Tworzenie ról/zasad na pulpicie nawigacyjnym Korygowanie

W tym artykule opisano sposób używania pulpitu nawigacyjnego korygowania w Zarządzanie uprawnieniami Microsoft Entra do tworzenia ról/zasad dla systemów autoryzacji usług Amazon Web Services (AWS), Microsoft Azure lub Google Cloud Platform (GCP).

Uwaga

Aby wyświetlić kartę Korygowanie , musisz mieć uprawnienia osoby przeglądającego, kontrolera lub administratora . Aby wprowadzić zmiany na tej karcie, musisz mieć uprawnienia Kontroler lub Administrator . Jeśli nie masz tych uprawnień, skontaktuj się z administratorem systemu.

Uwaga

Platforma Microsoft Azure używa terminu rola dla tego, co inni dostawcy usług w chmurze nazywają zasadami. Zarządzanie uprawnieniami automatycznie powoduje zmianę tej terminologii po wybraniu typu systemu autoryzacji. W dokumentacji użytkownika używamy roli/zasad do odwoływania się do obu tych elementów .

Tworzenie zasad dla platformy AWS

Uwaga

Aby uzyskać informacje na temat limitów przydziału usługi AWS i żądania zwiększenia limitu przydziału usługi AWS, odwiedź dokumentację platformy AWS.

1. Na stronie głównej Microsoft Entra wybierz kartę Korygowanie , a następnie wybierz kartę Rola/zasady .

2. Użyj list rozwijanych, aby wybrać typ systemu autoryzacji i system autoryzacji.

3. Wybierz pozycję Utwórz zasady.

4. Na stronie Szczegóły typ systemu autoryzacji i system autoryzacji są wstępnie wypełniane z poprzednich ustawień.

   • Aby zmienić ustawienia, wybierz pozycję z listy rozwijanej.

5. W obszarze Jak chcesz utworzyć zasady, wybierz wymaganą opcję:

   • Aktywność użytkowników: umożliwia tworzenie zasad na podstawie aktywności użytkownika.
   • Działanie grup: umożliwia utworzenie zasad na podstawie zagregowanego działania wszystkich użytkowników należących do grup.
   • Działanie zasobów: umożliwia utworzenie zasad na podstawie działania zasobu, na przykład wystąpienia usługi EC2.
   • Działanie roli: umożliwia utworzenie zasad na podstawie zagregowanego działania wszystkich użytkowników, którzy przyjęli rolę.
   • Działanie tagów: umożliwia utworzenie zasad na podstawie zagregowanego działania wszystkich tagów.
   • Działanie funkcji lambda: umożliwia utworzenie nowych zasad na podstawie funkcji Lambda.
   • Z istniejących zasad: umożliwia utworzenie nowych zasad na podstawie istniejących zasad.
   • Nowe zasady: umożliwia utworzenie nowych zasad od podstaw.

6. W obszarze Zadania wykonywane w ostatnim czasie wybierz czas trwania: 90 dni, 60 dni, 30 dni, 7 dni lub 1 dzień.

7. W zależności od preferencji wybierz lub usuń zaznaczenie pola wyboru Uwzględnij dane programu Access Advisor.

8. W obszarze Ustawienia w kolumnie Dostępne wybierz znak plus (+), aby przenieść tożsamość do kolumny Wybrane , a następnie wybierz przycisk Dalej.

9. Na stronie Zadania w kolumnie Dostępne wybierz znak plus (+), aby przenieść zadanie do kolumny Wybrane.

   • Aby dodać całą kategorię, wybierz kategorię.
   • Aby dodać poszczególne elementy z kategorii, wybierz strzałkę w dół po lewej stronie nazwy kategorii, a następnie wybierz poszczególne elementy.

10. W obszarze Zasoby wybierz pozycję Wszystkie zasoby lub określone zasoby.

    W przypadku wybrania pozycji Określone zasoby zostanie wyświetlona lista dostępnych zasobów. Znajdź zasoby, które chcesz dodać, a następnie wybierz pozycję Dodaj.

11. W obszarze Warunki żądania wybierz pozycję JSON .

12. W obszarze Efekt wybierz pozycję Zezwalaj lub Odmów, a następnie wybierz pozycję Dalej.

13. W polu Nazwa zasad wprowadź nazwę zasad.

14. Aby dodać kolejną instrukcję do zasad, wybierz pozycję Dodaj instrukcję, a następnie z listy Instrukcje wybierz instrukcję.

