Adicionar ou remover atribuições de função usando o RBAC do Azure e o portal do AzureAdd or remove role assignments using Azure RBAC and the Azure portal

O RBAC (controle de acesso baseado em função) do Azure é o sistema de autorização que você usa para gerenciar o acesso aos recursos do Azure.Azure role-based access control (RBAC) is the authorization system you use to manage access to Azure resources. Para conceder acesso, você atribui funções a usuários, grupos, entidades de serviço ou identidades gerenciadas em um determinado escopo.To grant access, you assign roles to users, groups, service principals, or managed identities at a particular scope. este artigo descreve como atribuir funções usando o portal do Azure.O RBAC (controle de acesso baseado em função) do Azure é o sistema de autorização que você usa para gerenciar o acesso aos recursos do Azure.Azure role-based access control (RBAC) is the authorization system you use to manage access to Azure resources. Para conceder acesso, você atribui funções a usuários, grupos, entidades de serviço ou identidades gerenciadas em um determinado escopo.To grant access, you assign roles to users, groups, service principals, or managed identities at a particular scope. This article describes how to assign roles using the Azure portal.

Se você precisar atribuir funções de administrador no Azure Active Directory, consulte Exibir e atribuir funções de administrador no Azure Active Directory.If you need to assign administrator roles in Azure Active Directory, see View and assign administrator roles in Azure Active Directory.

Pré-requisitosPrerequisites

Para adicionar ou remover atribuições de função, você deve ter:To add or remove role assignments, you must have:

Visão geral do controle de acesso (IAM)Overview of Access control (IAM)

O iam (controle de acesso) é a folha que você usa para atribuir funções.Access control (IAM) is the blade that you use to assign roles. Ele também é conhecido como gerenciamento de identidade e acesso e aparece em vários locais na portal do Azure.It's also known as identity and access management and appears in several locations in the Azure portal. O exemplo a seguir mostra um exemplo de folha de controle (IAM) de acesso para uma assinatura.The following shows an example of the Access control (IAM) blade for a subscription.

Folha IAM (controle) de acesso para uma assinatura

Para ser o mais eficaz com a folha de controle de acesso (IAM), ele ajuda se você pode responder às três perguntas a seguir ao tentar atribuir uma função:To be the most effective with the Access control (IAM) blade, it helps if you can answer the following three questions when you are trying to assign a role:

  1. Quem precisa de acesso?Who needs access?

    Quem se refere a um usuário, grupo, entidade de serviço ou identidade gerenciada.Who refers to a user, group, service principal, or managed identity. Isso também é chamado de entidade de segurança.This is also called a security principal.

  2. De que função eles precisam?What role do they need?

    As permissões são agrupadas em funções.Permissions are grouped together into roles. Você pode selecionar em uma lista de várias funções internas ou usar suas próprias funções personalizadas.You can select from a list of several built-in roles or you use your own custom roles.

  3. Onde eles precisam de acesso?Where do they need access?

    Em que se refere ao conjunto de recursos ao qual o acesso se aplica.Where refers to the set of resources that the access applies to. Onde pode ser um grupo de gerenciamento, uma assinatura, um grupo de recursos ou um único recurso, como uma conta de armazenamento.Where can be a management group, subscription, resource group, or a single resource such as a storage account. Isso é chamado de escopo.This is called the scope.

Adicionar uma atribuição de funçãoAdd a role assignment

Siga estas etapas para atribuir uma função em escopos diferentes.Follow these steps to assign a role at different scopes.

  1. No portal do Azure, clique em todos os serviços e, em seguida, selecione o escopo.In the Azure portal, click All services and then select the scope. Por exemplo, você pode selecionar grupos de gerenciamento, assinaturas, grupos de recursos, ou um recurso.For example, you can select Management groups, Subscriptions, Resource groups, or a resource.

  2. Clique no recurso específico.Click the specific resource.

  3. Clique em Controle de acesso (IAM) .Click Access control (IAM).

  4. Clique na guia Atribuições de função para visualizar todas as atribuições de função nesse escopo.Click the Role assignments tab to view all the role assignments at this scope.

  5. Clique em Adicionar > Adicionar atribuição de função para abrir o painel Adicionar atribuição de função.Click Add > Add role assignment to open the Add role assignment pane.

    Se você não tiver permissões para atribuir funções, a opção Adicionar atribuição de função será desativada.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Adicionar menu

    Adicionar painel de atribuição de função

  6. Na lista suspensa Função, selecione uma função, por exemplo, Colaborador da Máquina Virtual.In the Role drop-down list, select a role such as Virtual Machine Contributor.

