Delegování správy přiřazení rolí Azure jiným uživatelům s podmínkami

Jako správce můžete získat několik žádostí o udělení přístupu k prostředkům Azure, které chcete delegovat na někoho jiného. Uživateli můžete přiřadit roli Vlastník nebo Přístup uživatele Správa istrator, ale jedná se o vysoce privilegované role. Tento článek popisuje bezpečnější způsob delegování správy přiřazení rolí jiným uživatelům ve vaší organizaci, ale přidává omezení pro tato přiřazení rolí. Můžete například omezit role, které lze přiřadit, nebo omezit objekty zabezpečení, ke kterým se role dají přiřadit.

Následující diagram znázorňuje, jak delegát s podmínkami může přiřadit jenom role Přispěvatel zálohování nebo Čtenář zálohování pouze k marketingovým nebo prodejním skupinám.

Požadavky

Pokud chcete přiřazovat role Azure, musíte mít:

• Microsoft.Authorization/roleAssignments/writeoprávnění, jako je řízení přístupu na základě role Správa istrator nebo uživatelský přístup Správa istrator

Krok 1: Určení oprávnění, která delegát potřebuje

Pokud chcete pomoct určit oprávnění, která delegát potřebuje, odpovězte na následující otázky:

• Jaké role může delegát přiřadit?
• K jakým typům objektů zabezpečení může delegát přiřadit role?
• Ke kterým objektům zabezpečení může delegát přiřadit role?
• Může delegování odebrat nějaká přiřazení rolí?

Jakmile znáte oprávnění, která delegát potřebuje, pomocí následujícího postupu přidáte podmínku k přiřazení role delegáta. Příklad podmínek najdete v tématu Příklady delegování správy přiřazení rolí Azure pomocí podmínek.

Krok 2: Zahájení nového přiřazení role

1. Přihlaste se k portálu Azure.

2. Podle pokynů otevřete stránku Přidat přiřazení role.

3. Na kartě Role vyberte kartu Role privilegovaného správce.

4. Vyberte roli řízení přístupu na základě role Správa istrator.

   Zobrazí se karta Podmínky .

   Můžete vybrat libovolnou roli, která zahrnuje Microsoft.Authorization/roleAssignments/write akceMicrosoft.Authorization/roleAssignments/delete, jako je uživatelský přístup Správa istrator, ale řízení přístupu na základě role Správa istrator má méně oprávnění.

5. Na kartě Členové vyhledejte a vyberte delegáta.

Krok 3: Přidání podmínky

Podmínku můžete přidat dvěma způsoby. Můžete použít šablonu podmínky nebo můžete použít rozšířený editor podmínek.

Šablona

1. Na kartě Podmínky v části Co může uživatel dělat, vyberte možnost Povolit uživateli přiřadit pouze vybrané role vybraným objektům zabezpečení (méně oprávnění).

   

2. Vyberte Vybrat role a objekty zabezpečení.

   Zobrazí se stránka Přidat podmínku přiřazení role se seznamem šablon podmínek.

   

3. Vyberte šablonu podmínky a pak vyberte Konfigurovat.

   Šablona podmínky	Výběr této šablony pro
   Role omezení	Povolit uživateli přiřazovat jenom vybrané role
   Omezení rolí a typů objektů zabezpečení	Povolit uživateli přiřazovat jenom vybrané role Povolit uživateli přiřazovat tyto role jenom k vybraným typům objektů zabezpečení (uživatelé, skupiny nebo instanční objekty)
   Omezení rolí a objektů zabezpečení	Povolit uživateli přiřazovat jenom vybrané role Povolit uživateli přiřadit pouze tyto role objektům zabezpečení, které vyberete
   Povolit všechny kromě konkrétních rolí	Povolit uživateli přiřazovat všechny role s výjimkou vybraných rolí

4. V podokně konfigurace přidejte požadované konfigurace.

   

5. Výběrem možnosti Uložit přidáte podmínku do přiřazení role.

Editor podmínek

Pokud šablony podmínek pro váš scénář nefungují nebo pokud chcete mít větší kontrolu, můžete použít editor podmínek.

Otevření editoru podmínek

1. Na kartě Podmínky v části Co může uživatel dělat, vyberte možnost Povolit uživateli přiřadit pouze vybrané role vybraným objektům zabezpečení (méně oprávnění).

   

2. Vyberte Vybrat role a objekty zabezpečení.

   Zobrazí se stránka Přidat podmínku přiřazení role se seznamem šablon podmínek.

   

3. Vyberte Otevřít rozšířený editor podmínek.

   Zobrazí se stránka Přidat podmínku přiřazení role.

