Vytvořit roli nebo zásadu na řídicím panelu Remediace

Tento článek popisuje, jak můžete pomocí řídicího panelu Remediation v Microsoft Entra Permissions Management vytvářet role a zásady pro systémy autorizace Amazon Web Services (AWS), Microsoft Azure nebo Google Cloud Platform (GCP).

Poznámka:

Pokud chcete zobrazit kartu Náprava, musíte mít oprávnění Zobrazovatel, Řadič nebo Správce. Pokud chcete provést změny na této kartě, musíte mít oprávnění kontrolora nebo administrátora. Pokud tato oprávnění nemáte, obraťte se na správce systému.

Poznámka:

Microsoft Azure používá termín role pro to, co ostatní poskytovatelé cloudu nazývají politikou. Správa oprávnění tuto terminologii automaticky změní, když vyberete typ systému autorizace. V uživatelské dokumentaci používáme role/zásady k označení obou.

Vytvoření zásady pro AWS

Poznámka:

Informace o kvótách služeb AWS a žádost o navýšení kvóty služby AWS najdete v dokumentaci K AWS.

1. Na domovské stránce Microsoft Entra vyberte kartu Náprava a pak vyberte kartu Role/Zásady .

2. V rozevíracích seznamech vyberte typ autorizačního systému a autorizační systém.

3. Vyberte Vytvořit politiku.

4. Na stránce Podrobnosti se typ autorizačního systému a autorizační systém předvyplní z předchozích nastavení.

   • Pokud chcete nastavení změnit, proveďte výběr z rozevíracího seznamu.

5. V části Jak chcete vytvořit zásadu, vyberte požadovanou možnost:

   • Aktivita uživatelů: Umožňuje vytvořit zásadu založenou na aktivitě uživatele.
   • Aktivita skupin: Umožňuje vytvořit zásadu založenou na agregované aktivitě všech uživatelů patřících do skupin.
   • Aktivita prostředků: Umožňuje vytvořit zásadu na základě aktivity prostředku, například instance EC2.
   • Aktivita role: Umožňuje vytvořit zásadu založenou na agregované aktivitě všech uživatelů, kteří tuto roli přijali.
   • Aktivita značek: Umožňuje vytvořit zásadu založenou na agregované aktivitě všech značek.
   • Aktivita funkce Lambda: Umožňuje vytvořit novou zásadu založenou na funkci Lambda.
   • Z existujících zásad: Umožňuje vytvořit novou zásadu založenou na existující zásadě.
   • Nová zásada: Umožňuje vytvořit novou zásadu úplně od začátku.

6. V části 'Úkoly provedené v poslední' vyberte dobu trvání: 90 dní, 60 dní, 30 dní, 7 dní, nebo 1 den.

7. V závislosti na vašich preferencích vyberte nebo zrušte výběr Zahrnout údaje Access Advisor.

8. V Nastavení ve sloupci K dispozici vyberte znaménko plus (+) a přesuňte identitu do vybranéhosloupce a pak vyberte Další.

9. Na stránce Úkoly ve sloupci K dispozici vyberte znaménko plus (+) a přesuňte úkol do vybranéhosloupce.

   • Pokud chcete přidat celou kategorii, vyberte kategorii.
   • Pokud chcete přidat jednotlivé položky z kategorie, vyberte šipku dolů na levé straně názvu kategorie a pak vyberte jednotlivé položky.

10. V části Zdroje vyberte Všechny prostředky nebo Konkrétní prostředky.

    Pokud vyberete Konkrétní prostředky, zobrazí se seznam dostupných prostředků. Vyhledejte prostředky, které chcete přidat, a pak vyberte Přidat.

11. V podmínkách požadavku vyberte JSON .

12. V efektu vyberte Povolit nebo Odepřít a pak vyberte Další.

13. Do pole Název zásady:, zadejte název zásady.

14. Pokud chcete do zásad přidat další příkaz, vyberte Přidat příkaz a pak v seznamu příkazů vyberte příkaz.

15. Zkontrolujte nastavení úkolů, zdrojů, podmínek žádosti a efektu a pak vyberte Další.

16. Na stránce Náhled zkontrolujte skript a ověřte, že je to, co chcete.

17. Pokud váš kontroler není povolený, vyberte Stáhnout JSON nebo Stáhnout skript a stáhněte kód a spusťte ho sami.

    Pokud je ovladač povolený, tento krok přeskočte.

18. Zvolte Rozdělit politiku a pak zvolte Odeslat.

    Zpráva potvrzuje, že vaše pojistka byla odeslána k vytvoření.

19. Vpravo se zobrazí podokno Úlohy správy oprávnění.

    • Na kartě Aktivní se zobrazí seznam zásad, které správa oprávnění právě zpracovává.
    • Na kartě Dokončeno se zobrazuje seznam zásad, které dokončila Správa oprávnění.

20. Po dokončení shromažďování dat pro zadaný systém autorizace se projeví informace o nově vytvořených zásadách.

Vytvoření role pro Azure

1. Na domovské stránce Správa oprávnění vyberte kartu Náprava a pak vyberte kartu Role/Zásady .

2. V rozevíracích seznamech vyberte typ autorizačního systému a autorizační systém.

3. Vyberte Vytvořit roli.

4. Na stránce Podrobnosti se typ autorizačního systému a autorizační systém předvyplní z předchozích nastavení.

   • Pokud chcete změnit nastavení, zaškrtněte políčko a v rozevíracím seznamu proveďte výběr.

