Creare un ruolo o un criterio nel dashboard dei rimedi

Questo articolo descrive come usare il dashboard di correzione in Gestione delle autorizzazioni di Microsoft Entra per creare ruoli/criteri per i sistemi di autorizzazione Amazon Web Services (AWS), Microsoft Azure o Google Cloud Platform (GCP).

Nota

Per visualizzare la scheda Correzione, è necessario disporre delle autorizzazioni di Spettatore, Titolare del trattamento o Amministratore. Per apportare modifiche in questa scheda, è necessario disporre delle autorizzazioni di Titolare o Amministratore. Se non si dispone di queste autorizzazioni, rivolgersi all'amministratore di sistema.

Nota

Microsoft Azure usa il termine ruolo per gli altri provider di servizi cloud che chiamano i criteri. Gestione delle autorizzazioni modifica automaticamente questo termine quando si seleziona il tipo di sistema di autorizzazione. Nella documentazione dell'utente si usa ruolo/criteri per fare riferimento a entrambi i termini.

Creare un criterio per AWS

Nota

Per informazioni sulle quote del servizio AWS e per richiedere un aumento della quota del servizio AWS, vedere la documentazione di AWS.

1. Nella home page di Microsoft Entra selezionare la scheda Correzione e quindi selezionare la scheda Ruolo/Criteri .

2. Usare gli elenchi a discesa per selezionare il tipo di sistema di autorizzazione e il sistema di autorizzazione.

3. Selezionare Crea criterio.

4. Nella pagina Dettagli il tipo di sistema di autorizzazione e il sistema di autorizzazione vengono precompilato dalle impostazioni precedenti.

   • Per modificare le impostazioni, effettuare una selezione dall'elenco a discesa.

5. In Come si vuole creare il criterio selezionare l'opzione richiesta:

   • Attività degli utenti: consente di creare un criterio in base all'attività dell'utente.
   • Attività dei gruppi: consente di creare criteri in base all'attività aggregata di tutti gli utenti appartenenti ai gruppi.
   • Attività delle risorse: consente di creare criteri in base all'attività di una risorsa, ad esempio un'istanza EC2.
   • Attività del ruolo: consente di creare criteri in base all'attività aggregata di tutti gli utenti che hanno assunto il ruolo.
   • Attività dei tag: consente di creare criteri in base all'attività aggregata di tutti i tag.
   • Attività della funzione lambda: consente di creare un nuovo criterio basato sulla funzione lambda.
   • Da criteri esistenti: consente di creare un nuovo criterio in base a un criterio esistente.
   • Nuovo criterio: consente di creare un nuovo criterio da zero.

6. In Attività eseguite nell'ultima opzione selezionare la durata: 90 giorni, 60 giorni, 30 giorni, 7 giorni o 1 giorno.

7. A seconda delle preferenze, selezionare o deselezionare Includi dati di Access Advisor.

8. Nella colonna Impostazioni selezionare il segno più (+) per spostare l'identità nella colonna Selezionata e quindi selezionare Avanti.

9. Nella pagina Attività, nella colonna Disponibile, selezionare il segno più (+) per spostare l'attività nella colonna Selezionata.

   • Per aggiungere un'intera categoria, selezionare una categoria.
   • Per aggiungere singoli elementi da una categoria, selezionare la freccia giù a sinistra del nome della categoria e quindi selezionare singoli elementi.

10. In Risorse selezionare Tutte le risorse o Risorse specifiche.

    Se si seleziona Risorse specifiche, viene visualizzato un elenco di risorse disponibili. Trovare le risorse da aggiungere e quindi selezionare Aggiungi.

11. In Condizioni richiesta selezionare JSON .

12. In Effetto selezionare Consenti o Nega e quindi selezionare Avanti.

13. In Nome criterio immettere un nome per il criterio.

14. Per aggiungere un'altra istruzione ai criteri, selezionare Aggiungi istruzione e quindi selezionare un'istruzione dall'elenco di istruzioni.

15. Esaminare le impostazioni attività, risorse, condizioni di richiesta e effetto e quindi selezionare Avanti.

16. Nella pagina Anteprima esaminare lo script per verificare che sia quello desiderato.

17. Se il controller non è abilitato, selezionare Scarica JSON o Scarica script per scaricare il codice ed eseguirlo manualmente.

    Se il controller è abilitato, ignorare questo passaggio.

18. Selezionare Split Policy (Divisione criteri) e quindi Submit ( Invia).

    Un messaggio conferma che i criteri sono stati inviati per la creazione

19. Il riquadro Attività di gestione delle autorizzazioni viene visualizzato a destra.

    • Nella scheda Attivo viene visualizzato un elenco dei criteri Gestione autorizzazioni in fase di elaborazione.
    • Nella scheda Completato viene visualizzato un elenco dei criteri Gestione autorizzazioni completata.

20. Una volta completata la raccolta dati per il sistema di autorizzazione specificato, vengono riflesse le informazioni sui criteri appena create.

Creare un ruolo per Azure

1. Nella home page Gestione delle autorizzazioni selezionare la scheda Correzione, quindi selezionare la scheda Ruolo/Criteri.

2. Usare gli elenchi a discesa per selezionare il tipo di sistema di autorizzazione e il sistema di autorizzazione.

3. Selezionare Create Role (Crea ruolo).

4. Nella pagina Dettagli il tipo di sistema di autorizzazione e il sistema di autorizzazione vengono precompilato dalle impostazioni precedenti.

   • Per modificare le impostazioni, selezionare la casella ed effettuare una selezione dall'elenco a discesa.

