Delegera Azure-åtkomsthantering till andra

I rollbaserad åtkomstkontroll i Azure (Azure RBAC) tilldelar du Azure-roller för att ge åtkomst till Azure-resurser. Om en användare till exempel behöver skapa och hantera webbplatser i en prenumeration tilldelar du rollen Webbplatsdeltagare.

Att tilldela Azure-roller för att bevilja åtkomst till Azure-resurser är en vanlig uppgift. Som administratör kan du få flera begäranden om att bevilja åtkomst som du vill delegera till någon annan. Du vill dock se till att ombudet bara har de behörigheter de behöver för att utföra sitt jobb. I den här artikeln beskrivs ett säkrare sätt att delegera rolltilldelningshantering till andra användare i din organisation.

Varför delegera rolltilldelningshantering?

Här följer några orsaker till varför du kanske vill delegera rolltilldelningshantering till andra:

• Du får flera begäranden om att tilldela roller i din organisation.
• Användare blockeras i väntan på den rolltilldelning de behöver.
• Användare inom sina respektive avdelningar, team eller projekt har mer kunskap om vem som behöver åtkomst.
• Användare har behörighet att skapa Azure-resurser, men behöver ytterligare en rolltilldelning för att kunna använda resursen fullt ut. Till exempel:
  • Användare med behörighet att skapa virtuella datorer kan inte omedelbart logga in på den virtuella datorn utan rollen Virtual Machine Administrator Login eller Virtual Machine User Login. I stället för att spåra en administratör för att tilldela dem en inloggningsroll är det mer effektivt om användaren kan tilldela inloggningsrollen till sig själva.
  • En utvecklare har behörighet att skapa ett AkS-kluster (Azure Kubernetes Service) och ett Azure Container Registry (ACR), men måste tilldela AcrPull-rollen till en hanterad identitet så att den kan hämta avbildningar från ACR. I stället för att spåra en administratör för att tilldela rollen AcrPull är det mer effektivt om utvecklaren kan tilldela rollen själv.

Hur du för närvarande kan delegera rolltilldelningshantering

Rollerna Ägare och Administratör för användaråtkomst är inbyggda roller som gör det möjligt för användare att skapa rolltilldelningar. Medlemmar i dessa roller kan bestämma vem som kan ha skriv-, läs- och borttagningsbehörigheter för alla resurser i en prenumeration. Om du vill delegera rolltilldelningshantering till en annan användare kan du tilldela rollen Ägare eller Administratör för användaråtkomst till en användare.

Följande diagram visar hur Alice kan delegera rolltilldelningsansvar till Dara. Specifika steg finns i Tilldela en användare som administratör för en Azure-prenumeration.

1. Alice tilldelar rollen Administratör för användaråtkomst till Dara.
2. Dara kan nu tilldela valfri roll till alla användare, grupper eller tjänstens huvudnamn i samma omfång.

Vilka är problemen med den aktuella delegeringsmetoden?

Här är de primära problemen med den aktuella metoden för att delegera rolltilldelningshantering till andra i din organisation.

• Ombudet har obegränsad åtkomst i rolltilldelningsomfånget. Detta strider mot principen om minsta behörighet, vilket utsätter dig för en bredare attackyta.
• Ombud kan tilldela valfri roll till alla användare inom deras omfång, inklusive sig själva.
• Ombud kan tilldela rollen Ägare eller Administratör för användaråtkomst till en annan användare, som sedan kan tilldela roller till andra användare.

I stället för att tilldela rollen Ägare eller Administratör för användaråtkomst är en säkrare metod att begränsa ett ombuds möjlighet att skapa rolltilldelningar.

En säkrare metod: Delegera rolltilldelningshantering med villkor

Att delegera rolltilldelningshantering med villkor är ett sätt att begränsa de rolltilldelningar som en användare kan skapa. I föregående exempel kan Alice tillåta Att Dara skapar vissa rolltilldelningar åt henne, men inte alla rolltilldelningar. Alice kan till exempel begränsa de roller som Dara kan tilldela och begränsa de huvudnamn som Dara kan tilldela roller till. Den här delegeringen med villkor kallas ibland begränsad delegering och implementeras med azure-attributbaserad åtkomstkontroll (Azure ABAC) villkor.

Den här videon ger en översikt över delegering av rolltilldelningshantering med villkor.

