Dela via


Delegera Azure-åtkomsthantering till andra

I rollbaserad åtkomstkontroll i Azure (Azure RBAC) tilldelar du Azure-roller för att ge åtkomst till Azure-resurser. Om en användare till exempel behöver skapa och hantera webbplatser i en prenumeration tilldelar du rollen Webbplatsdeltagare.

Att tilldela Azure-roller för att bevilja åtkomst till Azure-resurser är en vanlig uppgift. Som administratör kan du få flera begäranden om att bevilja åtkomst som du vill delegera till någon annan. Du vill dock se till att ombudet bara har de behörigheter de behöver för att utföra sitt jobb. I den här artikeln beskrivs ett säkrare sätt att delegera rolltilldelningshantering till andra användare i din organisation.

Varför delegera rolltilldelningshantering?

Här följer några orsaker till varför du kanske vill delegera rolltilldelningshantering till andra:

  • Du får flera begäranden om att tilldela roller i din organisation.
  • Användare blockeras i väntan på den rolltilldelning de behöver.
  • Användare inom sina respektive avdelningar, team eller projekt har mer kunskap om vem som behöver åtkomst.
  • Användare har behörighet att skapa Azure-resurser, men behöver ytterligare en rolltilldelning för att kunna använda resursen fullt ut. Till exempel:
    • Användare med behörighet att skapa virtuella datorer kan inte omedelbart logga in på den virtuella datorn utan rollen Virtual Machine Administrator Login eller Virtual Machine User Login. I stället för att spåra en administratör för att tilldela dem en inloggningsroll är det mer effektivt om användaren kan tilldela inloggningsrollen till sig själva.
    • En utvecklare har behörighet att skapa ett AkS-kluster (Azure Kubernetes Service) och ett Azure Container Registry (ACR), men måste tilldela AcrPull-rollen till en hanterad identitet så att den kan hämta avbildningar från ACR. I stället för att spåra en administratör för att tilldela rollen AcrPull är det mer effektivt om utvecklaren kan tilldela rollen själv.

Hur du för närvarande kan delegera rolltilldelningshantering

Rollerna Ägare och Administratör för användaråtkomst är inbyggda roller som gör det möjligt för användare att skapa rolltilldelningar. Medlemmar i dessa roller kan bestämma vem som kan ha skriv-, läs- och borttagningsbehörigheter för alla resurser i en prenumeration. Om du vill delegera rolltilldelningshantering till en annan användare kan du tilldela rollen Ägare eller Administratör för användaråtkomst till en användare.

Följande diagram visar hur Alice kan delegera rolltilldelningsansvar till Dara. Specifika steg finns i Tilldela en användare som administratör för en Azure-prenumeration.

  1. Alice tilldelar rollen Administratör för användaråtkomst till Dara.
  2. Dara kan nu tilldela valfri roll till alla användare, grupper eller tjänstens huvudnamn i samma omfång.

Diagram som visar ett exempel där Dara kan tilldela valfri roll till valfri användare.

Vilka är problemen med den aktuella delegeringsmetoden?

Här är de primära problemen med den aktuella metoden för att delegera rolltilldelningshantering till andra i din organisation.

  • Ombudet har obegränsad åtkomst i rolltilldelningsomfånget. Detta strider mot principen om minsta behörighet, vilket utsätter dig för en bredare attackyta.
  • Ombud kan tilldela valfri roll till alla användare inom deras omfång, inklusive sig själva.
  • Ombud kan tilldela rollen Ägare eller Administratör för användaråtkomst till en annan användare, som sedan kan tilldela roller till andra användare.

I stället för att tilldela rollen Ägare eller Administratör för användaråtkomst är en säkrare metod att begränsa ett ombuds möjlighet att skapa rolltilldelningar.

En säkrare metod: Delegera rolltilldelningshantering med villkor

Att delegera rolltilldelningshantering med villkor är ett sätt att begränsa de rolltilldelningar som en användare kan skapa. I föregående exempel kan Alice tillåta Att Dara skapar vissa rolltilldelningar åt henne, men inte alla rolltilldelningar. Alice kan till exempel begränsa de roller som Dara kan tilldela och begränsa de huvudnamn som Dara kan tilldela roller till. Den här delegeringen med villkor kallas ibland begränsad delegering och implementeras med azure-attributbaserad åtkomstkontroll (Azure ABAC) villkor.

Den här videon ger en översikt över delegering av rolltilldelningshantering med villkor.

Varför delegera rolltilldelningshantering med villkor?

Här följer några orsaker till varför det är säkrare att delegera rolltilldelningshantering till andra med villkor:

  • Du kan begränsa de rolltilldelningar som ombudet får skapa.
  • Du kan förhindra att ett ombud tillåter att en annan användare tilldelar roller.
  • Du kan framtvinga efterlevnad av organisationens principer med minsta möjliga behörighet.
  • Du kan automatisera hanteringen av Azure-resurser utan att behöva bevilja fullständig behörighet till ett tjänstkonto.

Exempel på villkor

Tänk dig ett exempel där Alice är administratör med rollen Administratör för användaråtkomst för en prenumeration. Alice vill ge Dara möjlighet att tilldela specifika roller för specifika grupper. Alice vill inte att Dara ska ha andra behörigheter för rolltilldelning. Följande diagram visar hur Alice kan delegera rolltilldelningsansvar till Dara med villkor.

  1. Alice tilldelar rollen Rollbaserad åtkomstkontrolladministratör till Dara. Alice lägger till villkor så att Dara bara kan tilldela rollerna Säkerhetskopieringsdeltagare eller Säkerhetskopieringsläsare till grupperna Marknadsföring och Försäljning.
  2. Dara kan nu tilldela rollerna Säkerhetskopieringsdeltagare eller Säkerhetskopieringsläsare till grupperna Marknadsföring och Försäljning.
  3. Om Dara försöker tilldela andra roller eller tilldela roller till olika huvudnamn (till exempel en användare eller hanterad identitet) misslyckas rolltilldelningen.

