Vytvoření role nebo zásady na řídicím panelu Náprava

Tento článek popisuje, jak můžete pomocí řídicího panelu nápravy v Správa oprávnění Microsoft Entra vytvářet role a zásady pro systémy autorizace Amazon Web Services (AWS), Microsoft Azure nebo Google Cloud Platform (GCP).

Poznámka:

Pokud chcete zobrazit kartu Náprava , musíte mít oprávnění Čtenář, Kontroler nebo Správce . Pokud chcete provést změny na této kartě, musíte mít oprávnění správce nebo kontroleru. Pokud tato oprávnění nemáte, obraťte se na správce systému.

Poznámka:

Microsoft Azure používá termínovou roli pro to, co ostatní poskytovatelé cloudu volají. Správa oprávnění tuto terminologii automaticky změní, když vyberete typ systému autorizace. V uživatelské dokumentaci používáme role/zásady k odkazům na obojí.

Vytvoření zásady pro AWS

Poznámka:

Informace o kvótách služeb AWS a žádost o navýšení kvóty služby AWS najdete v dokumentaci K AWS.

1. Na domovské stránce Microsoft Entra vyberte kartu Náprava a pak vyberte kartu Role/Zásady .

2. V rozevíracích seznamech vyberte typ a autorizační systém autorizace.

3. Vyberte Vytvořit zásadu.

4. Na stránce Podrobnosti se typ autorizačního systému a autorizační systém předvyplní z předchozích nastavení.

   • Pokud chcete nastavení změnit, proveďte výběr z rozevíracího seznamu.

5. V části Jak chcete vytvořit zásadu, vyberte požadovanou možnost:

   • Aktivita uživatelů: Umožňuje vytvořit zásadu založenou na aktivitě uživatele.
   • Aktivita skupin: Umožňuje vytvořit zásadu založenou na agregované aktivitě všech uživatelů patřících do skupin.
   • Aktivita prostředků: Umožňuje vytvořit zásadu na základě aktivity prostředku, například instance EC2.
   • Aktivita role: Umožňuje vytvořit zásadu založenou na agregované aktivitě všech uživatelů, kteří tuto roli předpokládali.
   • Aktivita značek: Umožňuje vytvořit zásadu založenou na agregované aktivitě všech značek.
   • Aktivita funkce Lambda: Umožňuje vytvořit novou zásadu založenou na funkci Lambda.
   • Z existujících zásad: Umožňuje vytvořit novou zásadu založenou na existující zásadě.
   • Nová zásada: Umožňuje vytvořit novou zásadu úplně od začátku.

6. V části Úkoly provedené za poslední vyberte dobu trvání: 90, 60, 30 dní, 7 dnů nebo 1 den.

7. V závislosti na vašich preferencích vyberte nebo zrušte výběr možnosti Zahrnout data Access Advisoru.

8. V Nastavení ve sloupci K dispozici vyberte znaménko plus (+) a přesuňte identitu do vybraného sloupce a pak vyberte Další.

9. Na stránce Úkoly ve sloupci K dispozici vyberte znaménko plus (+) a přesuňte úkol do vybraného sloupce.

   • Pokud chcete přidat celou kategorii, vyberte kategorii.
   • Pokud chcete přidat jednotlivé položky z kategorie, vyberte šipku dolů na levé straně názvu kategorie a pak vyberte jednotlivé položky.

10. V části Zdroje vyberte Všechny prostředky nebo Konkrétní prostředky.

    Pokud vyberete Konkrétní prostředky, zobrazí se seznam dostupných prostředků. Vyhledejte prostředky, které chcete přidat, a pak vyberte Přidat.

11. V podmínkách požadavku vyberte JSON .

12. V efektu vyberte Povolit nebo Odepřít a pak vyberte Další.

13. Do pole Název zásady:, zadejte název zásady.

14. Pokud chcete do zásad přidat další příkaz, vyberte Přidat příkaz a pak v seznamu příkazů vyberte příkaz.

15. Zkontrolujte nastavení úkolů, zdrojů, podmínek žádosti a efektu a pak vyberte Další.

16. Na stránce Náhled zkontrolujte skript a ověřte, že je to, co chcete.

17. Pokud váš kontroler není povolený, vyberte Stáhnout JSON nebo Stáhnout skript a stáhněte kód a spusťte ho sami.

    Pokud je ovladač povolený, tento krok přeskočte.

18. Vyberte Rozdělit zásadu a pak vyberte Odeslat.

    Zpráva potvrzuje, že vaše zásada byla odeslána k vytvoření.

19. Vpravo se zobrazí podokno Úlohy správy oprávnění.

    • Na kartě Aktivní se zobrazí seznam zásad, které správa oprávnění právě zpracovává.
    • Na kartě Dokončeno se zobrazí seznam dokončených zásad Správa oprávnění.

20. Po dokončení shromažďování dat pro zadaný systém autorizace se projeví informace o nově vytvořených zásadách.

Vytvoření role pro Azure

1. Na domovské stránce Správa oprávnění vyberte kartu Náprava a pak vyberte kartu Role/Zásady .

2. V rozevíracích seznamech vyberte typ a autorizační systém autorizace.

3. Vyberte Vytvořit roli.

4. Na stránce Podrobnosti se typ autorizačního systému a autorizační systém předvyplní z předchozích nastavení.

   • Pokud chcete změnit nastavení, zaškrtněte políčko a v rozevíracím seznamu proveďte výběr.