Varför delegera rolltilldelningshantering med villkor?

Här följer några orsaker till varför det är säkrare att delegera rolltilldelningshantering till andra med villkor:

• Du kan begränsa de rolltilldelningar som ombudet får skapa.
• Du kan förhindra att ett ombud tillåter att en annan användare tilldelar roller.
• Du kan framtvinga efterlevnad av organisationens principer med minsta möjliga behörighet.
• Du kan automatisera hanteringen av Azure-resurser utan att behöva bevilja fullständig behörighet till ett tjänstkonto.

Exempel på villkor

Tänk dig ett exempel där Alice är administratör med rollen Administratör för användaråtkomst för en prenumeration. Alice vill ge Dara möjlighet att tilldela specifika roller för specifika grupper. Alice vill inte att Dara ska ha andra behörigheter för rolltilldelning. Följande diagram visar hur Alice kan delegera rolltilldelningsansvar till Dara med villkor.

1. Alice tilldelar rollen Rollbaserad åtkomstkontrolladministratör till Dara. Alice lägger till villkor så att Dara bara kan tilldela rollerna Säkerhetskopieringsdeltagare eller Säkerhetskopieringsläsare till grupperna Marknadsföring och Försäljning.
2. Dara kan nu tilldela rollerna Säkerhetskopieringsdeltagare eller Säkerhetskopieringsläsare till grupperna Marknadsföring och Försäljning.
3. Om Dara försöker tilldela andra roller eller tilldela roller till olika huvudnamn (till exempel en användare eller hanterad identitet) misslyckas rolltilldelningen.

Rollbaserad administratörsroll för åtkomstkontroll

Rollen Administratör för rollbaserad åtkomstkontroll är en inbyggd roll som har utformats för att delegera rolltilldelningshantering till andra. Den har färre behörigheter än administratör för användaråtkomst, vilket följer bästa praxis för lägsta behörighet. Rollen Administratör för rollbaserad åtkomstkontroll har följande behörigheter:

• Skapa en rolltilldelning i det angivna omfånget
• Ta bort en rolltilldelning i det angivna omfånget
• Läs resurser av alla typer, förutom hemligheter
• Skapa och uppdatera ett supportärende

Sätt att begränsa rolltilldelningar

Här är de sätt som rolltilldelningar kan begränsas med villkor. Du kan också kombinera dessa villkor så att de passar ditt scenario.

• Begränsa de roller som kan tilldelas

  

• Begränsa roller och typer av huvudnamn (användare, grupper eller tjänstens huvudnamn) som kan tilldelas roller

  

• Begränsa de roller och specifika huvudnamn som kan tilldelas roller

  

• Ange olika villkor för åtgärderna för att lägga till och ta bort rolltilldelning

  

Delegera rolltilldelningshantering med villkor

Om du vill delegera rolltilldelningshantering med villkor tilldelar du roller som du gör för närvarande, men du lägger också till ett villkor i rolltilldelningen.

1. Fastställa de behörigheter som ombudet behöver

   • Vilka roller kan ombudet tilldela?
   • Vilka typer av huvudkonton kan ombudet tilldela roller till?
   • Vilka huvudnamn kan ombudet tilldela roller till?
   • Kan ombud ta bort rolltilldelningar?

2. Starta en ny rolltilldelning

3. Välj rollen Rollbaserad administratör för åtkomstkontroll

   Du kan välja vilken roll som helst som innehåller åtgärden, men administratören Microsoft.Authorization/roleAssignments/write för rollbaserad åtkomstkontroll har färre behörigheter.

4. Välj ombudet

   Välj den användare som du vill delegera rolltilldelningshantering till.

5. Lägg till ett villkor

   Det finns flera sätt att lägga till ett villkor. Du kan till exempel använda en villkorsmall i Azure-portalen, den avancerade villkorsredigeraren i Azure-portalen, Azure PowerShell, Azure CLI, Bicep eller REST API.

   Mall

   Välj från en lista över villkorsmallar. Välj Konfigurera för att ange roller, huvudnamnstyper eller huvudnamn.

   Mer information finns i Delegera hantering av Azure-rolltilldelning till andra med villkor.

   

   Villkorsredigeraren

   Om villkorsmallarna inte fungerar för ditt scenario eller om du vill ha mer kontroll kan du använda villkorsredigeraren.

