Compartilhar via

Gerenciar o acesso a recursos no Azure Stack Hub com controle de acesso baseado em função

  • Artigo

O Azure Stack Hub dá suporte ao RBAC (controle de acesso baseado em função), o mesmo modelo de segurança para o gerenciamento de acesso que o Microsoft Azure usa. Você pode usar o RBAC para gerenciar o acesso de usuário, grupo ou aplicativo a assinaturas, recursos e serviços.

Noções básicas do gerenciamento de acesso

O RBAC (controle de acesso baseado em função) fornece controle de acesso refinado que você pode usar para proteger seu ambiente. Você fornece aos usuários as permissões exatas necessárias atribuindo uma função RBAC em um determinado escopo. O escopo da atribuição de função pode ser uma assinatura, um grupo de recursos ou um único recurso. Para obter informações mais detalhadas sobre o gerenciamento de acesso, consulte o artigo Controle de acesso baseado em função no Portal do Azure.

Nota

Quando o Azure Stack Hub é implantado usando os Serviços de Federação do Active Directory como provedor de identidade, somente grupos universais têm suporte para cenários RBAC.

Funções internas

O Azure Stack Hub tem três funções básicas que você pode aplicar a todos os tipos de recursos:

  • Proprietário: concede acesso completo para gerenciar todos os recursos, incluindo a capacidade de atribuir funções no Azure Stack RBAC.
  • Colaborador: concede acesso total para gerenciar todos os recursos, mas não permite que você atribua funções no RBAC do Azure Stack.
  • Leitor: pode exibir tudo, mas não pode fazer nenhuma alteração.

Hierarquia e herança de recursos

O Azure Stack Hub tem a seguinte hierarquia de recursos:

  • Cada assinatura pertence a um diretório.
  • Cada grupo de recursos pertence a uma assinatura.
  • Cada recurso pertence a um grupo de recursos.

O acesso concedido em um escopo pai é herdado em escopos filho. Por exemplo:

  • Você atribui a função Leitor a um grupo do Microsoft Entra no escopo da assinatura. Os membros desse grupo podem exibir cada recurso e grupo de recursos na assinatura.
  • Você pode atribuir a função Colaborador para um aplicativo no escopo do grupo de recursos. O aplicativo pode gerenciar recursos de todos os tipos nesse grupo de recursos, mas não de outros grupos de recursos na assinatura.

Atribuindo funções

Você pode atribuir mais de uma função a um usuário e cada função pode ser associada a um escopo diferente. Por exemplo:

  • Você atribui ao TestUser-A a função de Leitor para Subscription-1.
  • Você atribui ao TestUser-A a função de Proprietário para TestVM-1.

O artigo atribuições de funções do Azure fornece informações detalhadas sobre como visualizar, atribuir e excluir funções.

Definir permissões de acesso para um usuário

As etapas a seguir descrevem como configurar permissões para um usuário.

  1. Entre com uma conta que tenha permissões de proprietário para o recurso que você deseja gerenciar.

  2. No painel de navegação esquerdo, escolha Grupos de recursos.

  3. Escolha o nome do grupo de recursos no qual você deseja definir permissões.

  4. No painel de navegação do grupo de recursos, escolha Controle de Acesso (IAM).
    A exibição Atribuições de função lista os itens que têm acesso ao grupo de recursos. Você pode filtrar e agrupar os resultados.

  5. Na barra de menus Controle de acesso, escolha Adicionar.

  6. No painel Adicionar permissões:

    • Escolha a função que você deseja atribuir na lista suspensa Função.
    • Escolha o recurso que você deseja atribuir na lista suspensa Atribuir acesso a.
    • Selecione o usuário, o grupo ou o aplicativo em seu diretório ao qual você deseja conceder acesso. Você pode pesquisar o diretório com nomes de exibição, endereços de email e identificadores de objeto.

  7. Selecione Salvar.

Próximas etapas

Criar entidades de serviço