15. Przejrzyj ustawienia Zadania, Zasoby, Warunki żądania i Efekt , a następnie wybierz przycisk Dalej.

16. Na stronie Wersja zapoznawcza przejrzyj skrypt, aby potwierdzić, że jest on odpowiedni.

17. Jeśli kontroler nie jest włączony, wybierz pozycję Pobierz kod JSON lub Pobierz skrypt , aby pobrać kod i uruchomić go samodzielnie.

    Jeśli kontroler jest włączony, pomiń ten krok.

18. Wybierz pozycję Podziel zasady, a następnie wybierz pozycję Prześlij.

    Komunikat potwierdza, że zasady zostały przesłane do utworzenia

19. Po prawej stronie zostanie wyświetlone okienko Zadania zarządzania uprawnieniami.

    • Na karcie Aktywne jest wyświetlana lista zasad Zarządzanie uprawnieniami jest obecnie przetwarzane.
    • Na karcie Ukończono zostanie wyświetlona lista zasad Zarządzanie uprawnieniami została ukończona.

20. Po zakończeniu zbierania danych dla określonego systemu autoryzacji zostaną odzwierciedlone nowo utworzone informacje o zasadach.

Tworzenie roli dla platformy Azure

1. Na stronie głównej Zarządzanie uprawnieniami wybierz kartę Korygowanie , a następnie wybierz kartę Rola/zasady .

2. Użyj list rozwijanych, aby wybrać typ systemu autoryzacji i system autoryzacji.

3. Wybierz pozycję Utwórz rolę.

4. Na stronie Szczegóły typ systemu autoryzacji i system autoryzacji są wstępnie wypełniane z poprzednich ustawień.

   • Aby zmienić ustawienia, zaznacz pole i wybierz z listy rozwijanej.

5. W obszarze Jak chcesz utworzyć rolę? wybierz wymaganą opcję:

   • Aktywność użytkowników: umożliwia utworzenie roli na podstawie aktywności użytkownika.
   • Działanie grup: umożliwia utworzenie roli na podstawie zagregowanego działania wszystkich użytkowników należących do grup.
   • Działanie aplikacji: umożliwia utworzenie roli na podstawie zagregowanej aktywności wszystkich aplikacji.
   • Z istniejącej roli: umożliwia utworzenie nowej roli na podstawie istniejącej roli.
   • Nowa rola: umożliwia utworzenie nowej roli od podstaw.

6. W obszarze Zadania wykonywane w ostatnim czasie wybierz czas trwania: 90 dni, 60 dni, 30 dni, 7 dni lub 1 dzień.

7. W zależności od preferencji:

   • Wybierz lub usuń zaznaczenie opcji Ignoruj akcje odczytu innych niż Microsoft.
   • Wybierz lub usuń zaznaczenie pola wyboru Uwzględnij zadania tylko do odczytu.

8. W obszarze Ustawienia w kolumnie Dostępne wybierz znak plus (+), aby przenieść tożsamość do kolumny Wybrane , a następnie wybierz przycisk Dalej.

9. Na stronie Zadania w polu Nazwa roli wprowadź nazwę roli.

10. W kolumnie Dostępne wybierz znak plus (+), aby przenieść zadanie do kolumny Wybrane.

    • Aby dodać całą kategorię, wybierz kategorię.
    • Aby dodać poszczególne elementy z kategorii, wybierz strzałkę w dół po lewej stronie nazwy kategorii, a następnie wybierz poszczególne elementy.

11. Wybierz Dalej.

12. (Opcjonalnie) Administrator może skopiować ciąg zakresu grupy zasobów do użycia jako zakres. Na platformie Azure wybierz pozycję Właściwości monitorowania>grupy>zasobów, a następnie skopiuj identyfikator zasobu.

13. Na stronie Wersja zapoznawcza przejrzyj następujące elementy:

    • Lista wybranych akcji i Nie akcje.
    • Kod JSON lub skrypt , aby potwierdzić, że jest to, co chcesz.

14. Jeśli kontroler nie jest włączony, wybierz pozycję Pobierz kod JSON lub Pobierz skrypt , aby pobrać kod i uruchomić go samodzielnie.