   Exempel finns i Exempel för att delegera Hantering av Azure-rolltilldelning med villkor.

   

   Azure PowerShell

   New-AzRoleAssignment

   $roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
   $principalId = "<principalId>"
   $scope = "/subscriptions/<subscriptionId>"
   $condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))"
   $conditionVersion = "2.0"
   New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
   

   Azure CLI

   skapa az-rolltilldelning

   set roleDefinitionId="f58310d9-a9f6-439a-9e8d-f62e7b41a168"
   set principalId="{principalId}"
   set principalType="User"
   set scope="/subscriptions/{subscriptionId}"
   set condition="((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))"
   set conditionVersion="2.0"
   az role assignment create --assignee-object-id %principalId% --assignee-principal-type %principalType% --scope %scope% --role %roleDefinitionId% --condition %condition% --condition-version %conditionVersion%
   

   Bicep

   param roleDefinitionResourceId string
   param principalId string
   param condition string
   
   targetScope = 'subscription'
   
   resource roleAssignment 'Microsoft.Authorization/roleAssignments@2020-04-01-preview' = {
     name: guid(subscription().id, principalId, roleDefinitionResourceId)
     properties: {
       roleDefinitionId: roleDefinitionResourceId
       principalId: principalId
       principalType: 'User'
       condition: condition
       conditionVersion:'2.0'
     }
   }
   

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "roleDefinitionResourceId": {
         "value": "providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168"
       },
       "principalId": {
         "value": "{principalId}"
       },
       "condition": {
         "value": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))"
       }
     }
   }
   

   REST-API

   Rolltilldelningar – Skapa

   PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleAssignments/f58310d9-a9f6-439a-9e8d-f62e7b41a168?api-version=2020-04-01-Preview
   
   {
     "properties": {
       "roleDefinitionId": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168",
       "principalId": "{principalId}",
       "condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))",
       "conditionVersion": "2.0"
     }
   }
   

6. Tilldela roll med villkor för ombud

   När du har angett villkoret slutför du rolltilldelningen.

7. Kontakta ombudet

   Meddela ombudet att de nu kan tilldela roller med villkor.

Inbyggda roller med villkor

Rollerna Key Vault Data Access Administrator och Virtual Machine Data Access Administrator (förhandsversion) har redan ett inbyggt villkor för att begränsa rolltilldelningar.

Med rollen Key Vault Data Access Administrator kan du hantera åtkomst till Key Vault-hemligheter, certifikat och nycklar. Den fokuserar uteslutande på åtkomstkontroll utan möjlighet att tilldela privilegierade roller, till exempel rollen Ägare eller Administratör för användaråtkomst. Det ger bättre uppdelning av uppgifter för scenarier som att hantera kryptering i vila mellan datatjänster för att ytterligare följa principen om lägsta behörighet. Villkoret begränsar rolltilldelningar till följande Azure Key Vault-roller:

• Key Vault-administratör
• Key Vault Certificates Officer
• Key Vault Crypto Officer
• Krypteringsanvändare för Key Vault Crypto Service
• Key Vault Crypto-användare
• Key Vault-läsare
• Key Vault Secrets Officer
• Nyckelvalvshemlighetsanvändare

Om du vill ytterligare begränsa rolltilldelningen Key Vault Data Access Administrator kan du lägga till ett eget villkor för att begränsa typerna av huvudnamn (användare, grupper eller tjänstens huvudnamn) eller specifika huvudnamn som kan tilldelas Key Vault-rollerna.

Kända problem

Här är kända problem som rör delegering av rolltilldelningshantering med villkor:

• Du kan inte delegera rolltilldelningshantering med villkor med privileged Identity Management.
• Du kan inte ha en rolltilldelning med en Microsoft.Storage-dataåtgärd och ett ABAC-villkor som använder en GUID-jämförelseoperator. Mer information finns i Felsöka Azure RBAC.

Licenskrav

Den här funktionen är kostnadsfri och ingår i din Azure-prenumeration.

Nästa steg

• Delegera hantering av Azure-rolltilldelning till andra med villkor
• Vad är azure-attributbaserad åtkomstkontroll (Azure ABAC)?
• Exempel för att delegera hantering av Azure-rolltilldelning med villkor