Delegar o gerenciamento de atribuição de função do Azure a outras pessoas com condições

Os administradores recebem diversas solicitações para conceder acesso aos recursos do Azure a fim de delegá-los a outra pessoa. Seria possível atribuir a um usuário as funções de Proprietário ou Administrador de acesso de usuário, mas essas são funções com muitos privilégios. Este artigo descreve uma forma mais segura de delegar o gerenciamento de atribuição de função a outros usuários em sua organização com a adição de restrições para essas atribuições. Por exemplo, é possível restringir as funções que podem ser atribuídas ou restringir as entidades de segurança às quais as funções podem ser atribuídas.

O diagrama a seguir mostra como um delegado com condições só pode atribuir as funções de Colaborador de Backup ou Leitor de Backup aos grupos de Marketing ou Vendas.

Pré-requisitos

Para atribuir funções do Azure, você precisa ter:

• Permissões Microsoft.Authorization/roleAssignments/write, como Administrador de Controle de Acesso Baseado em Função ou Administrador de Acesso do Usuário

Etapa 1: determinar as permissões que o delegado precisa

Para determinar as permissões que o delegado precisa, responda às seguintes perguntas:

• Quais funções o delegado pode atribuir?
• A quais tipos de entidades de segurança o delegado pode atribuir funções?
• A quais entidades de segurança o delegado pode atribuir funções?
• O delegado pode remover as atribuições de função?

Depois de saber as permissões que o delegado precisa, siga as etapas a seguir para adicionar uma condição à atribuição de função do delegado. Para condições de exemplo, confira Exemplos para delegar o gerenciamento de atribuição de função do Azure com condições.

Etapa 2: iniciar uma nova atribuição de função

1. Entre no portal do Azure.

2. Siga as etapas para abrir a página “Adicionar atribuição de função”.

3. Na guia Funções, selecione a guia Funções de administrador com privilégios.

4. Selecione a função Administrador de controle de acesso baseado em função.

   A guia Condições é exibida.

   É possível selecionar qualquer função que inclua as ações Microsoft.Authorization/roleAssignments/write ou Microsoft.Authorization/roleAssignments/delete, como Administrador de acesso de usuário, mas o Administrador de controle de acesso baseado em função tem menos permissões.

5. Na guia Membros, encontre e selecione o delegado.

Etapa 3: adicionar uma condição

Há duas maneiras de se adicionar uma condição. É possível usar um modelo de condição ou um editor de condições avançado.

Modelo

1. Na guia Condições em Que usuário pode fazer, selecione a opção Permitir que o usuário atribua apenas funções selecionadas a entidades de segurança selecionadas (menos privilégios).

   

2. Selecione Selecionar funções e entidades de segurança.

   A página "Adicionar condição de atribuição de função" aparece com uma lista de modelos de condições.

   

3. Selecione um modelo de condições e, a seguir, selecione Configurar.

   Modelo de condições	Selecione esse modelo para
   Restringir funções	Permitir que o usuário atribua apenas as funções que você selecionar
   Restringir funções e tipos principais	Permitir que o usuário atribua apenas as funções que você selecionar Permitir que o usuário atribua essas funções apenas aos tipos de entidade de segurança que você selecionar (usuários, grupos ou entidades de serviço)
   Restringir funções e princípios	Permitir que o usuário atribua apenas as funções que você selecionar Permitir que o usuário atribua apenas essas funções às entidades de segurança que você selecionar
   Permitir todas as funções, exceto as específicas	Permitir que usuários atribuam todas as funções, exceto as selecionadas

4. No painel Configurar, adicione as configurações necessárias.

   

5. Selecione Salvar para adicionar a condição à atribuição de função.

Editor de condições

Se os modelos de condição não funcionarem para o seu cenário ou se você quiser ter mais controle, você poderá usar o editor de condições.

Abrir o editor de condições

1. Na guia Condições em Que usuário pode fazer, selecione a opção Permitir que o usuário atribua apenas funções selecionadas a entidades de segurança selecionadas (menos privilégios).

   

2. Selecione Selecionar funções e entidades de segurança.

   A página "Adicionar condição de atribuição de função" aparece com uma lista de modelos de condições.

   

3. Selecione Abrir editor de condições avançado.

   A página Adicionar condição de atribuição de função será exibida.