    Jeśli kontroler jest włączony, pomiń ten krok.

15. Wybierz Prześlij.

    Komunikat potwierdza, że Twoja rola została przesłana do utworzenia

16. Po prawej stronie zostanie wyświetlone okienko Zadania zarządzania uprawnieniami.

    • Na karcie Aktywne jest wyświetlana lista zasad Zarządzanie uprawnieniami jest obecnie przetwarzane.
    • Na karcie Ukończono zostanie wyświetlona lista zasad Zarządzanie uprawnieniami została ukończona.

17. Po zakończeniu zbierania danych dla określonego systemu autoryzacji zostaną odzwierciedlone nowo utworzone informacje o roli.

Tworzenie roli dla platformy GCP

1. Na stronie głównej Zarządzanie uprawnieniami wybierz kartę Korygowanie , a następnie wybierz kartę Rola/zasady .

2. Użyj list rozwijanych, aby wybrać typ systemu autoryzacji i system autoryzacji.

3. Wybierz pozycję Utwórz rolę.

4. Na stronie Szczegóły typ systemu autoryzacji i system autoryzacji są wstępnie wypełniane z poprzednich ustawień.

   • Aby zmienić ustawienia, zaznacz pole i wybierz z listy rozwijanej.

5. W obszarze Jak chcesz utworzyć rolę? wybierz wymaganą opcję:

   • Aktywność użytkowników: umożliwia utworzenie roli na podstawie aktywności użytkownika.
   • Działanie grup: umożliwia utworzenie roli na podstawie zagregowanego działania wszystkich użytkowników należących do grup.
   • Działanie kont usług: umożliwia utworzenie roli na podstawie zagregowanego działania wszystkich kont usług.
   • Z istniejącej roli: umożliwia utworzenie nowej roli na podstawie istniejącej roli.
   • Nowa rola: umożliwia utworzenie nowej roli od podstaw.

6. W obszarze Zadania wykonywane w ostatnim czasie wybierz czas trwania: 90 dni, 60 dni, 30 dni, 7 dni lub 1 dzień.

7. Jeśli w poprzednim kroku wybrano pozycję Aktywność kont usług, wybierz lub usuń zaznaczenie pola wyboru Zbieraj działania we wszystkich systemach autoryzacji GCP.

8. W kolumnie Dostępne wybierz znak plus (+), aby przenieść tożsamość do kolumny Wybrane, a następnie wybierz przycisk Dalej.

9. Na stronie Zadania w polu Nazwa roli wprowadź nazwę roli.

10. W kolumnie Dostępne wybierz znak plus (+), aby przenieść zadanie do kolumny Wybrane.

    • Aby dodać całą kategorię, wybierz kategorię.
    • Aby dodać poszczególne elementy z kategorii, wybierz strzałkę w dół po lewej stronie nazwy kategorii, a następnie wybierz poszczególne elementy.

11. Wybierz Dalej.

12. Na stronie Wersja zapoznawcza przejrzyj następujące elementy:

    • Lista wybranych akcji.
    • Plik YAML lub skrypt , aby potwierdzić, że jest to, co chcesz.

13. Jeśli kontroler nie jest włączony, wybierz pozycję Pobierz kod YAML lub Pobierz skrypt , aby pobrać kod i uruchomić go samodzielnie.

14. Wybierz Prześlij. Komunikat potwierdza, że Twoja rola została przesłana do utworzenia

15. Po prawej stronie zostanie wyświetlone okienko Zadania zarządzania uprawnieniami.

    • Na karcie Aktywne jest wyświetlana lista zasad Zarządzanie uprawnieniami jest obecnie przetwarzane.
    • Na karcie Ukończono zostanie wyświetlona lista zasad Zarządzanie uprawnieniami została ukończona.

16. Po zakończeniu zbierania danych dla określonego systemu autoryzacji zostaną odzwierciedlone nowo utworzone informacje o roli.

Następne kroki

• Aby uzyskać informacje na temat wyświetlania istniejących ról/zasad, żądań i uprawnień, zobacz Wyświetlanie ról/zasad, żądań i uprawnień na pulpicie nawigacyjnym korygowania.
• Aby uzyskać informacje na temat modyfikowania roli/zasad, zobacz Modyfikowanie roli/zasad.