Назначение ролей для доступа к ресурсам Azure с помощью службы "Управление привилегированными пользователями"
С помощью Microsoft Entra управление привилегированными пользователями (PIM) можно управлять встроенными ролями ресурсов Azure и настраиваемыми ролями, включая (но не ограничиваясь):
- Владелец
- Администратор доступа пользователей
- Участник
- администратор безопасности;
- Диспетчер безопасности
Примечание.
Пользователи или члены группы, назначенные ролям подписки владельца или доступа пользователей Администратор istrator, а также глобальные администраторы Microsoft Entra, которые обеспечивают управление подписками в идентификаторе Microsoft Entra, имеют разрешения администратора ресурсов по умолчанию. Эти администраторы могут назначать роли, настраивать параметры ролей и проверять разрешения на доступ к ресурсам Azure с помощью службы "Управление привилегированными пользователями". Пользователи, которые не являются администраторами ресурсов, не могут управлять доступом к ресурсам с помощью службы "Управление привилегированными пользователями". Просмотр списка встроенных ролей Azure
Управление привилегированными пользователями поддерживает как встроенные, так и настраиваемые роли Azure. Дополнительные сведения о настраиваемых ролях см. в статье Настраиваемые роли Azure.
Условия назначения ролей
Управление доступом на основе атрибутов Azure (Azure ABAC) можно использовать для добавления условий для соответствующих назначений ролей с помощью Microsoft Entra PIM для ресурсов Azure. При использовании Microsoft Entra PIM конечные пользователи должны активировать соответствующее назначение ролей, чтобы получить разрешение на выполнение определенных действий. Использование условий в Microsoft Entra PIM позволяет не только ограничить разрешения роли пользователя на ресурс с помощью точных условий, но и использовать Microsoft Entra PIM для защиты назначения ролей с помощью параметра с привязкой времени, рабочего процесса утверждения, аудита и т. д.
Примечание.
При назначении роли назначение:
- не может быть назначено на период менее пяти минут;
- не может быть удалено в течение пяти минут после назначения.
В настоящее время в следующих встроенных ролях могут быть добавлены условия:
- участник данных BLOB-объектов хранилища;
- владелец данных BLOB-объектов хранилища;
- читатель данных больших двоичных объектов хранилища.
Дополнительные сведения см. в статье "Что такое управление доступом на основе атрибутов Azure(Azure ABAC)".
Назначение роли
Выполните следующие действия, чтобы предоставить пользователю разрешение для роли ресурса Azure AD.
Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator.
Перейдите к управлению удостоверениями> управление привилегированными пользователями> РесурсыAzure.
Выберите тип ресурса, которым требуется управлять. Начните с раскрывающегося списка группы управления или в раскрывающемся списке "Подписки ", а затем выберите группы ресурсов или ресурсы по мере необходимости. Нажмите кнопку "Выбрать" для ресурса, который вы хотите управлять, чтобы открыть страницу обзора.
В разделе Управление выберите Роли, чтобы просмотреть список ролей для ресурсов Azure.
Выберите Добавить назначения, чтобы открыть панель Добавление назначений.
Выберите роль, которую требуется назначить.
Щелкните ссылку Участники не выбраны, чтобы открыть панель Выбор участника или группы.
Выберите участника или группу, которым нужно назначить роли, затем нажмите Выбрать.
На вкладке Параметры в списке Тип назначения выберите Допустимое или Активное.
Microsoft Entra PIM для ресурсов Azure предоставляет два различных типа назначений:
Допустимые назначения требуют, чтобы член активировал роль перед его использованием. Администратор istrator может потребовать от члена роли выполнять определенные действия перед активацией ролей, которые могут включать выполнение многофакторной проверки подлинности (MFA) проверка, предоставление бизнес-обоснования или запрос утверждения от назначенных утверждающих.
Активные назначения не требуют активации роли участником перед использованием. Участники, назначенные в качестве активных, уже имеют все привилегии. Этот тип назначения также доступен клиентам, которые не используют Microsoft Entra PIM.
Чтобы задать определенную длительность назначения, измените дату и время начала и окончания.
