Adicionar ou remover atribuições de função do Azure usando o portal do AzureAdd or remove Azure role assignments using the Azure portal

O RBAC (controle de acesso baseado em função) do Azure é o sistema de autorização usado para gerenciar o acesso aos recursos no Azure.Azure role-based access control (Azure RBAC) is the authorization system you use to manage access to Azure resources. Para conceder acesso, você atribui funções a usuários, grupos, entidades de serviço ou identidades gerenciadas em um determinado escopo.To grant access, you assign roles to users, groups, service principals, or managed identities at a particular scope. Este artigo descreve como atribuir funções usando o portal do Azure.O RBAC (controle de acesso baseado em função) do Azure é o sistema de autorização usado para gerenciar o acesso aos recursos no Azure.Azure role-based access control (Azure RBAC) is the authorization system you use to manage access to Azure resources. Para conceder acesso, você atribui funções a usuários, grupos, entidades de serviço ou identidades gerenciadas em um determinado escopo.To grant access, you assign roles to users, groups, service principals, or managed identities at a particular scope. This article describes how to assign roles using the Azure portal.

Se você precisar atribuir funções de administrador no Azure Active Directory, consulte Exibir e atribuir funções de administrador no Azure Active Directory.If you need to assign administrator roles in Azure Active Directory, see View and assign administrator roles in Azure Active Directory.

Pré-requisitosPrerequisites

Para adicionar ou remover atribuições de função, você deve ter:To add or remove role assignments, you must have:

Adicionar uma atribuição de funçãoAdd a role assignment

No RBAC do Azure, para conceder acesso a um recurso do Azure, você adiciona uma atribuição de função.In Azure RBAC, to grant access to an Azure resource, you add a role assignment. Siga estas etapas para atribuir uma função.Follow these steps to assign a role. Para obter uma visão geral de alto nível das etapas, consulte etapas para adicionar uma atribuição de função.For a high-level overview of steps, see Steps to add a role assignment.

Etapa 1: identificar o escopo necessárioStep 1: Identify the needed scope

Ao atribuir funções, você deve especificar um escopo.When you assign roles, you must specify a scope. Escopo é o conjunto de recursos aos quais o acesso se aplica.Scope is the set of resources the access applies to. No Azure, você pode especificar um escopo em quatro níveis de amplo para estreito: grupo de gerenciamento, assinatura, grupo de recursose recurso.In Azure, you can specify a scope at four levels from broad to narrow: management group, subscription, resource group, and resource.

É uma prática recomendada conceder aos princípios de segurança o privilégio mínimo de que eles precisam para executar seu trabalho.It's a best practice to grant security principals the least privilege they need to perform their job. Evite atribuir funções mais amplas em escopos mais amplos, mesmo que pareça inicialmente mais conveniente.Avoid assigning broader roles at broader scopes even if it initially seems more convenient. Ao limitar as funções e os escopos, você limita quais recursos estão em risco se a entidade de segurança for comprometida.By limiting roles and scopes, you limit what resources are at risk if the security principal is ever compromised. Para obter mais informações sobre escopo, consulte entender o escopo.É uma prática recomendada conceder aos princípios de segurança o privilégio mínimo de que eles precisam para executar seu trabalho.It's a best practice to grant security principals the least privilege they need to perform their job. Evite atribuir funções mais amplas em escopos mais amplos, mesmo que pareça inicialmente mais conveniente.Avoid assigning broader roles at broader scopes even if it initially seems more convenient. Ao limitar as funções e os escopos, você limita quais recursos estão em risco se a entidade de segurança for comprometida.By limiting roles and scopes, you limit what resources are at risk if the security principal is ever compromised. For more information about scope, see Understand scope.

Níveis de escopo para o Azure RBAC

  1. Entre no portal do Azure.Sign in to the Azure portal.

  2. Na caixa de pesquisa na parte superior, pesquise o escopo ao qual você deseja conceder acesso.In the Search box at the top, search for the scope you want to grant access to. Por exemplo, pesquise grupos de gerenciamento, assinaturas, grupos de recursos ou um recurso específico.For example, search for Management groups, Subscriptions, Resource groups, or a specific resource.

    portal do Azure Pesquisar o grupo de recursos

  3. Clique no recurso específico para esse escopo.Click the specific resource for that scope.

    A seguir é mostrado um exemplo de grupo de recursos.The following shows an example resource group.

    Visão geral do grupo de recursos

Etapa 2: abrir o painel Adicionar atribuição de funçãoStep 2: Open the Add role assignment pane

O controle de acesso (iam) é a página que você normalmente usa para atribuir funções para conceder acesso aos recursos do Azure.Access control (IAM) is the page that you typically use to assign roles to grant access to Azure resources. Ele também é conhecido como IAM (gerenciamento de identidades e acesso) e aparece em vários locais na portal do Azure.It's also known as identity and access management (IAM) and appears in several locations in the Azure portal.

  1. Clique em IAM (Controle de Acesso).Click Access control (IAM).

    O exemplo a seguir mostra a página Controle de acesso (IAM) para um grupo de recursos.The following shows an example of the Access control (IAM) page for a resource group.

    Página de controle de acesso (IAM) para um grupo de recursos

  2. Clique na guia atribuições de função para exibir as atribuições de função nesse escopo.Click the Role assignments tab to view the role assignments at this scope.

