Partilhar via

Gerenciar o acesso a recursos no Azure Stack Hub com controle de acesso baseado em função

  • Artigo

O Azure Stack Hub dá suporte ao RBAC (controle de acesso baseado em função), o mesmo modelo de segurança para gerenciamento de acesso que o Microsoft Azure usa. Você pode usar o RBAC para gerenciar o acesso de usuários, grupos ou aplicativos a assinaturas, recursos e serviços.

Noções básicas de gerenciamento de acesso

O controle de acesso baseado em função (RBAC) fornece controle de acesso refinado que você pode usar para proteger seu ambiente. Você concede aos usuários as permissões exatas de que eles precisam atribuindo uma função RBAC em um determinado escopo. O escopo da atribuição de função pode ser uma assinatura, um grupo de recursos ou um único recurso. Para obter informações mais detalhadas sobre o gerenciamento de acesso, consulte o Role-Based controle de acesso no portal do Azure artigo.

Observação

Quando o Azure Stack Hub é implantado usando os Serviços de Federação do Ative Directory como o provedor de identidade, somente os Grupos Universais são suportados para cenários RBAC.

Funções incorporadas

O Azure Stack Hub tem três funções básicas que você pode aplicar a todos os tipos de recursos:

  • Owner: concede acesso total para gerir todos os recursos, incluindo a possibilidade de atribuir papéis no RBAC do Azure Stack.
  • de Colaborador: concede acesso total para gerir todos os recursos, mas não permite a atribuição de papéis na RBAC do Azure Stack.
  • Reader: pode ver tudo, mas não pode fazer alterações.

Hierarquia de recursos e herança

O Azure Stack Hub tem a seguinte hierarquia de recursos:

  • Cada assinatura pertence a um diretório.
  • Cada grupo de recursos pertence a uma assinatura.
  • Cada recurso pertence a um grupo de recursos.

O acesso concedido num escopo ancestral é herdado em escopos descendentes. Por exemplo:

  • Você atribui a função de leitor a um grupo do Microsoft Entra no âmbito da subscrição. Os membros desse grupo podem visualizar todos os grupos de recursos e recursos na assinatura.
  • Você atribui a função de Colaborador a um aplicativo no escopo do grupo de recursos. O aplicativo pode gerenciar recursos de todos os tipos nesse grupo de recursos, mas não outros grupos de recursos na assinatura.

Atribuição de funções

Você pode atribuir mais de uma função a um usuário e cada função pode ser associada a um escopo diferente. Por exemplo:

  • Você atribui TestUser-A a função Leitor à Assinatura-1.
  • Você atribui TestUser-A a função de proprietário ao TestVM-1.

O artigo atribuições de função do Azure fornece informações detalhadas sobre exibir, atribuir e excluir funções.

Definir permissões de acesso para um usuário

As etapas a seguir descrevem como configurar permissões para um usuário.

  1. Inicie sessão com uma conta que tenha permissões de proprietário para o recurso que pretende gerir.

  2. No painel de navegação esquerdo, escolha Grupos de recursos.

  3. Escolha o nome do grupo de recursos no qual você deseja definir permissões.

  4. No painel de navegação do grupo de recursos, escolha Controle de acesso (IAM).
    A vista Atribuições de Função lista os itens que têm acesso ao grupo de recursos. Você pode filtrar e agrupar os resultados.

  5. Na barra de menus Controlo de Acesso, escolha Adicionar.

  6. No painel Adicionar permissões:

    • Escolha a função que deseja atribuir na lista suspensa Função.
    • Escolha o recurso que deseja atribuir na lista suspensa Atribuir acesso a.
    • Selecione o usuário, grupo ou aplicativo em seu diretório ao qual você deseja conceder acesso. Você pode pesquisar o diretório com nomes para exibição, endereços de e-mail e identificadores de objeto.

  7. Selecione Salvar.

Próximos passos

Criar principais de serviço