  7. Na lista Selecionar, selecione um usuário, grupo, entidade de serviço ou identidade gerenciada.In the Select list, select a user, group, service principal, or managed identity. Se você não vir a entidade de segurança na lista, digite na caixa Selecionar para pesquisar nomes de exibição, endereços de email e identificadores de objeto no diretório.If you don't see the security principal in the list, you can type in the Select box to search the directory for display names, email addresses, and object identifiers.

  8. Clique em Salvar para atribuir a função.Click Save to assign the role.

    Após alguns instantes, a entidade de segurança é atribuída a função no escopo selecionado.After a few moments, the security principal is assigned the role at the selected scope.

Atribuir um usuário como um administrador de uma assinaturaAssign a user as an administrator of a subscription

Para tornar um usuário administrador de uma assinatura do Azure, atribua-o à função Proprietário no escopo da assinatura.To make a user an administrator of an Azure subscription, assign them the Owner role at the subscription scope. A função proprietário dá ao usuário acesso completo a todos os recursos na assinatura, incluindo a permissão para conceder acesso a outras pessoas.The Owner role gives the user full access to all resources in the subscription, including the permission to grant access to others. Essas etapas são as mesmas que as de qualquer outra atribuição de função.These steps are the same as any other role assignment.

  1. No portal do Microsoft Azure, clique em Todos os serviços e, em seguida, em Assinaturas.In the Azure portal, click All services and then Subscriptions.

  2. Clique na assinatura em que você deseja adicionar uma atribuição de função.Click the subscription where you want to add a role assignment.

  3. Clique em Controle de acesso (IAM) .Click Access control (IAM).

  4. Clique na guia Atribuições de funções para visualizar todas as atribuições de função para essa assinatura.Click the Role assignments tab to view all the role assignments for this subscription.

  5. Clique em Adicionar > Adicionar atribuição de função para abrir o painel Adicionar atribuição de função.Click Add > Add role assignment to open the Add role assignment pane.

    Se você não tiver permissões para atribuir funções, a opção Adicionar atribuição de função será desativada.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Adicionar menu

    Adicionar painel de atribuição de função

  6. Na lista suspensa Função, selecione a função Proprietário.In the Role drop-down list, select the Owner role.

  7. Na lista Selecionar, selecione um usuário.In the Select list, select a user. Se o usuário não estiver na lista, digite na caixa Selecionar para pesquisar no diretório os nomes de exibição e os endereços de email.If you don't see the user in the list, you can type in the Select box to search the directory for display names and email addresses.

  8. Clique em Salvar para atribuir a função.Click Save to assign the role.

    Após alguns instantes, o usuário é atribuído à função Proprietário no escopo da assinatura.After a few moments, the user is assigned the Owner role at the subscription scope.

Excluir uma atribuição de funçãoRemove a role assignment

No RBAC, para remover o acesso, você deve remover uma atribuição de função.In RBAC, to remove access, you remove a role assignment. Siga estas etapas para remover uma atribuição de função.Follow these steps to remove a role assignment.

  1. Abra Controle de acesso (IAM) em um escopo, como grupo de gerenciamento, assinatura, grupo de recursos ou recurso, no qual você deseja remover o acesso.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to remove access.

  2. Clique na guia Atribuições de funções para visualizar todas as atribuições de função para essa assinatura.Click the Role assignments tab to view all the role assignments for this subscription.

  3. Na lista de atribuições de função, marque a caixa de seleção ao lado de objeto com a atribuição de função de segurança que você deseja remover.In the list of role assignments, add a checkmark next to the security principal with the role assignment you want to remove.

    Remover mensagem de atribuição de função

  4. Clique em Remover.Click Remove.

    Remover mensagem de atribuição de função

  5. Na mensagem para remover a atribuição de função exibida, clique em Sim.In the remove role assignment message that appears, click Yes.

    As atribuições herdadas não podem ser removidas.Inherited role assignments cannot be removed. Se você precisar remover uma atribuição de função herdada, precisará fazê-lo no escopo em que a atribuição de função foi criada.If you need to remove an inherited role assignment, you must do it at the scope where the role assignment was created. No escopo coluna, próximo a (herdado) há um link que leva você para o escopo em que essa função foi atribuída.In the Scope column, next to (Inherited) there is a link that takes you to the scope where this role was assigned. Vá para o escopo listado a fim de remover a atribuição de função.Go to the scope listed there to remove the role assignment.

    Remover mensagem de atribuição de função

Próximos passosNext steps