5. V části Jak chcete vytvořit roli? vyberte požadovanou možnost:

   • Aktivita uživatelů: Umožňuje vytvořit roli na základě aktivity uživatele.
   • Aktivita skupin: Umožňuje vytvořit roli na základě agregované aktivity všech uživatelů patřících do skupin.
   • Aktivita aplikací: Umožňuje vytvořit roli na základě agregované aktivity všech aplikací.
   • Z existující role: Umožňuje vytvořit novou roli založenou na existující roli.
   • Nová role: Umožňuje vytvořit novou roli úplně od začátku.

6. V části Úkoly provedené za poslední vyberte dobu trvání: 90, 60, 30 dní, 7 dnů nebo 1 den.

7. V závislosti na vašich preferencích:

   • Vyberte nebo zrušte výběr možnosti Ignorovat akce čtení jiné společnosti než Microsoft.
   • Vyberte nebo zrušte výběr zahrnout úkoly jen pro čtení.

8. V Nastavení ve sloupci K dispozici vyberte znaménko plus (+) a přesuňte identitu do vybraného sloupce a pak vyberte Další.

9. Na stránce Úkoly zadejte v části Název role název:, zadejte název vaší role.

10. Ve sloupci K dispozici vyberte znaménko plus (+) a přesuňte úkol do vybraného sloupce.

    • Pokud chcete přidat celou kategorii, vyberte kategorii.
    • Pokud chcete přidat jednotlivé položky z kategorie, vyberte šipku dolů na levé straně názvu kategorie a pak vyberte jednotlivé položky.

11. Vyberte Další.

12. (Volitelné) Správce může zkopírovat řetězec oboru skupiny prostředků, který se má použít jako obor. V Azure vyberte Vlastnosti monitorování>skupiny>prostředků a pak zkopírujte ID prostředku.

13. Na stránce Náhled zkontrolujte:

    • Seznam vybraných akcí a ne akcí.
    • Json nebo skript, abyste potvrdili, že je to, co chcete.

14. Pokud váš kontroler není povolený, vyberte Stáhnout JSON nebo Stáhnout skript a stáhněte kód a spusťte ho sami.

    Pokud je ovladač povolený, tento krok přeskočte.

15. Vyberte položku Odeslat.

    Zpráva potvrzuje, že vaše role byla odeslána k vytvoření.

16. Vpravo se zobrazí podokno Úlohy správy oprávnění.

    • Na kartě Aktivní se zobrazí seznam zásad, které správa oprávnění právě zpracovává.
    • Na kartě Dokončeno se zobrazí seznam dokončených zásad Správa oprávnění.

17. Po dokončení shromažďování dat pro zadaný autorizační systém se projeví informace o nově vytvořené roli.

Vytvoření role pro GCP

1. Na domovské stránce Správa oprávnění vyberte kartu Náprava a pak vyberte kartu Role/Zásady .

2. V rozevíracích seznamech vyberte typ a autorizační systém autorizace.

3. Vyberte Vytvořit roli.

4. Na stránce Podrobnosti se typ autorizačního systému a autorizační systém předvyplní z předchozích nastavení.

   • Pokud chcete změnit nastavení, zaškrtněte políčko a v rozevíracím seznamu proveďte výběr.

5. V části Jak chcete vytvořit roli? vyberte požadovanou možnost:

   • Aktivita uživatelů: Umožňuje vytvořit roli na základě aktivity uživatele.
   • Aktivita skupin: Umožňuje vytvořit roli na základě agregované aktivity všech uživatelů patřících do skupin.
   • Aktivita účtů služeb: Umožňuje vytvořit roli na základě agregované aktivity všech účtů služeb.
   • Z existující role: Umožňuje vytvořit novou roli založenou na existující roli.
   • Nová role: Umožňuje vytvořit novou roli úplně od začátku.

6. V části Úkoly provedené za poslední vyberte dobu trvání: 90, 60, 30 dní, 7 dnů nebo 1 den.

7. Pokud jste v předchozím kroku vybrali aktivitu účtů služeb, vyberte nebo zrušte výběr možnosti Shromáždit aktivitu ve všech systémech autorizace GCP.

8. Ve sloupci K dispozici vyberte znaménko plus (+) a přesuňte identitu do vybraného sloupce a pak vyberte Další.

9. Na stránce Úkoly zadejte v části Název role název:, zadejte název vaší role.

10. Ve sloupci K dispozici vyberte znaménko plus (+) a přesuňte úkol do vybraného sloupce.

    • Pokud chcete přidat celou kategorii, vyberte kategorii.
    • Pokud chcete přidat jednotlivé položky z kategorie, vyberte šipku dolů na levé straně názvu kategorie a pak vyberte jednotlivé položky.

11. Vyberte Další.

12. Na stránce Náhled zkontrolujte:

    • Seznam vybraných akcí
    • YAML nebo skript, abyste potvrdili, že je to, co chcete.

13. Pokud váš kontroler není povolený, vyberte Stáhnout YAML nebo Stáhnout skript a stáhněte kód a spusťte ho sami.

14. Vyberte položku Odeslat. Zpráva potvrzuje, že vaše role byla odeslána k vytvoření.

15. Vpravo se zobrazí podokno Úlohy správy oprávnění.

    • Na kartě Aktivní se zobrazí seznam zásad, které správa oprávnění právě zpracovává.
    • Na kartě Dokončeno se zobrazí seznam dokončených zásad Správa oprávnění.

16. Po dokončení shromažďování dat pro zadaný autorizační systém se projeví informace o nově vytvořené roli.

Další kroky

• Informace o tom, jak zobrazit existující role/ zásady, požadavky a oprávnění, najdete v tématu Zobrazení rolí/zásad, žádostí a oprávnění na řídicím panelu Náprava.
• Informace o tom, jak upravit roli nebo zásadu, najdete v tématu Úprava role nebo zásady.