Atribuir funções do Azure usando o portal do AzureAssign Azure roles using the Azure portal

• 02/15/2021
• 3 minutos para o fim da leitura
• • r
  • o
  • i

O RBAC (controle de acesso baseado em função) do Azure é o sistema de autorização usado para gerenciar o acesso aos recursos no Azure.Azure role-based access control (Azure RBAC) is the authorization system you use to manage access to Azure resources. Para conceder acesso, você atribui funções a usuários, grupos, entidades de serviço ou identidades gerenciadas em um determinado escopo.To grant access, you assign roles to users, groups, service principals, or managed identities at a particular scope. Este artigo descreve como atribuir funções usando o portal do Azure.O RBAC (controle de acesso baseado em função) do Azure é o sistema de autorização usado para gerenciar o acesso aos recursos no Azure.Azure role-based access control (Azure RBAC) is the authorization system you use to manage access to Azure resources. Para conceder acesso, você atribui funções a usuários, grupos, entidades de serviço ou identidades gerenciadas em um determinado escopo.To grant access, you assign roles to users, groups, service principals, or managed identities at a particular scope. This article describes how to assign roles using the Azure portal.

Se você precisar atribuir funções de administrador no Azure Active Directory, consulte Exibir e atribuir funções de administrador no Azure Active Directory.If you need to assign administrator roles in Azure Active Directory, see View and assign administrator roles in Azure Active Directory.

Pré-requisitosPrerequisites

Para atribuir funções do Azure, você deve ter:To assign Azure roles, you must have:

• Microsoft.Authorization/roleAssignments/write permissões, como administrador de acesso do usuário ou proprietárioMicrosoft.Authorization/roleAssignments/write permissions, such as User Access Administrator or Owner

Etapa 1: identificar o escopo necessárioStep 1: Identify the needed scope

Ao atribuir funções, você deve especificar um escopo.When you assign roles, you must specify a scope. Escopo é o conjunto de recursos aos quais o acesso se aplica.Scope is the set of resources the access applies to. No Azure, você pode especificar um escopo em quatro níveis de amplo para estreito: grupo de gerenciamento, assinatura, grupo de recursose recurso.In Azure, you can specify a scope at four levels from broad to narrow: management group, subscription, resource group, and resource.

É uma prática recomendada conceder aos princípios de segurança o privilégio mínimo de que eles precisam para executar seu trabalho.It's a best practice to grant security principals the least privilege they need to perform their job. Evite atribuir funções mais amplas em escopos mais amplos, mesmo que pareça inicialmente mais conveniente.Avoid assigning broader roles at broader scopes even if it initially seems more convenient. Ao limitar as funções e os escopos, você limita quais recursos estão em risco se a entidade de segurança for comprometida.By limiting roles and scopes, you limit what resources are at risk if the security principal is ever compromised. Para obter mais informações sobre escopo, consulte entender o escopo.É uma prática recomendada conceder aos princípios de segurança o privilégio mínimo de que eles precisam para executar seu trabalho.It's a best practice to grant security principals the least privilege they need to perform their job. Evite atribuir funções mais amplas em escopos mais amplos, mesmo que pareça inicialmente mais conveniente.Avoid assigning broader roles at broader scopes even if it initially seems more convenient. Ao limitar as funções e os escopos, você limita quais recursos estão em risco se a entidade de segurança for comprometida.By limiting roles and scopes, you limit what resources are at risk if the security principal is ever compromised. For more information about scope, see Understand scope.

1. Entre no portal do Azure.Sign in to the Azure portal.

2. Na caixa de pesquisa na parte superior, pesquise o escopo ao qual você deseja conceder acesso.In the Search box at the top, search for the scope you want to grant access to. Por exemplo, pesquise grupos de gerenciamento, assinaturas, grupos de recursos ou um recurso específico.For example, search for Management groups, Subscriptions, Resource groups, or a specific resource.

   

3. Clique no recurso específico para esse escopo.Click the specific resource for that scope.

   A seguir é mostrado um exemplo de grupo de recursos.The following shows an example resource group.

