Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Как администратор, вы можете получать множество запросов на предоставление доступа к ресурсам Azure, которые вы хотите делегировать другому пользователю. Вы можете назначить пользователю роли "Владелец " или "Администратор доступа пользователей", но это очень привилегированные роли. В этой статье описывается более безопасный способ делегировать управление назначениями ролей другим пользователям в организации, но добавлять ограничения для этих назначений ролей. Например, можно ограничить роли, которые можно назначить, или ограничить субъекты, которым могут быть назначены роли.
На следующей схеме показано, как делегат с условиями может назначить роли Резервного Участника или Резервного Читателя только группам Маркетинга и Продаж.
Предпосылки
Чтобы назначать роли Azure необходимо наличие:
-
Microsoft.Authorization/roleAssignments/writeразрешения, такие как администратор управления доступом на основе ролей или администратор управления доступом пользователей
Шаг 1. Определение разрешений, необходимых делегату
Чтобы определить разрешения, необходимые делегату, ответьте на следующие вопросы:
- Какие роли могут назначать делегат?
- Каким типам субъектов может делегат назначать роли?
- Каким субъектам делегат может назначить роли?
- Может ли делегат удалить какие-либо назначения ролей?
После того как вы знаете разрешения, необходимые делегату, выполните следующие действия, чтобы добавить условие в назначение роли делегата. Примеры условий см. в примерах для делегирования управления назначениями ролей Azure с условиями.
Шаг 2. Запуск нового назначения роли
Войдите на портал Azure.
Выполните действия, чтобы открыть страницу добавления назначения ролей.
На вкладке "Роли" выберите вкладку "Привилегированные роли администратора ".
Выберите роль администратора управления доступом на основе ролей .
Откроется вкладка "Условия ".
Вы можете выбрать любую роль, включающую
Microsoft.Authorization/roleAssignments/writeилиMicrosoft.Authorization/roleAssignments/deleteдействия, например администратора доступа пользователей, но администратор управления доступом на основе ролей имеет меньше разрешений.На вкладке "Члены" найдите и выберите делегат.
Шаг 3. Добавление условия
Можно добавить условие двумя способами. Вы можете использовать шаблон условия или использовать расширенный редактор условий.
На вкладке "Условия" в разделе "Что может сделать пользователь", выберите параметр "Разрешить пользователю назначать только выбранные роли выбранным субъектам (меньше привилегий).
Выберите роли и субъекты.
Откроется страница "Добавить условие назначения ролей" со списком шаблонов условий.
Выберите шаблон условия и нажмите кнопку "Настроить".
Шаблон условия Выберите этот шаблон, чтобы Ограничение ролей Разрешить пользователю назначать только выбранные роли Ограничение ролей и типов субъектов Разрешить пользователю назначать только выбранные роли
Разрешить пользователю назначать эти роли только выбранным типам субъектов (пользователи, группы или субъекты-службы)Ограничение ролей и субъектов Разрешить пользователю назначать только выбранные роли
Разрешить пользователю назначать только эти роли принципалам, которых вы выбрали.Разрешить все, кроме определенных ролей Разрешить пользователю назначать все роли, кроме выбранных ролей В области настройки добавьте необходимые конфигурации.
Нажмите кнопку "Сохранить", чтобы добавить условие в назначение роли.
Шаг 4. Назначьте роль с условием для делегирования
На вкладке Проверка и назначение проверьте параметры назначения роли.
Нажмите кнопку "Проверить и назначить" для назначения роли.
Через несколько минут делегат получает роль администратора управления доступом на основе ролей с вашими условиями назначения ролей.
Шаг 5. Делегирование назначает роли с условиями
Теперь делегат может выполнить действия по назначению ролей.
Когда делегат пытается назначить роли на портале Azure, список ролей будет отфильтрован, чтобы просто показать роли, которые они могут назначить.
Если задано условие для основных участников, список участников, доступных для назначения, также фильтруется.
Если делегат пытается назначить роль вне условий с помощью API, назначение роли завершается ошибкой. Дополнительные сведения см. в разделе "Симптом " Не удается назначить роль.
Изменение условия
Существует два способа редактирования условия. Вы можете воспользоваться шаблоном условия или редактором условий.
На портале Azure откройте страницу управления доступом (IAM) для назначения роли с условием, которое требуется просмотреть, изменить или удалить.
Перейдите на вкладку "Назначения ролей" и найдите назначение роли.
В столбце "Условие" выберите "Вид и изменение".
Если вы не видите ссылку view/Edit , убедитесь, что вы рассматриваете ту же область, что и назначение роли.
Откроется страница "Добавить условие назначения ролей ". Эта страница будет выглядеть по-разному в зависимости от того, соответствует ли условие существующему шаблону.
Если условие соответствует существующему шаблону, выберите "Настроить ", чтобы изменить условие.
Если условие не соответствует существующему шаблону, используйте редактор расширенных условий для изменения условия.
Например, чтобы изменить условие, прокрутите вниз до раздела выражения сборки и обновите атрибуты, оператор или значения.
Чтобы изменить условие непосредственно, выберите тип редактора кода и измените код для условия.
По завершении нажмите кнопку "Сохранить ", чтобы обновить условие.
