resources you want to manage access for. Você deseja gerenciar o acesso para tudo em um grupo de gerenciamento, tudo em uma assinatura, tudo em um grupo de recursos ou um único recurso?Do you want to manage access for everything in a management group, everything in a subscription, everything in a resource group, or a single resource?

  1. No portal do Azure, clique em todos os serviços e, em seguida, selecione o escopo.In the Azure portal, click All services and then select the scope. Por exemplo, você pode selecionar grupos de gerenciamento, assinaturas, grupos de recursos, ou um recurso.For example, you can select Management groups, Subscriptions, Resource groups, or a resource.

  2. Clique no recurso específico.Click the specific resource.

  3. Clique em Controle de acesso (IAM) .Click Access control (IAM).

    O exemplo a seguir mostra um exemplo de folha de controle (IAM) de acesso para uma assinatura.The following shows an example of the Access control (IAM) blade for a subscription. Se você fizer qualquer alteração de controle de acesso aqui, eles seriam aplica a toda a assinatura.If you make any access control changes here, they would apply to the entire subscription.

    Folha IAM (controle) de acesso para uma assinatura

Modo de exibição de funções e permissõesView roles and permissions

Uma definição de função é uma coleção de permissões que podem ser usadas para atribuições de função.A role definition is a collection of permissions that you use for role assignments. O Azure tem mais de 70 funções internas para recursos do Azure.Azure has over 70 built-in roles for Azure resources. Siga estas etapas para exibir as permissões e funções disponíveis.Follow these steps to view the available roles and permissions.

  1. Abra controle de acesso (IAM) em qualquer escopo.Open Access control (IAM) at any scope.

  2. Clique na guia Funções para ver uma lista de todas as funções integradas e personalizadas.Click the Roles tab to see a list of all the built-in and custom roles.

    Você pode ver o número de usuários e grupos que são atribuídos a cada função no escopo atual.You can see the number of users and groups that are assigned to each role at the current scope.

    Lista de funções

  3. Clique em uma função individual para ver quem foi atribuído a essa função e também visualize as permissões para a função.Click an individual role to see who has been assigned this role and also view the permissions for the role.

    Atribuições de funções

Exibir atribuições de funçãoView role assignments

Ao gerenciar o acesso, você deseja saber quem tem acesso, quais são suas permissões e em qual escopo.When managing access, you want to know who has access, what are their permissions, and at what scope. Para acesso de lista para um usuário, grupo, entidade de serviço ou uma identidade gerenciada, você exibir suas atribuições de função.To list access for a user, group, service principal, or managed identity, you view their role assignments.

Ver atribuições de função para um único usuárioView role assignments for a single user

Siga estas etapas para exibir o acesso para um único usuário, grupo, entidade de serviço ou identidade gerenciada em um escopo específico.Follow these steps to view the access for a single user, group, service principal, or managed identity at a particular scope.

  1. Abra Controle de acesso (IAM) em um escopo, como grupo de gerenciamento, assinatura, grupo de recursos ou recurso, no qual você deseja visualizar o acesso.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to view access.

  2. Clique na guia Verificar acesso.Click the Check access tab.

    Controle de acesso - verificar a guia de acesso

  3. Na lista Localizar, selecione o tipo de entidade de segurança para a qual você deseja verificar o acesso.In the Find list, select the type of security principal you want to check access for.

  4. Na caixa de pesquisa, insira uma cadeia de caracteres para pesquisar no diretório nomes de exibição, endereços de e-mail ou identificadores de objetos.In the search box, enter a string to search the directory for display names, email addresses, or object identifiers.

    Verifique a lista de seleção de acesso

  5. Clique na entidade de segurança para abrir o painel atribuições.Click the security principal to open the assignments pane.

    painel atribuições

    Nesse painel, você pode ver as funções atribuídas à entidade de segurança selecionada e o escopo.On this pane, you can see the roles assigned to the selected security principal and the scope. Se houver alguma atribuição de negação neste escopo ou herdada para esse escopo, ela será listada.If there are any deny assignments at this scope or inherited to this scope, they will be listed.

Exibir todas as atribuições de função em um escopoView all role assignments at a scope

  1. Abra Controle de acesso (IAM) em um escopo, como grupo de gerenciamento, assinatura, grupo de recursos ou recurso, no qual você deseja visualizar o acesso.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to view access.

  2. Clique na guia Atribuições de função para visualizar todas as atribuições de função nesse escopo.Click the Role assignments tab to view all the role assignments at this scope.

    Controle de acesso – guia de atribuições de função

    Na guia Atribuições de função, você pode ver quem tem acesso nesse escopo.On the Role assignments tab, you can see who has access at this scope. Observe que algumas funções são definidas para Este recurso enquanto outras são (Herdadas) de outro escopo.Notice that some roles are scoped to This resource while others are (Inherited) from another scope. O acesso é atribuído especificamente a esse recurso ou herdado de uma atribuição ao escopo pai.Access is either assigned specifically to this resource or inherited from an assignment to the parent scope.

Adicionar uma atribuição de funçãoAdd a role assignment

No RBAC, para conceder acesso, você atribui uma função a um usuário, grupo, entidade de serviço ou identidade gerenciada.In RBAC, to grant access, you assign a role to a user, group, service principal, or managed identity. Siga estas etapas para conceder acesso em diferentes escopos.Follow these steps to grant access at different scopes.