Diagram som visar ett exempel där Dara bara kan tilldela rollerna Säkerhetskopieringsdeltagare eller Säkerhetskopieringsläsare till marknadsförings- eller försäljningsgrupper.

Rollbaserad administratörsroll för åtkomstkontroll

Rollen Administratör för rollbaserad åtkomstkontroll är en inbyggd roll som har utformats för att delegera rolltilldelningshantering till andra. Den har färre behörigheter än administratör för användaråtkomst, vilket följer bästa praxis för lägsta behörighet. Rollen Administratör för rollbaserad åtkomstkontroll har följande behörigheter:

  • Skapa en rolltilldelning i det angivna omfånget
  • Ta bort en rolltilldelning i det angivna omfånget
  • Läs resurser av alla typer, förutom hemligheter
  • Skapa och uppdatera ett supportärende

Sätt att begränsa rolltilldelningar

Här är de sätt som rolltilldelningar kan begränsas med villkor. Du kan också kombinera dessa villkor så att de passar ditt scenario.

  • Begränsa de roller som kan tilldelas

    Diagram över rolltilldelningar som är begränsade till roller som säkerhetskopieringsdeltagare och säkerhetskopieringsläsare.

  • Begränsa roller och typer av huvudnamn (användare, grupper eller tjänstens huvudnamn) som kan tilldelas roller

    Diagram över rolltilldelningar som är begränsade till roller för säkerhetskopieringsdeltagare eller säkerhetskopieringsläsare och användar- eller grupphuvudnamnstyper.

  • Begränsa de roller och specifika huvudnamn som kan tilldelas roller

    Diagram över rolltilldelningar som är begränsade till roller för säkerhetskopieringsdeltagare eller säkerhetskopieringsläsare och specifika grupper.

  • Ange olika villkor för åtgärderna för att lägga till och ta bort rolltilldelning

    Diagram över hur du lägger till och tar bort rolltilldelningar som är begränsade till roller som säkerhetskopieringsdeltagare eller säkerhetskopieringsläsare.

Delegera rolltilldelningshantering med villkor

Om du vill delegera rolltilldelningshantering med villkor tilldelar du roller som du gör för närvarande, men du lägger också till ett villkor i rolltilldelningen.

  1. Fastställa de behörigheter som ombudet behöver

    • Vilka roller kan ombudet tilldela?
    • Vilka typer av huvudkonton kan ombudet tilldela roller till?
    • Vilka huvudnamn kan ombudet tilldela roller till?
    • Kan ombud ta bort rolltilldelningar?
  2. Starta en ny rolltilldelning

  3. Välj rollen Rollbaserad administratör för åtkomstkontroll

    Du kan välja vilken roll som helst som innehåller åtgärden, men administratören Microsoft.Authorization/roleAssignments/write för rollbaserad åtkomstkontroll har färre behörigheter.

  4. Välj ombudet

    Välj den användare som du vill delegera rolltilldelningshantering till.

  5. Lägg till ett villkor

    Det finns flera sätt att lägga till ett villkor. Du kan till exempel använda en villkorsmall i Azure-portalen, den avancerade villkorsredigeraren i Azure-portalen, Azure PowerShell, Azure CLI, Bicep eller REST API.

    Välj från en lista över villkorsmallar. Välj Konfigurera för att ange roller, huvudnamnstyper eller huvudnamn.

    Mer information finns i Delegera hantering av Azure-rolltilldelning till andra med villkor.

    Skärmbild av Lägg till rolltilldelningsvillkor med en lista över villkorsmallar.

  6. Tilldela roll med villkor för ombud

    När du har angett villkoret slutför du rolltilldelningen.

  7. Kontakta ombudet

    Meddela ombudet att de nu kan tilldela roller med villkor.

Inbyggda roller med villkor

Rollerna Key Vault Data Access Administrator och Virtual Machine Data Access Administrator (förhandsversion) har redan ett inbyggt villkor för att begränsa rolltilldelningar.

Med rollen Key Vault Data Access Administrator kan du hantera åtkomst till Key Vault-hemligheter, certifikat och nycklar. Den fokuserar uteslutande på åtkomstkontroll utan möjlighet att tilldela privilegierade roller, till exempel rollen Ägare eller Administratör för användaråtkomst. Det ger bättre uppdelning av uppgifter för scenarier som att hantera kryptering i vila mellan datatjänster för att ytterligare följa principen om lägsta behörighet. Villkoret begränsar rolltilldelningar till följande Azure Key Vault-roller:

Diagram över rolltilldelningar som är begränsade till Key Vault-roller.

Om du vill ytterligare begränsa rolltilldelningen Key Vault Data Access Administrator kan du lägga till ett eget villkor för att begränsa typerna av huvudnamn (användare, grupper eller tjänstens huvudnamn) eller specifika huvudnamn som kan tilldelas Key Vault-rollerna.

Diagram över rolltilldelningar som är begränsade till Key Vault-roller och användarens huvudnamnstyp.

Kända problem

Här är kända problem som rör delegering av rolltilldelningshantering med villkor:

  • Du kan inte delegera rolltilldelningshantering för anpassade roller med villkor med privileged Identity Management.
  • Du kan inte ha en rolltilldelning med en Microsoft.Storage-dataåtgärd och ett ABAC-villkor som använder en GUID-jämförelseoperator. Mer information finns i Felsöka Azure RBAC.

Licenskrav

Den här funktionen är kostnadsfri och ingår i din Azure-prenumeration.

Nästa steg