Compartilhar via

Atribuir um usuário como administrador de uma assinatura do Azure com condições

Para tornar um usuário um administrador de uma assinatura do Azure, atribua a ele a função proprietário no escopo da assinatura. A função Proprietário fornece ao usuário acesso total a todos os recursos da assinatura, incluindo a permissão para conceder acesso a outras pessoas. Como a função Proprietário é uma função altamente privilegiada, a Microsoft recomenda que você adicione uma condição para restringir a atribuição de função. Por exemplo, você pode permitir que um usuário atribua a função de Colaborador de Máquina Virtual apenas a entidades de serviço.

Este artigo descreve como atribuir um usuário como administrador de uma assinatura do Azure com condições. Essas etapas são as mesmas que as de qualquer outra atribuição de função.

Pré-requisitos

Para atribuir funções do Azure, é necessário ter:

Etapa 1: Abrir a assinatura

  1. Entre no portal do Azure.

  2. Na caixa Pesquisar na parte superior, pesquise assinaturas.

  3. Clique na assinatura que você deseja usar.

    O exemplo a seguir mostra uma assinatura.

    Captura de tela da visão geral de assinaturas.

Etapa 2: Abrir a página Adicionar atribuição de função

O controle de acesso (IAM) é a página usada normalmente para atribuir funções para conceder acesso aos recursos do Azure. Também é conhecido como IAM (gerenciamento de identidade e acesso) e aparece em vários locais no portal do Azure.

  1. Clique em Controle de acesso (IAM).

    O exemplo a seguir mostra a página de controle de acesso (IAM) de uma assinatura.

    Captura de tela da página de controle de acesso, (IAM) de uma assinatura.

  2. Clique na guia Atribuições de função para ver todas as atribuições de função nesse escopo.

  3. Clique em Adicionar>Adicionar atribuição de função.

    Se você não tiver permissões para atribuir funções, a opção Adicionar atribuição de função será desativada.

    Captura de tela do menu Adicionar > Adicionar atribuição de função.

    A página Adicionar atribuição de função será aberta.

Etapa 3: Selecionar a função Proprietário

A função Proprietário concede acesso total para gerenciar todos os recursos, incluindo a capacidade de atribuir funções no RBAC do Azure. Você deve ter um máximo de três proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido.

  1. Na guia Função , selecione a guia Funções de administrador com privilégios .

    Captura de tela da página Adicionar atribuição de função com a guia Funções de administrador com privilégios selecionadas.

  2. Selecione a função Proprietário .

  3. Clique em Próximo.

Etapa 4: selecionar quem precisa de acesso

  1. Na guia Membros , selecione Usuário, grupo ou entidade de serviço.

    Captura de tela da página Adicionar atribuição de função com a guia Adicionar membros.

  2. Clique em Selecionar membros.

  3. Localize e selecione o usuário.

    Você pode digitar na caixa Selecionar para pesquisar o nome de exibição ou o endereço de email no diretório.

    Captura de tela do painel Selecionar membros.

  4. Clique em Salvar para adicionar o usuário à lista Membros.

  5. Na caixa Descrição, insira uma descrição opcional para esta atribuição de função.

    Posteriormente, você pode mostrar essa descrição na lista de atribuições de funções.

  6. Clique em Próximo.

Etapa 5: Adicionar uma condição

Como a função Proprietário é uma função altamente privilegiada, a Microsoft recomenda que você adicione uma condição para restringir a atribuição de função.

  1. Na guia Condições, em O que o usuário pode fazer, selecione a opção Permitir que o usuário atribua funções selecionadas apenas a entidades de segurança selecionadas (menos privilégios).

    Captura de tela de Adicionar atribuição de função com a opção restrita selecionada.

  2. Selecione Selecione funções e principais.

    A página Adicionar condição de atribuição de função aparece com uma lista de modelos de condição.

    Captura de tela de

  3. Selecione um modelo de condição e selecione Configurar.

    Modelo de condição Selecione este modelo para
    Restringir funções Permitir que o usuário atribua apenas funções selecionadas
    Restringir funções e tipos principais Permitir que o usuário atribua apenas funções selecionadas
    Permitir que o usuário atribua essas funções apenas aos tipos de entidade de segurança que você selecionar (usuários, grupos ou entidades de serviço)
    Restringir funções e princípios Permitir que o usuário atribua apenas funções selecionadas
    Permitir que o usuário atribua apenas essas funções aos principais que você selecionar

    Dica

    Se você quiser permitir a maioria das atribuições de função, mas não permitir atribuições de função específicas, poderá usar o editor de condições avançadas e adicionar manualmente uma condição. Para obter um exemplo, consulte Exemplo: Permitir a maioria das funções, mas não permitir que outras pessoas atribuam funções.

  4. No painel configurar, adicione as configurações necessárias.

    Captura de tela do painel de configuração para uma condição com seleção adicionada.

  5. Selecione Salvar para adicionar a condição à atribuição de função.

Etapa 6: Atribuir função

  1. Na guia Examinar + atribuir, examine as configurações de atribuição de função.

  2. Clique em Examinar + atribuir para atribuir a função.

    Após alguns instantes, o usuário recebe a função Proprietário da assinatura.

    Captura de tela da lista de atribuição de função depois de atribuir a função.

Conteúdo relacionado

  • Last updated on