Atribuir uma função em um escopoAssign a role at a scope

  1. Abra Controle de acesso (IAM) em um escopo, como grupo de gerenciamento, assinatura, grupo de recursos ou recurso, no qual você deseja conceder acesso.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to grant access.

  2. Clique na guia Atribuições de função para visualizar todas as atribuições de função nesse escopo.Click the Role assignments tab to view all the role assignments at this scope.

  3. Clique em Adicionar > Adicionar atribuição de função para abrir o painel Adicionar atribuição de função.Click Add > Add role assignment to open the Add role assignment pane.

    Se você não tiver permissões para atribuir funções, a opção Adicionar atribuição de função será desativada.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Adicionar menu

    Adicionar painel de atribuição de função

  4. Na lista suspensa Função, selecione uma função, por exemplo, Colaborador da Máquina Virtual.In the Role drop-down list, select a role such as Virtual Machine Contributor.

  5. Na lista Selecionar, selecione um usuário, grupo, entidade de serviço ou identidade gerenciada.In the Select list, select a user, group, service principal, or managed identity. Se você não vir a entidade de segurança na lista, digite na caixa Selecionar para pesquisar nomes de exibição, endereços de email e identificadores de objeto no diretório.If you don't see the security principal in the list, you can type in the Select box to search the directory for display names, email addresses, and object identifiers.

  6. Clique em Salvar para atribuir a função.Click Save to assign the role.

    Após alguns instantes, a entidade de segurança é atribuída a função no escopo selecionado.After a few moments, the security principal is assigned the role at the selected scope.

Atribuir um usuário como um administrador de uma assinaturaAssign a user as an administrator of a subscription

Para tornar um usuário administrador de uma assinatura do Azure, atribua-o à função Proprietário no escopo da assinatura.To make a user an administrator of an Azure subscription, assign them the Owner role at the subscription scope. A função Proprietário permite ao usuário acesso completo a todos os recursos na assinatura, inclusive o direito de delegar acesso a outras pessoas.The Owner role gives the user full access to all resources in the subscription, including the right to delegate access to others. Essas etapas são as mesmas que as de qualquer outra atribuição de função.These steps are the same as any other role assignment.

  1. No portal do Microsoft Azure, clique em Todos os serviços e, em seguida, em Assinaturas.In the Azure portal, click All services and then Subscriptions.

  2. Clique na assinatura em que você deseja conceder acesso.Click the subscription where you want to grant access.

  3. Clique em controle de acesso (IAM) .Click Access control (IAM).

  4. Clique na guia Atribuições de funções para visualizar todas as atribuições de função para essa assinatura.Click the Role assignments tab to view all the role assignments for this subscription.

  5. Clique em Adicionar > Adicionar atribuição de função para abrir o painel Adicionar atribuição de função.Click Add > Add role assignment to open the Add role assignment pane.

    Se você não tiver permissões para atribuir funções, a opção Adicionar atribuição de função será desativada.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Adicionar menu

    Adicionar painel de atribuição de função

  6. Na lista suspensa Função, selecione a função Proprietário.In the Role drop-down list, select the Owner role.

  7. Na lista Selecionar, selecione um usuário.In the Select list, select a user. Se o usuário não estiver na lista, digite na caixa Selecionar para pesquisar no diretório os nomes de exibição e os endereços de email.If you don't see the user in the list, you can type in the Select box to search the directory for display names and email addresses.

  8. Clique em Salvar para atribuir a função.Click Save to assign the role.

    Após alguns instantes, o usuário é atribuído à função Proprietário no escopo da assinatura.After a few moments, the user is assigned the Owner role at the subscription scope.

Remover atribuições de funçãoRemove role assignments

No RBAC, para remover o acesso, você deve remover uma atribuição de função.In RBAC, to remove access, you remove a role assignment. Siga estas etapas para remover o acesso.Follow these steps to remove access.

  1. Abra Controle de acesso (IAM) em um escopo, como grupo de gerenciamento, assinatura, grupo de recursos ou recurso, no qual você deseja remover o acesso.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to remove access.

  2. Clique na guia Atribuições de funções para visualizar todas as atribuições de função para essa assinatura.Click the Role assignments tab to view all the role assignments for this subscription.

  3. Na lista de atribuições de função, marque a caixa de seleção ao lado de objeto com a atribuição de função de segurança que você deseja remover.In the list of role assignments, add a checkmark next to the security principal with the role assignment you want to remove.

    Remover mensagem de atribuição de função

  4. Clique em Remover.Click Remove.

    Remover mensagem de atribuição de função

  5. Na mensagem para remover a atribuição de função exibida, clique em Sim.In the remove role assignment message that appears, click Yes.

    As atribuições herdadas não podem ser removidas.Inherited role assignments cannot be removed. Se você precisar remover uma atribuição de função herdada, precisará fazê-lo no escopo em que a atribuição de função foi criada.If you need to remove an inherited role assignment, you must do it at the scope where the role assignment was created. No escopo coluna, próximo a (herdado) há um link que leva você para o escopo em que essa função foi atribuída.In the Scope column, next to (Inherited) there is a link that takes you to the scope where this role was assigned. Vá para o escopo listado a fim de remover a atribuição de função.Go to the scope listed there to remove the role assignment.

    Remover mensagem de atribuição de função

Próximas etapasNext steps