Passos para atribuir um papel de Azure

O controlo de acesso baseado em funções Azure (Azure RBAC) é o sistema de autorização que utiliza para gerir o acesso aos recursos Azure. Para conceder acesso, atribua funções a utilizadores, grupos, principais de serviço ou identidades geridas num determinado âmbito. Este artigo descreve os passos de alto nível para atribuir funções Azure utilizando o portal Azure, Azure PowerShell, Azure CLI,ou a API REST.

Passo 1: Determinar quem precisa de acesso

Primeiro tens de determinar quem precisa de acesso. Pode atribuir uma função a um utilizador, grupo, principal de serviço ou identidade gerida. Isto também é chamado de diretor de segurança.

Principal de segurança para uma atribuição de função

  • Utilizador – Um indivíduo que tem um perfil no Azure Active Directory. Também pode atribuir funções a utilizadores noutros inquilinos. Para obter informações sobre utilizadores noutras organizações, veja Azure Active Directory B2B.
  • Grupo – Um conjunto de utilizadores criado no Azure Active Directory. Quando atribui uma função a um grupo, todos os utilizadores nesse grupo têm essa função.
  • Principal de serviço – Uma identidade de segurança utilizada por aplicações ou serviços para aceder a recursos específicos do Azure. Pode considerá-lo como uma identidade de utilizador (nome de utilizador e palavra-passe ou certificado) para uma aplicação.
  • Identidade gerida - Uma identidade no Azure Ative Directory que é gerida automaticamente pela Azure. Normalmente, utiliza identidades geridas ao desenvolver aplicações em nuvem para gerir as credenciais para autenticação nos serviços Azure.

Passo 2: Selecione a função adequada

As permissões são agrupadas numa definição de papel. Normalmente chama-se um papel. Pode selecionar a partir de uma lista de várias funções incorporadas. Se as funções incorporadas não suprirem as necessidades específicas da sua organização, pode criar as suas próprias funções personalizadas.

Definição de função para atribuição de função

São apresentadas em seguida quatro funções incorporadas fundamentais. As três primeiras aplicam-se a todos os tipos de recursos.

  • Proprietário – tem acesso total a todos os recursos, incluindo o direito de delegar o acesso a outras pessoas.
  • Contribuidor – pode criar e gerir todos os tipos de recursos do Azure, mas não pode conceder acesso a outras pessoas.
  • Leitor - Pode ver os recursos Azure existentes.
  • Administrador de Acesso dos Utilizadores – permite gerir o acesso dos utilizadores aos recursos do Azure.

As restantes funções incorporadas permitem a gestão de recursos específicos do Azure. Por exemplo, a função Contribuidor de Máquina Virtual permite a um utilizador criar e gerir máquinas virtuais.

  1. Comece com o artigo abrangente, Azure incorporado. A tabela no topo do artigo é um índice para os detalhes mais tarde no artigo.

  2. Nesse artigo, navegue na categoria de serviço (como computação, armazenamento e bases de dados) para obter o recurso a que pretende conceder permissões. A maneira mais fácil de encontrar o que procura é normalmente procurar na página uma palavra-chave relevante, como "blob", "máquina virtual", e assim por diante.

  3. Reveja as funções listadas para a categoria de serviço e identifique as operações específicas de que necessita. Mais uma vez, comece sempre com o papel mais restritivo.

    Por exemplo, se um responsável de segurança precisar de ler bolhas numa conta de armazenamento Azure, mas não precisar de acesso por escrito, então escolha o Storage Blob Data Reader em vez de Storage Blob Data Contributor (e definitivamente não a função de proprietário de dados de armazenamento ao nível do administrador). Pode sempre atualizar as atribuições de funções mais tarde, se necessário.

  4. Se não encontrar um papel adequado, pode criar um papel personalizado.

Passo 3: Identificar o âmbito necessário

Âmbito é o conjunto de recursos a que o acesso se aplica. Em Azure, pode especificar um âmbito a quatro níveis: grupo de gestão,subscrição, grupo de recursose recursos. Os âmbitos são estruturados numa relação de principal-subordinado. Cada nível de hierarquia torna o âmbito mais específico. Pode atribuir funções em qualquer um destes níveis de âmbito. O nível selecionado determina a largura da função. Níveis mais baixos herdam permissões de função de níveis mais altos.

Âmbito de uma atribuição de função

Quando atribui um papel no âmbito dos pais, essas permissões são herdadas para as miras da criança. Por exemplo:

  • Se atribuir a função Reader a um utilizador no âmbito do grupo de gestão, esse utilizador pode ler tudo em todas as subscrições do grupo de gestão.
  • Se atribuir o papel de Billing Reader a um grupo no âmbito de subscrição, os membros desse grupo podem ler dados de faturação para cada grupo de recursos e recursos na subscrição.
  • Se atribuir a função Contribuidor a uma aplicação no âmbito do grupo de recursos, pode gerir recursos de todos os tipos no grupo de recursos, mas não outros grupos de recursos na subscrição.

É uma boa prática conceder aos diretores de segurança o privilégio que precisam para desempenhar o seu trabalho. Evite atribuir papéis mais amplos a âmbitos mais amplos, mesmo que inicialmente pareça mais conveniente. Limitando papéis e âmbitos, limita-se os recursos em risco se o diretor de segurança estiver alguma vez comprometido.Para mais informações, consulte o âmbito de aplicação.

Passo 4: Verifique os seus pré-requisitos

Para atribuir funções, tem de ser contratado com um utilizador que lhe seja atribuído uma função que tenha atribuições de funções a escrever permissão, como Proprietário ou Administrador de Acesso ao Utilizador no âmbito em que está a tentar atribuir a função. Da mesma forma, para remover uma atribuição de funções, você deve ter as atribuições de funções eliminar permissão.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Se a sua conta de utilizador não tiver permissão para atribuir uma função dentro da sua subscrição, vê uma mensagem de erro que a sua conta "não tem autorização para executar ações 'Microsoft.Autorização/funAsignments/write'". Neste caso, contacte os administradores da sua subscrição, uma vez que podem atribuir as permissões em seu nome.

Se estiver a usar um diretor de serviço para atribuir funções, poderá obter o erro "Privilégios insuficientes para completar a operação". Este erro é provável porque a Azure está a tentar procurar a identidade do destinatário no Azure Ative Directory (Azure AD) e o diretor de serviço não pode ler a Azure AD por padrão. Neste caso, você precisa conceder ao serviço permissão principal para ler dados no diretório. Em alternativa, se estiver a utilizar o Azure CLI, pode criar a atribuição de funções utilizando o ID do objeto designado para saltar a procura AZure AD. Para mais informações, consulte Troubleshoot Azure RBAC.

Passo 5. Atribuir função

Assim que souberes o diretor de segurança, o papel e o alcance, podes atribuir o papel. Pode atribuir funções utilizando o portal Azure, Azure PowerShell, Azure CLI, Azure SDKs ou REST APIs. Pode ter até 2000 atribuições de funções em cada subscrição. Este limite inclui atribuições de funções nos âmbitos de subscrição, grupo de recursos e recursos. Você pode ter até 500 atribuições de papel em cada grupo de gestão.

Confira os seguintes artigos para obter etapas detalhadas sobre como atribuir funções.

Passos seguintes