  3. Clique em Adicionar > Adicionar atribuição de função.Click Add > Add role assignment. Se você não tiver permissões para atribuir funções, a opção Adicionar atribuição de função será desativada.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Adicionar menu de atribuição de função

    O painel Adicionar atribuição de função é aberto.The Add role assignment pane opens.

    Adicionar painel de atribuição de função

Etapa 3: selecione a função apropriadaStep 3: Select the appropriate role

  1. Na lista função , pesquise ou role para localizar a função que você deseja atribuir.In the Role list, search or scroll to find the role that you want to assign.

    Para ajudá-lo a determinar a função apropriada, você pode passar o mouse sobre o ícone de informações para exibir uma descrição para a função.To help you determine the appropriate role, you can hover over the info icon to display a description for the role. Para obter informações adicionais, você pode exibir o artigo funções internas do Azure .For additional information, you can view the Azure built-in roles article.

    Selecionar função em Adicionar atribuição de função

  2. Clique para selecionar a função.Click to select the role.

Etapa 4: Selecione quem precisa de acessoStep 4: Select who needs access

  1. Na lista atribuir acesso a , selecione o tipo de entidade de segurança ao qual atribuir acesso.In the Assign access to list, select the type of security principal to assign access to.

    TipoType DescriçãoDescription
    Usuário, grupo ou entidade de serviçoUser, group, or service principal Se você quiser atribuir a função a um usuário, grupo ou entidade de serviço (aplicativo), selecione este tipo.If you want to assign the role to a user, group, or service principal (application), select this type.
    Identidade gerenciada atribuída pelo usuárioUser assigned managed identity Se você quiser atribuir a função a uma identidade gerenciada atribuída pelo usuário, selecione este tipo.If you want to assign the role to a user-assigned managed identity, select this type.
    Identidade gerenciada atribuída ao sistemaSystem assigned managed identity Se você quiser atribuir a função a uma identidade gerenciada atribuída pelo sistema, selecione a instância de serviço do Azure na qual a identidade gerenciada está localizada.If you want to assign the role to a system-assigned managed identity, select the Azure service instance where the managed identity is located.

    Selecionar tipo de entidade de segurança em Adicionar atribuição de função

  2. Se você selecionou uma identidade gerenciada atribuída pelo usuário ou uma identidade gerenciada atribuída pelo sistema, selecione a assinatura na qual a identidade gerenciada está localizada.If you selected a user-assigned managed identity or a system-assigned managed identity, select the Subscription where the managed identity is located.

  3. Na seção selecionar , pesquise a entidade de segurança inserindo uma cadeia de caracteres ou rolando a lista.In the Select section, search for the security principal by entering a string or scrolling through the list.

    Selecionar usuário em Adicionar atribuição de função

  4. Depois de encontrar a entidade de segurança, clique para selecioná-la.Once you have found the security principal, click to select it.

Etapa 5: atribuir funçãoStep 5: Assign role

  1. Para atribuir a função, clique em salvar.To assign the role, click Save.

    Após alguns instantes, a entidade de segurança é atribuída a função no escopo selecionado.After a few moments, the security principal is assigned the role at the selected scope.

  2. Na guia atribuições de função , verifique se você vê a atribuição de função na lista.On the Role assignments tab, verify that you see the role assignment in the list.

    Adicionar atribuição de função salva

Excluir uma atribuição de funçãoRemove a role assignment

No RBAC do Azure, para remover o acesso de um recurso do Azure, você remove uma atribuição de função.In Azure RBAC, to remove access from an Azure resource, you remove a role assignment. Siga estas etapas para remover uma atribuição de função.Follow these steps to remove a role assignment.

  1. Abra Controle de acesso (IAM) em um escopo, como grupo de gerenciamento, assinatura, grupo de recursos ou recurso, no qual você deseja remover o acesso.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to remove access.

  2. Clique na guia Atribuições de função para visualizar todas as atribuições de função nesse escopo.Click the Role assignments tab to view all the role assignments at this scope.

  3. Na lista de atribuições de função, marque a caixa de seleção ao lado de objeto com a atribuição de função de segurança que você deseja remover.In the list of role assignments, add a checkmark next to the security principal with the role assignment you want to remove.

    Atribuição de função selecionada a ser removida

  4. Clique em Remover.Click Remove.

    Remover mensagem de atribuição de função

  5. Na mensagem para remover a atribuição de função exibida, clique em Sim.In the remove role assignment message that appears, click Yes.

    Se você vir uma mensagem informando que as atribuições de função herdadas não podem ser removidas, você está tentando remover uma atribuição de função em um escopo filho.If you see a message that inherited role assignments cannot be removed, you are trying to remove a role assignment at a child scope. Você deve abrir o controle de acesso (IAM) no escopo onde a função foi atribuída e tentar novamente.You should open Access control (IAM) at the scope where the role was assigned and try again. Uma maneira rápida de abrir o controle de acesso (IAM) no escopo correto é examinar a coluna escopo e clicar no link ao lado de (Herdado).A quick way to open Access control (IAM) at the correct scope is to look at the Scope column and click the link next to (Inherited).

    Remover mensagem de atribuição de função para atribuições de função herdadas

Próximas etapasNext steps