4. U možnosti Typ editoru ponechte vybraný výchozí vizuál.

Přidat akci

1. V části Přidat akci vyberte Přidat akci.

   Zobrazí se podokno akce Vybrat. Toto podokno je filtrovaný seznam akcí na základě přiřazení role, která bude cílem vaší podmínky.

   

2. Vyberte akci Vytvořit nebo aktualizovat přiřazení rolí, kterou chcete povolit, pokud je podmínka pravdivá.

   Tip

   Pokud vyberete akce Vytvoření nebo aktualizace přiřazení rolí a Odstraníte přiřazení role, nebudete moct přidat výraz podmínky. Pokud chcete cílit na obě tyto akce, musíte přidat dvě podmínky. Další informace najdete v tématu Příklad: Role omezení.

Vytváření výrazů

1. V části Výraz sestavení vyberte Přidat výraz.

   Tady vytvoříte výraz pro omezení přiřazení rolí, které může delegát přidat.

2. V seznamu zdroj atributu vyberte Požadavek.

3. V seznamu Atributů vyberte jeden z následujících atributů pro levou stranu výrazu.

   • ID definice role slouží k omezení rolí, které může delegát přiřadit.
   • ID objektu zabezpečení slouží k omezení konkrétních objektů zabezpečení, ke kterému může delegát přiřadit role.
   • Typ objektu zabezpečení se používá k omezení typů objektů zabezpečení (uživatelů, skupin nebo instančních objektů), ke kterým může delegát přiřadit role.

4. V seznamu Operátor vyberte operátor.

   V závislosti na atributu a výrazu, který chcete sestavit, obvykle vyberete tyto operátory, které umožňují vybrat jednu nebo více hodnot pro pravou stranu výrazu.

   Atribut	Běžný operátor
   ID definice role	ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals
   ID objektu zabezpečení	ForAnyOfAnyValues:GuidEquals
   Typ objektu zabezpečení	ForAnyOfAnyValues:StringEqualsIgnoreCase

5. Do pole Hodnota zadejte jednu nebo více hodnot pro pravou stranu výrazu.

   

6. Podle potřeby přidejte další výrazy.

   Tip

   Když přidáte více výrazů pro delegování správy přiřazení rolí s podmínkami, obvykle místo výchozího operátoru Or použijete operátor And mezi výrazy.

7. Výběrem možnosti Uložit přidáte podmínku do přiřazení role.

Krok 4: Přiřazení role s podmínkou delegování

1. Na kartě Zkontrolovat a přiřadit zkontrolujte nastavení přiřazení role.

2. Výběrem možnosti Zkontrolovat a přiřadit roli přiřaďte.

   Po chvíli se delegátovi přiřadí role řízení přístupu na základě role Správa istrator s podmínkami přiřazení role.

Krok 5: Delegování přiřazuje role s podmínkami

• Delegát teď může přiřazovat role podle kroků.

  

  Když se delegát pokusí přiřadit role na webu Azure Portal, seznam rolí se vyfiltruje tak, aby zobrazoval jenom role, které můžou přiřadit.

  

  Pokud existuje podmínka pro objekty zabezpečení, seznam objektů zabezpečení dostupných pro přiřazení se také vyfiltruje.

  

  Pokud se delegát pokusí přiřadit roli mimo podmínky pomocí rozhraní API, přiřazení role selže s chybou. Další informace naleznete v tématu Příznak – Nejde přiřadit roli.

Úprava podmínky

Podmínku můžete upravit dvěma způsoby. Šablonu podmínky můžete použít nebo můžete použít editor podmínek.

1. Na webu Azure Portal otevřete stránku Řízení přístupu (IAM) pro přiřazení role s podmínkou, kterou chcete zobrazit, upravit nebo odstranit.

2. Vyberte kartu Přiřazení rolí a vyhledejte přiřazení role.

3. Ve sloupci Podmínka vyberte Zobrazit/Upravit.

   Pokud odkaz Pro zobrazení nebo úpravy nevidíte, ujistěte se, že se díváte na stejný obor jako přiřazení role.

   

   Zobrazí se stránka Přidat podmínku přiřazení role. Tato stránka bude vypadat jinak v závislosti na tom, jestli podmínka odpovídá existující šabloně.

4. Pokud podmínka odpovídá existující šabloně, vyberte Konfigurovat a upravte podmínku.

   

5. Pokud podmínka neodpovídá existující šabloně, upravte podmínku pomocí rozšířeného editoru podmínek.

   Pokud chcete například upravit podmínku, posuňte se dolů do části výrazu sestavení a aktualizujte atributy, operátor nebo hodnoty.

   

   Pokud chcete podmínku upravit přímo, vyberte typ editoru kódu a pak upravte kód podmínky.

   

6. Po dokončení klikněte na uložit a aktualizujte podmínku.

Další kroky

• Delegování správy přístupu k Azure ostatním uživatelům
• Akce a atributy autorizace