Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve algumas práticas recomendadas para usar o controle de acesso baseado em função (RBAC) do Azure. Essas práticas recomendadas são derivadas de nossa experiência com o RBAC do Azure e das experiências de clientes como você.
Conceder somente o acesso de que os usuários precisam
Usando o RBAC do Azure, você pode separar as funções em sua equipe e conceder apenas a quantidade de acesso aos usuários que eles precisam para executar seus trabalhos. Em vez de conceder permissões irrestrita a todos em sua assinatura ou recursos do Azure, você pode permitir apenas determinadas ações em um escopo específico.
Ao planejar sua estratégia de controle de acesso, é uma prática recomendada conceder aos usuários o menor privilégio para realizar o trabalho deles. Evite atribuir funções mais amplas em escopos mais amplos, mesmo que inicialmente pareça mais conveniente fazer isso. Ao criar funções personalizadas, inclua apenas as permissões necessárias pelos usuários. Ao limitar as funções e o escopo, você limita quais recursos estarão em risco se a entidade de segurança for comprometida.
O diagrama a seguir mostra um padrão sugerido para usar o RBAC do Azure.
Para obter informações sobre como atribuir funções, consulte Atribuir funções do Azure usando o portal do Azure.
Limitar o número de proprietários de assinatura
Você deve ter um máximo de três proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. Essa recomendação pode ser monitorada no Microsoft Defender para Nuvem. Para obter outras recomendações de identidade e acesso no Defender para Nuvem, consulte as recomendações de segurança – um guia de referência.
Limitar atribuições de função de administrador privilegiado
Algumas funções são identificadas como funções de administrador com privilégios. Considere executar as seguintes ações para melhorar sua postura de segurança:
- Remova atribuições de função com privilégios desnecessários.
- Evite atribuir uma função de administrador com privilégios quando uma função de trabalho puder ser usada.
- Se você precisar atribuir uma função de administrador com privilégios, use um escopo estreito, como grupo de recursos ou recurso, em vez de um escopo mais amplo, como grupo de gerenciamento ou assinatura.
- Se você estiver atribuindo uma função com permissão para criar atribuições de função, considere adicionar uma condição para restringir a atribuição de função. Para obter mais informações, consulte Delegar o gerenciamento de atribuição de função do Azure para outras pessoas com condições.
Para obter mais informações, consulte Listar ou gerenciar atribuições de função de administrador privilegiado.
Usar o Microsoft Entra Privileged Identity Management
Para proteger contas privilegiadas contra ataques cibernéticos mal-intencionados, você pode usar o PIM (Microsoft Entra Privileged Identity Management) para reduzir o tempo de exposição de privilégios e aumentar sua visibilidade sobre seu uso por meio de relatórios e alertas. O PIM é essencial para proteger contas privilegiadas ao fornecer acesso privilegiado oportuno à Microsoft Entra ID e aos recursos do Azure. O acesso pode ser associado ao tempo após o qual os privilégios são revogados automaticamente.
Para obter mais informações, consulte o que é o Microsoft Entra Privileged Identity Management?.
Atribuir funções a grupos, não a usuários
Para tornar as atribuições de função mais gerenciáveis, evite atribuir funções diretamente aos usuários. Em vez disso, atribua funções a grupos. Atribuir funções a grupos em vez de usuários também ajuda a minimizar o número de atribuições de função, que tem um limite de atribuições de função por assinatura.
Atribuir funções usando a ID de função exclusiva em vez do nome da função
Há algumas vezes em que um nome de função pode mudar, por exemplo:
- Você está usando sua própria função personalizada e decide alterar o nome.
- Você está usando uma função de visualização que tem (versão prévia) no nome. Quando o papel é liberado, ele é renomeado.
Mesmo que uma função seja renomeada, a ID da função não será alterada. Se você estiver usando scripts ou automação para criar suas atribuições de função, é uma prática recomendada usar a ID de função exclusiva em vez do nome da função. Portanto, se uma função for renomeada, os scripts serão mais propensos a funcionar.
Para obter mais informações, consulte Atribuir uma função usando a ID de função exclusiva e o Azure PowerShell e atribuir uma função usando a ID de função exclusiva e a CLI do Azure.
Evite usar um curinga ao criar funções personalizadas
Ao criar funções personalizadas, você pode usar o caractere curinga (*) para definir permissões. É recomendável que você especifique Actions e DataActions explicitamente em vez de usar o caractere curinga (*). O acesso e as permissões adicionais concedidos por meio do futuro Actions ou DataActions podem ser comportamentos indesejados usando o curinga. Para obter mais informações, confira Funções personalizadas do Azure.