Если роль была определена с помощью действий, разрешающих назначения этой роли с условиями, можно выбрать Добавить условие, чтобы добавить условие на основе атрибутов основного пользователя и ресурса, которые являются частью назначения.
Условия можно ввести в построителе выражений.
По завершении выберите Назначить:
После создания нового назначения роли отображается уведомление о состоянии.
Назначение роли с помощью API ARM
Azure Active Directory Privileged Identity Management поддерживает команды API Azure Resource Manager (ARM) для управления ролями ресурсов Azure, как описано в справочнике по API ARM для PIM. Разрешения, необходимые для использования API PIM, см. в статье Общие сведения об интерфейсах API Privileged Identity Management.
Ниже приведен пример HTTP-запроса для создания подходящего назначения для роли Azure.
Запросить
PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleEligibilityScheduleRequests/64caffb6-55c0-4deb-a585-68e948ea1ad6?api-version=2020-10-01-preview
Request body
{
"properties": {
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "/subscriptions/aaaaaaaa-bbbb-cccc-1111-222222222222/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"requestType": "AdminAssign",
"scheduleInfo": {
"startDateTime": "2022-07-05T21:00:00.91Z",
"expiration": {
"type": "AfterDuration",
"endDateTime": null,
"duration": "P365D"
}
},
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
"conditionVersion": "1.0"
}
}
Отклик
Код состояния: 201.
{
"properties": {
"targetRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413",
"targetRoleEligibilityScheduleInstanceId": null,
"scope": "/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"principalType": "User",
"requestType": "AdminAssign",
"status": "Provisioned",
"approvalId": null,
"scheduleInfo": {
"startDateTime": "2022-07-05T21:00:00.91Z",
"expiration": {
"type": "AfterDuration",
"endDateTime": null,
"duration": "P365D"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
},
"justification": null,
"requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
"createdOn": "2022-07-05T21:00:45.91Z",
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
"conditionVersion": "1.0",
"expandedProperties": {
"scope": {
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"displayName": "Pay-As-You-Go",
"type": "subscription"
},
"roleDefinition": {
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"displayName": "Contributor",
"type": "BuiltInRole"
},
"principal": {
"id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
"displayName": "User Account",
"email": "user@my-tenant.com",
"type": "User"
}
}
},
"name": "64caffb6-55c0-4deb-a585-68e948ea1ad6",
"id": "/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleEligibilityScheduleRequests/64caffb6-55c0-4deb-a585-68e948ea1ad6",
"type": "Microsoft.Authorization/RoleEligibilityScheduleRequests"
}
Обновление или удаление существующего назначения роли
Выполните следующие действия, чтобы обновить или удалить существующее назначение роли.
Откройте Управление привилегированными пользователями Microsoft Entra.
Выберите Ресурсы Azure.
Выберите тип ресурса, которым требуется управлять. Начните с раскрывающегося списка группы управления или в раскрывающемся списке "Подписки ", а затем выберите группы ресурсов или ресурсы по мере необходимости. Нажмите кнопку "Выбрать" для ресурса, который вы хотите управлять, чтобы открыть страницу обзора.
В разделе Управление выберите Роли, чтобы просмотреть список ролей для ресурсов Azure. На следующем снимка экрана перечислены роли учетной записи хранения Azure. Щелкните роль, которую нужно обновить или удалить.
Найдите назначение роли на вкладках Доступные роли или Активные роли.
Чтобы добавить или изменить условие для более точной настройки доступа к ресурсам Azure, выберите команду Добавить или Просмотреть/изменить в столбце Условие для назначения роли. В настоящее время служба хранилища владелец данных BLOB-объектов, служба хранилища средство чтения данных BLOB-объектов и служба хранилища роли участника данных BLOB-объектов в Microsoft Entra PIM являются единственными ролями, которые могут иметь условия.
Выберите Добавить выражение или Удалить, чтобы обновить выражение. Вы также можете нажать кнопку Добавить условие, чтобы добавить новое условие в роль.
Дополнительные сведения о расширении назначения ролей см. в статье Расширение или возобновление ролей ресурсов Azure в PIM.