Udostępnij za pośrednictwem

Zarządzanie regułami dla każdej roli w poszczególnych zasobach przy użyciu zasad zarządzania rolami

  • Artykuł

Zasady zarządzania rolami ułatwiają zarządzanie regułami dowolnego żądania uprawnień do roli lub żądania przypisania roli. Można na przykład ustawić maksymalny czas trwania, dla którego przypisanie może być aktywne, lub nawet zezwolić na stałe przypisanie. Ustawienia powiadomień można zaktualizować dla każdego przypisania. Można również ustawić osoby zatwierdzające dla każdej aktywacji roli.

Wyświetlanie listy zasad zarządzania rolami dla zasobu

Aby wyświetlić listę zasad zarządzania rolami, możesz użyć zasad zarządzania rolami — lista dla interfejsu API REST zakresu. Aby uściślić wyniki, należy określić zakres i opcjonalny filtr. Aby wywołać interfejs API, musisz mieć dostęp do Microsoft.Authorization/roleAssignments/read operacji w określonym zakresie. Wszystkie wbudowane role mają dostęp do tej operacji.

Ważne

Nie trzeba tworzyć zasad zarządzania rolami, ponieważ każda rola w każdym zasobie ma zasady domyślne

  1. Rozpocznij od następującego żądania:

    GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies?api-version=2020-10-01&$filter={filter}

  2. W identyfikatorze URI zastąp ciąg {scope} zakresem, dla którego chcesz wyświetlić listę zasad zarządzania rolami.

    Zakres Typ
    providers/Microsoft.Management/managementGroups/{mg-name} Grupa zarządzania
    subscriptions/{subscriptionId} Subskrypcja
    subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1 Grupa zasobów
    subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1 Zasób

  3. Zastąp element {filter} warunkiem, który chcesz zastosować, aby filtrować listę przypisań ról.

    Filtr Opis
    $filter=roleDefinitionId%20eq%20'{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}' Wyświetl listę zasad zarządzania rolami dla określonej definicji roli w zakresie zasobu.

Aktualizowanie zasad zarządzania rolami

  1. Wybierz reguły, które chcesz zaktualizować. Są to typy reguł —

    Typ reguły Opis
    RoleManagementPolicyEnablementRule Włączanie uwierzytelniania wieloskładnikowego, uzasadnienie dla przypisań lub informacji o biletach
    RoleManagementPolicyExpirationRule Określ maksymalny czas trwania przypisania roli lub aktywacji
    RoleManagementPolicyNotificationRule Konfigurowanie ustawień powiadomień e-mail dotyczących przypisań, aktywacji i zatwierdzeń
    RoleManagementPolicyApprovalRule Konfigurowanie ustawień zatwierdzania dla aktywacji roli
    RoleManagementPolicyAuthenticationContextRule Konfigurowanie reguły ACRS dla zasad dostępu warunkowego

  2. Użyj następującego żądania:

    PATCH https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleManagementPolicies/{roleManagementPolicyId}?api-version=2020-10-01

    {
  "properties": {
    "rules": [
      {
        "isExpirationRequired": false,
        "maximumDuration": "P180D",
        "id": "Expiration_Admin_Eligibility",
        "ruleType": "RoleManagementPolicyExpirationRule",
        "target": {
          "caller": "Admin",
          "operations": [
            "All"
          ],
          "level": "Eligibility",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "notificationType": "Email",
        "recipientType": "Admin",
        "isDefaultRecipientsEnabled": false,
        "notificationLevel": "Critical",
        "notificationRecipients": [
          "admin_admin_eligible@test.com"
        ],
        "id": "Notification_Admin_Admin_Eligibility",
        "ruleType": "RoleManagementPolicyNotificationRule",
        "target": {
          "caller": "Admin",
          "operations": [
            "All"
          ],
          "level": "Eligibility",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "enabledRules": [
          "Justification",
          "MultiFactorAuthentication",
          "Ticketing"
        ],
        "id": "Enablement_EndUser_Assignment",
        "ruleType": "RoleManagementPolicyEnablementRule",
        "target": {
          "caller": "EndUser",
          "operations": [
            "All"
          ],
          "level": "Assignment",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      },
      {
        "setting": {
          "isApprovalRequired": true,
          "isApprovalRequiredForExtension": false,
          "isRequestorJustificationRequired": true,
          "approvalMode": "SingleStage",
          "approvalStages": [
            {
              "approvalStageTimeOutInDays": 1,
              "isApproverJustificationRequired": true,
              "escalationTimeInMinutes": 0,
              "primaryApprovers": [
                {
                  "id": "2385b0f3-5fa9-43cf-8ca4-b01dc97298cd",
                  "description": "amansw_new_group",
                  "isBackup": false,
                  "userType": "Group"
                }
              ],
              "isEscalationEnabled": false,
              "escalationApprovers": null
            }
          ]
        },
        "id": "Approval_EndUser_Assignment",
        "ruleType": "RoleManagementPolicyApprovalRule",
        "target": {
          "caller": "EndUser",
          "operations": [
            "All"
          ],
          "level": "Assignment",
          "targetObjects": null,
          "inheritableSettings": null,
          "enforcedSettings": null
        }
      }
    ]
  }
}