4. Para a opção Tipo de editor, deixe o Visual padrão selecionado.

Adicionar ação

1. Na seção Adicionar ação, selecione Adicionar ação.

   O painel Selecionar uma ação será exibido. Este painel é uma lista filtrada de ações com base na atribuição de função que será o alvo da condição.

   

2. Selecione a ação Criar ou atualizar atribuições de função que você deseja permitir quando a condição for verdadeira.

   Dica

   Se você selecionar as ações Criar ou atualizar atribuições de função e Excluir uma atribuição de função, não será possível adicionar uma expressão de condição. Para realizar ambas as ações, adicione duas condições. Para saber mais, confira Exemplo: restringir funções.

Criar expressões

1. Na seção Compilar expressão, selecione Adicionar expressão.

   Aqui, você compila a expressão para restringir as atribuições de funções que o delegado pode adicionar.

2. Na lista Origem do atributo, selecione Solicitação.

3. Na lista Atributo, selecione um dos atributos a seguir para o lado esquerdo da expressão.

   • A ID de definição de função é usada para restringir as funções que o delegado pode atribuir.
   • A ID da entidade de segurança é usada para restringir as entidades de segurança específicas às quais o delegado pode atribuir funções.
   • O Tipo de entidade de segurança é usado para restringir os tipos de entidades de segurança (usuários, grupos ou entidades de serviço) aos quais o delegado pode atribuir funções.

4. Na lista Operador, selecione um operador.

   Em geral, você seleciona esses operadores de acordo com o atributo e a expressão que você deseja compilar, e eles permitem selecionar um ou mais valores para o lado direito da expressão.

   Atributo	Operador comum
   ID de definição de função	ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals
   ID da entidade de segurança	ForAnyOfAnyValues:GuidEquals
   Tipo de entidade	ForAnyOfAnyValues:StringEqualsIgnoreCase

5. Na caixa Valor, insira um ou mais valores para o lado direito da expressão.

   

6. Adicione expressões adicionais conforme necessário.

   Dica

   Ao adicionar muitas expressões para delegar o gerenciamento de atribuição de função com condições, é comum usar o operador And entre expressões em vez do operador Or padrão.

7. Selecione Salvar para adicionar a condição à atribuição de função.

Etapa 4: atribuir função com condição ao delegado

1. Na guia Examinar + atribuir, examine as configurações de atribuição de função.

2. Selecione Examinar e atribuir para atribuir a função.

   Após alguns momentos, o delegado recebe a função de Administrador de Controle de Acesso Baseado em Função com suas condições de atribuição de função.

Etapa 5: o delegado atribui funções com condições

• O delegado agora pode seguir as etapas para atribuir funções.

  

  Quando o delegado tentar atribuir funções no portal do Azure, a lista de funções será filtrada para mostrar somente aquelas que podem ser atribuídas.

  

  Se houver uma condição para as entidades de segurança, a lista de entidades de segurança disponíveis para atribuição também será filtrada.

  

  Se o delegado tentar atribuir uma função que esteja fora das condições usando uma API, a atribuição de função falhará com um erro. Para saber mais, confira Sintoma – Não é possível atribuir uma função.

Editar uma condição

Há duas maneiras de editar uma condição. É possível usar o modelo de condição ou o editor de condições.

1. No portal do Azure, abra a página Controle de acesso (IAM) da atribuição de função que tem uma condição que você deseja exibir, editar ou excluir.

2. Selecione a guia Atribuições de função e encontre a atribuição de função.

3. Na coluna Condição, selecione Exibir/Editar.

   Se o link Exibir/Editar não for exibido, verifique se você está no mesmo escopo que a atribuição de função.

   

   A página Adicionar condição de atribuição de função é exibida. Ela será diferente de acordo com a correspondência ou não da condição com um modelo atual.

4. Se a condição corresponder a um modelo atual, selecione Configurar para editá-la.

   

5. Se a condição não corresponder a um modelo atual, utilize o editor de condições avançado para editá-la.

   Por exemplo, para editar uma condição, role para baixo até a seção “Compilar expressão” e atualize os atributos, o operador ou os valores.

   

   Para editar a condição diretamente, selecione o tipo de editor Código e edite o código da condição.

   

6. Ao final, clique em Salvar para atualizar a condição.

Próximas etapas

• Delegar o gerenciamento de acesso do Azure a terceiros
• Ações e atributos de autorização