Atribuir a um usuário a função de administrador de uma assinatura do Azure, com condições

Para atribuir funções do Azure, você precisa ter:

• Permissões Microsoft.Authorization/roleAssignments/write, como Administrador de Controle de Acesso Baseado em Função ou Administrador de Acesso do Usuário

Siga estas etapas:

1. Entre no portal do Azure.

2. Na caixa Pesquisar na caixa superior, pesquise assinaturas.

3. Clique na assinatura que você quer usar.

   A seguir, é mostrado um exemplo da assinatura.

   

O controle de acesso (IAM) é a página usada normalmente para atribuir funções para conceder acesso aos recursos do Azure. Isso também é conhecido como IAM (gerenciamento de identidade e de acesso) e aparece em vários locais no Portal do Azure.

1. Clique em IAM (Controle de Acesso).

   O exemplo a seguir mostra um exemplo de página Controle de Acesso (IAM) para uma assinatura.

   

2. Clique na guia Atribuições de função para ver todas as atribuições de função nesse escopo.

3. Clique em Adicionar>Adicionar atribuição de função.

   Se você não tiver permissões para atribuir funções, a opção Adicionar atribuição de função será desativada.

   

   A página Adicionar atribuição de função será aberta.

A função Proprietário concede acesso completo para gerenciar todos os recursos, incluindo a capacidade de atribuir funções no RBAC do Azure. Você deve designar no máximo três proprietários de assinaturas para reduzir o potencial de violação por um proprietário comprometido.

1. Na guia Função, selecione a guia Funções de administrador com privilégios.

   

2. Selecione a função Proprietário.

3. Clique em Avançar.

Siga estas etapas:

1. Na guia Membros, selecione Usuário, grupo ou entidade de serviço.

   

2. Clique em Selecionar membros.

3. Localize e selecione o usuário.

   Você pode digitar na caixa Selecionar para pesquisar o nome de exibição ou o endereço de email no diretório.

   

4. Clique em Salvar para adicionar o usuário à lista Membros.

5. Na caixa Descrição, insira uma descrição opcional para esta atribuição de função.

   Posteriormente, você pode mostrar essa descrição na lista de atribuições de funções.

6. Clique em Avançar.

Como a função Proprietário é uma função altamente privilegiada, a Microsoft recomenda que você adicione uma condição para restringir a atribuição da função.

1. Na guia Condições em Que usuário pode fazer, selecione a opção Permitir que o usuário atribua apenas funções selecionadas a entidades de segurança selecionadas (menos privilégios).

   

2. Selecione Selecionar funções e entidades de segurança.

   A página "Adicionar condição de atribuição de função" aparece com uma lista de modelos de condições.

   

3. Selecione um modelo de condições e, a seguir, selecione Configurar.

   Modelo de condições	Selecione esse modelo para
   Restringir funções	Permitir que o usuário atribua apenas as funções que você selecionar
   Restringir funções e tipos principais	Permitir que o usuário atribua apenas as funções que você selecionar Permitir que o usuário atribua essas funções apenas aos tipos de entidade de segurança que você selecionar (usuários, grupos ou entidades de serviço)
   Restringir funções e princípios	Permitir que o usuário atribua apenas as funções que você selecionar Permitir que o usuário atribua apenas essas funções às entidades de segurança que você selecionar

   Dica

   Se quiser permitir a maioria das atribuições de função, mas não permitir algumas atribuições de função específicas, você poderá usar o editor de condições avançado e adicionar uma condição manualmente. Para obter um exemplo, confira Exemplo: permitir a maioria das funções, mas não permitir que outros atribuam funções.

4. No painel Configurar, adicione as configurações necessárias.

   

5. Selecione Salvar para adicionar a condição à atribuição de função.

Siga estas etapas:

1. Na guia Examinar + atribuir, examine as configurações de atribuição de função.

2. Clique em Examinar + atribuir para atribuir a função.

   Após alguns instantes, é atribuída ao usuário a função Proprietário da assinatura.