   

Etapa 2: abrir o painel Adicionar atribuição de funçãoStep 2: Open the Add role assignment pane

O controle de acesso (iam) é a página que você normalmente usa para atribuir funções para conceder acesso aos recursos do Azure.Access control (IAM) is the page that you typically use to assign roles to grant access to Azure resources. Ele também é conhecido como IAM (gerenciamento de identidades e acesso) e aparece em vários locais na portal do Azure.It's also known as identity and access management (IAM) and appears in several locations in the Azure portal.

1. Clique em IAM (Controle de Acesso).Click Access control (IAM).

   O exemplo a seguir mostra a página Controle de acesso (IAM) para um grupo de recursos.The following shows an example of the Access control (IAM) page for a resource group.

   

2. Clique na guia atribuições de função para exibir as atribuições de função nesse escopo.Click the Role assignments tab to view the role assignments at this scope.

3. Clique em Adicionar > Adicionar atribuição de função.Click Add > Add role assignment. Se você não tiver permissões para atribuir funções, a opção Adicionar atribuição de função será desativada.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

   

   O painel Adicionar atribuição de função é aberto.The Add role assignment pane opens.

   

Etapa 3: selecione a função apropriadaStep 3: Select the appropriate role

1. Na lista função , pesquise ou role para localizar a função que você deseja atribuir.In the Role list, search or scroll to find the role that you want to assign.

   Para ajudá-lo a determinar a função apropriada, você pode passar o mouse sobre o ícone de informações para exibir uma descrição para a função.To help you determine the appropriate role, you can hover over the info icon to display a description for the role. Para obter informações adicionais, você pode exibir o artigo funções internas do Azure .For additional information, you can view the Azure built-in roles article.

   

2. Clique para selecionar a função.Click to select the role.

Etapa 4: Selecione quem precisa de acessoStep 4: Select who needs access

1. Na lista atribuir acesso a , selecione o tipo de entidade de segurança ao qual atribuir acesso.In the Assign access to list, select the type of security principal to assign access to.

   TypeType	DescriçãoDescription
   Usuário, grupo ou entidade de serviçoUser, group, or service principal	Se você quiser atribuir a função a um usuário, grupo ou entidade de serviço (aplicativo), selecione este tipo.If you want to assign the role to a user, group, or service principal (application), select this type.
   Identidade gerenciada atribuída pelo usuárioUser assigned managed identity	Se você quiser atribuir a função a uma identidade gerenciada atribuída pelo usuário, selecione este tipo.If you want to assign the role to a user-assigned managed identity, select this type.
   Identidade gerenciada atribuída ao sistemaSystem assigned managed identity	Se você quiser atribuir a função a uma identidade gerenciada atribuída pelo sistema, selecione a instância de serviço do Azure na qual a identidade gerenciada está localizada.If you want to assign the role to a system-assigned managed identity, select the Azure service instance where the managed identity is located.

   

2. Se você selecionou uma identidade gerenciada atribuída pelo usuário ou uma identidade gerenciada atribuída pelo sistema, selecione a assinatura na qual a identidade gerenciada está localizada.If you selected a user-assigned managed identity or a system-assigned managed identity, select the Subscription where the managed identity is located.

3. Na seção selecionar , pesquise a entidade de segurança inserindo uma cadeia de caracteres ou rolando a lista.In the Select section, search for the security principal by entering a string or scrolling through the list.

   

4. Depois de encontrar a entidade de segurança, clique para selecioná-la.Once you have found the security principal, click to select it.

Etapa 5: atribuir funçãoStep 5: Assign role

1. Para atribuir a função, clique em salvar.To assign the role, click Save.

   Após alguns instantes, a entidade de segurança é atribuída a função no escopo selecionado.After a few moments, the security principal is assigned the role at the selected scope.

2. Na guia atribuições de função , verifique se você vê a atribuição de função na lista.On the Role assignments tab, verify that you see the role assignment in the list.

   

Próximas etapasNext steps

• Atribuir a um usuário a função de administrador de uma assinatura do AzureAssign a user as an administrator of an Azure subscription
• Remover atribuições de função do AzureRemove Azure role assignments
• Solucionar problemas do RBAC do AzureTroubleshoot Azure RBAC