5. V části Jak chcete vytvořit roli? vyberte požadovanou možnost:

   • Aktivita uživatelů: Umožňuje vytvořit roli na základě aktivity uživatele.
   • Aktivita skupin: Umožňuje vytvořit roli na základě agregované aktivity všech uživatelů patřících do skupin.
   • Aktivita aplikací: Umožňuje vytvořit roli na základě agregované aktivity všech aplikací.
   • Z existující role: Umožňuje vytvořit novou roli založenou na existující roli.
   • Nová role: Umožňuje vytvořit novou roli úplně od začátku.

6. V sekci Úkoly provedené za poslední vyberte dobu trvání: 90 dní, 60 dní, 30 dní, 7 dnů nebo 1 den.

7. V závislosti na vašich preferencích:

   • Vyberte nebo zrušte výběr Ignorovat čtecí akce jiných než Microsoft.
   • Vyberte nebo zrušte výběr Přidat úkoly jen pro čtení.

8. V Nastavení ve sloupci K dispozici vyberte znaménko plus (+) a přesuňte identitu do vybranéhosloupce a pak vyberte Další.

9. Na stránce Úkoly, v části Název role: zadejte název vaší role.

10. Ve sloupci K dispozici vyberte znaménko plus (+) a přesuňte úkol do vybraného sloupce.

    • Pokud chcete přidat celou kategorii, vyberte kategorii.
    • Pokud chcete přidat jednotlivé položky z kategorie, vyberte šipku dolů na levé straně názvu kategorie a pak vyberte jednotlivé položky.

11. Vyberte Další.

12. (Volitelné) Administrátor může zkopírovat řetězec definující obor skupiny prostředků, který se má použít jako obor. V Azure vyberte skupinu prostředků>Monitorování>Vlastnosti, a pak zkopírujte ID prostředku.

13. Na stránce Náhled zkontrolujte:

    • Seznam vybraných akcí a ne akcí.
    • JSON nebo skript pro potvrzení, že je to, co chcete.

14. Pokud váš kontroler není povolený, vyberte Stáhnout JSON nebo Stáhnout skript a stáhněte kód a spusťte ho sami.

    Pokud je ovladač povolený, tento krok přeskočte.

15. Vyberte položku Odeslat.

    Zpráva potvrzuje, že vaše uživatelská role byla odeslána k vytvoření.

16. Vpravo se zobrazí podokno Úlohy správy oprávnění.

    • Na kartě Aktivní se zobrazí seznam zásad, které správa oprávnění právě zpracovává.
    • Na kartě Dokončeno se zobrazí seznam zásad řízení, které dokončil systém Správa oprávnění.

17. Po dokončení shromažďování dat pro zadaný autorizační systém se projeví informace o nově vytvořené roli.

Vytvoření role pro GCP

1. Na domovské stránce Správa oprávnění vyberte kartu Náprava a pak vyberte kartu Role/Zásady .

2. V rozevíracích seznamech vyberte typ autorizačního systému a autorizační systém.

3. Vyberte Vytvořit roli.

4. Na stránce Podrobnosti se typ autorizačního systému a autorizační systém předvyplní z předchozích nastavení.

   • Pokud chcete změnit nastavení, zaškrtněte políčko a v rozevíracím seznamu proveďte výběr.

5. V části Jak chcete vytvořit roli? vyberte požadovanou možnost:

   • Aktivita uživatelů: Umožňuje vytvořit roli na základě aktivity uživatele.
   • Aktivita skupin: Umožňuje vytvořit roli na základě agregované aktivity všech uživatelů patřících do skupin.
   • Aktivita účtů služeb: Umožňuje vytvořit roli na základě agregované aktivity všech účtů služeb.
   • Z existující role: Umožňuje vytvořit novou roli založenou na existující roli.
   • Nová role: Umožňuje vytvořit novou roli úplně od začátku.

6. V části Úkoly provedené za poslední vyberte dobu trvání: 90 dní, 60 dní, 30 dní, 7 dnů nebo 1 den.

7. Pokud jste v předchozím kroku vybrali aktivitu účtů služeb, vyberte nebo zrušte výběr možnosti Shromáždit aktivitu ve všech systémech autorizace GCP.

8. Ve sloupci K dispozici vyberte znaménko plus (+) a přesuňte identitu do vybraného sloupce a pak vyberte Další.

9. Na stránce Úkoly v části Název role: zadejte název vaší role.

10. Ve sloupci K dispozici vyberte znaménko plus (+) a přesuňte úkol do vybraného sloupce.

    • Pokud chcete přidat celou kategorii, vyberte kategorii.
    • Pokud chcete přidat jednotlivé položky z kategorie, vyberte šipku dolů na levé straně názvu kategorie a pak vyberte jednotlivé položky.

11. Vyberte Další.

12. Na stránce Náhled zkontrolujte:

    • Seznam vybraných akcí
    • Zkontrolujte, zda je YAML nebo skript tím, co chcete.

13. Pokud váš kontroler není povolený, vyberte Stáhnout YAML nebo Stáhnout skript a stáhněte kód a spusťte ho sami.

14. Vyberte položku Odeslat. Zpráva potvrzuje, že žádost o vytvoření role byla odeslána.

15. Vpravo se zobrazí podokno Úlohy správy oprávnění.

    • Na kartě Aktivní se zobrazí seznam zásad, které správa oprávnění právě zpracovává.
    • Na kartě Dokončeno se zobrazí seznam zásad, které dokončila Správa oprávnění.

16. Po dokončení shromažďování dat pro zadaný autorizační systém se projeví informace o nově vytvořené roli.

Další kroky

• Informace o tom, jak zobrazit existující role/ zásady, požadavky a oprávnění, najdete v tématu Zobrazení rolí/zásad, žádostí a oprávnění na řídicím panelu Náprava.
• Informace o tom, jak upravit roli nebo zásadu, najdete v tématu Úprava role nebo zásady.