5. In Come si vuole creare il ruolo? selezionare l'opzione necessaria:

   • Attività degli utenti: consente di creare un ruolo in base all'attività dell'utente.
   • Attività dei gruppi: consente di creare un ruolo in base all'attività aggregata di tutti gli utenti appartenenti ai gruppi.
   • Attività delle app: consente di creare un ruolo in base all'attività aggregata di tutte le app.
   • Da ruolo esistente: consente di creare un nuovo ruolo in base a un ruolo esistente.
   • Nuovo ruolo: consente di creare un nuovo ruolo da zero.

6. In Attività eseguite nell'ultima opzione selezionare la durata: 90 giorni, 60 giorni, 30 giorni, 7 giorni o 1 giorno.

7. A seconda delle preferenze:

   • Selezionare o deselezionare Ignora azioni di lettura non Microsoft.
   • Selezionare o deselezionare Includi attività di sola lettura.

8. Nella colonna Impostazioni selezionare il segno più (+) per spostare l'identità nella colonna Selezionata e quindi selezionare Avanti.

9. Nella pagina Attività, in Nome ruolo: immettere un nome per il ruolo.

10. Nella colonna Disponibile selezionare il segno più (+) per spostare l'attività nella colonna Selezionata.

    • Per aggiungere un'intera categoria, selezionare una categoria.
    • Per aggiungere singoli elementi da una categoria, selezionare la freccia giù a sinistra del nome della categoria e quindi selezionare singoli elementi.

11. Selezionare Avanti.

12. (Facoltativo) Un amministratore può copiare la stringa di ambito gruppi di risorse da usare come ambito. In Azure selezionare Proprietà monitoraggio>gruppo>di risorse e quindi copiare l'ID risorsa.

13. Nella pagina Anteprima esaminare:

    • Elenco di azioni selezionate e non azioni.
    • JSON o Script per verificare che si tratti di ciò che si vuole.

14. Se il controller non è abilitato, selezionare Scarica JSON o Scarica script per scaricare il codice ed eseguirlo manualmente.

    Se il controller è abilitato, ignorare questo passaggio.

15. Selezionare Invia.

    Un messaggio conferma che il ruolo è stato inviato per la creazione

16. Il riquadro Attività di gestione delle autorizzazioni viene visualizzato a destra.

    • Nella scheda Attivo viene visualizzato un elenco dei criteri Gestione autorizzazioni in fase di elaborazione.
    • Nella scheda Completato viene visualizzato un elenco dei criteri Gestione autorizzazioni completata.

17. Una volta completata la raccolta dei dati per il sistema di autorizzazione specificato, vengono riflesse le informazioni sul ruolo appena create.

Creare un ruolo per GCP

1. Nella home page Gestione delle autorizzazioni selezionare la scheda Correzione, quindi selezionare la scheda Ruolo/Criteri.

2. Usare gli elenchi a discesa per selezionare il tipo di sistema di autorizzazione e il sistema di autorizzazione.

3. Selezionare Create Role (Crea ruolo).

4. Nella pagina Dettagli il tipo di sistema di autorizzazione e il sistema di autorizzazione vengono precompilato dalle impostazioni precedenti.

   • Per modificare le impostazioni, selezionare la casella ed effettuare una selezione dall'elenco a discesa.

5. In Come si vuole creare il ruolo? selezionare l'opzione necessaria:

   • Attività degli utenti: consente di creare un ruolo in base all'attività dell'utente.
   • Attività dei gruppi: consente di creare un ruolo in base all'attività aggregata di tutti gli utenti appartenenti ai gruppi.
   • Attività degli account di servizio: consente di creare un ruolo in base all'attività aggregata di tutti gli account di servizio.
   • Da ruolo esistente: consente di creare un nuovo ruolo in base a un ruolo esistente.
   • Nuovo ruolo: consente di creare un nuovo ruolo da zero.

6. In Attività eseguite nell'ultima opzione selezionare la durata: 90 giorni, 60 giorni, 30 giorni, 7 giorni o 1 giorno.

7. Se nel passaggio precedente è stata selezionata l'opzione Attività degli account di servizio, selezionare o deselezionare Raccogli attività in tutti i sistemi di autorizzazione GCP.

8. Nella colonna Disponibile selezionare il segno più (+) per spostare l'identità nella colonna Selezionata e quindi selezionare Avanti.

9. Nella pagina Attività, in Nome ruolo: immettere un nome per il ruolo.

10. Nella colonna Disponibile selezionare il segno più (+) per spostare l'attività nella colonna Selezionata.

    • Per aggiungere un'intera categoria, selezionare una categoria.
    • Per aggiungere singoli elementi da una categoria, selezionare la freccia giù a sinistra del nome della categoria e quindi selezionare singoli elementi.

11. Selezionare Avanti.

12. Nella pagina Anteprima esaminare:

    • Elenco delle azioni selezionate.
    • YAML o Script per verificare che sia quello desiderato.

13. Se il controller non è abilitato, selezionare Scarica YAML o Scarica script per scaricare il codice ed eseguirlo manualmente.

14. Selezionare Invia. Un messaggio conferma che il ruolo è stato inviato per la creazione

15. Il riquadro Attività di gestione delle autorizzazioni viene visualizzato a destra.

    • Nella scheda Attivo viene visualizzato un elenco dei criteri Gestione autorizzazioni in fase di elaborazione.
    • Nella scheda Completato viene visualizzato un elenco dei criteri Gestione autorizzazioni completata.

16. Una volta completata la raccolta dei dati per il sistema di autorizzazione specificato, vengono riflesse le informazioni sul ruolo appena create.

Passaggi successivi

• Per informazioni su come visualizzare ruoli/criteri, richieste e autorizzazioni esistenti, vedere Visualizzare ruoli/criteri, richieste e autorizzazioni esistenti nel dashboard Correzione.
• Per informazioni su come modificare un ruolo o un criterio, vedere Modificare un ruolo o un criterio.