Suporte Cloud | 2BC

O RBAC (controle de acesso baseado em função) do Azure é o sistema de autorização usado para gerenciar o acesso aos recursos no Azure. Para conceder acesso, você atribui funções a usuários, grupos, entidades de serviço ou identidades gerenciadas em um determinado escopo. Este artigo descreve as etapas de alto nível para atribuir funções do Azure usando o portal do Azure, o Azure PowerShell, a CLI do Azure ou a API REST. 

Primeiro, você precisa determinar quem precisa de acesso. Você pode atribuir uma função a um usuário, grupo, entidade de serviço ou identidade gerenciada. Também chamada de entidade de segurança.

• Usuário - Um indivíduo que tem um perfil no Microsoft Entra ID. Você também pode atribuir funções a usuários em outros locatários. Para obter informações sobre usuários em outras organizações, consulte Microsoft Entra B2B.
• Grupo - Um conjunto de usuários criados no Microsoft Entra ID. Quando você atribuir uma função a um grupo, todos os usuários dentro desse grupo têm essa função.
• Entidade de serviço – uma identidade de segurança usada por aplicativos ou serviços para acessar recursos específicos do Azure. Você pode pensar nela como uma identidade do usuário (nome de usuário e senha ou certificado) para um aplicativo.
• Identidade gerenciada - Uma identidade na ID do Microsoft Entra que é gerenciada automaticamente pelo Azure. Normalmente, você usa identidades gerenciadas durante o desenvolvimento de aplicativos em nuvem para gerenciar as credenciais de autenticação nos serviços do Azure.

As permissões são agrupadas em uma definição de função. Normalmente ela é chamada apenas de função. Você pode selecionar em uma lista de várias funções internas. Se as funções internas não atenderem às necessidades específicas da sua organização, você poderá criar suas próprias funções personalizadas.

As funções são organizadas em funções de trabalho e funções de administrador privilegiado.

As funções de função de trabalho permitem o gerenciamento de recursos específicos do Azure. Por exemplo, a função Colaborador de Máquina Virtual permite que um usuário crie e gerencie máquinas virtuais. Para selecionar a função de trabalho apropriada, use estas etapas:

1. Comece com o artigo abrangente, Funções internas do Azure. A tabela na parte superior do artigo é um índice dos detalhes presentes mais adiante neste artigo.

2. Nesse artigo, navegue até a categoria de serviço (computação, armazenamento, bancos de dados etc.) para o recurso ao qual você deseja conceder permissões. Normalmente, a maneira mais fácil de encontrar o que você está procurando é pesquisar a página em busca de uma palavra-chave relevante, como "blob", "máquina virtual" e assim por diante.

3. Examine as funções listadas para a categoria de serviço e identifique as ações específicas de que você precisa. Novamente, sempre comece com a função mais restritiva.

   Por exemplo, se uma entidade de segurança precisar ler blobs em uma conta de armazenamento do Azure, mas não precisar de acesso de gravação, escolha Leitor de Dados de Blob de Armazenamento em vez de Colaborador de Dados de Blob de Armazenamento (e, definitivamente, não escolha a função de Proprietário de Dados de Blob de Armazenamento do nível de administrador). Você sempre pode atualizar as atribuições de função posteriormente, conforme necessário.

4. Se você não encontrar uma função adequada, poderá criar uma função personalizada.

As funções de administrador privilegiado são funções que concedem acesso de administrador privilegiado, como a capacidade de gerenciar recursos do Azure ou atribuir funções a outros usuários. As funções a seguir são consideradas privilegiadas e se aplicam a todos os tipos de recursos.

Para obter as práticas recomendadas ao usar atribuições de função de administrador privilegiado, consulte Práticas recomendadas para o RBAC do Azure. Para obter mais informações, consulte Definição de função de administrador privilegiado.

Escopo é o conjunto de recursos ao qual o acesso se aplica. No Azure, você pode especificar um escopo em quatro níveis: grupo de gerenciamento, assinatura, grupo de recursos e recurso. Os escopos são estruturados em uma relação pai-filho. Cada nível de hierarquia torna o escopo mais específico. Você pode atribuir funções em qualquer um desses níveis de escopo. O nível que você seleciona determina o quão amplamente a função é aplicada. Os níveis inferiores herdam as permissões de função de níveis superiores.

Quando você atribui uma função a um escopo pai, essas permissões são herdadas pelos escopos filho. Por exemplo:

• Se você atribuir a função Leitor a um usuário no escopo do grupo de gerenciamento, esse usuário poderá ler tudo em todas as assinaturas no grupo de gerenciamento.
• Se você atribuir a função Leitor de Cobrança a um grupo no escopo da assinatura, os membros desse grupo pode ler dados de cobrança para todos os grupo de recursos e recursos na assinatura.
• Se você atribuir a função Colaborador a um aplicativo no escopo do grupo de recursos, ele pode gerenciar recursos de todos os tipos nesse mesmo grupo de recursos, mas não em outros grupos de recursos na assinatura.

É uma melhor prática conceder aos princípios de segurança o privilégio mínimo de que necessitam para executar seu trabalho. Evite atribuir funções mais amplas em escopos mais amplos, mesmo que, inicialmente, isso pareça mais prático. Ao limitar as funções e o escopo, você limita quais recursos estarão em risco se a entidade de segurança for comprometida. Para obter mais informações, veja Compreender o escopo.

Para atribuir funções, você deve estar conectado com um usuário ao qual seja atribuída uma função que tenha permissão de gravação de atribuições de função, como Administrador de Controle de Acesso Baseado em Função no escopo que você está tentando atribuir à função. Da mesma forma, para remover uma atribuição de função, você deve ter a permissão de exclusão de atribuições de função.

• Microsoft.Authorization/roleAssignments/write
• Microsoft.Authorization/roleAssignments/delete

Se sua conta de usuário não tiver permissão para atribuir uma função dentro de sua assinatura, você verá uma mensagem de erro informando que sua conta "não tem autorização para executar a ação 'Microsoft.Authorization/roleAssignments/write'". Nesse caso, entre em contato com os administradores de sua assinatura, pois eles podem atribuir as permissões em seu nome.

Se você estiver usando uma entidade de serviço para atribuir funções, poderá receber o erro "Privilégios insuficientes para concluir a operação". Esse erro provavelmente ocorre porque o Azure está tentando procurar a identidade do destinatário na ID do Microsoft Entra e a entidade de serviço não pode ler a ID do Microsoft Entra por padrão. Nesse caso, você precisa conceder à entidade de serviço permissões para ler dados no diretório. Como alternativa, se você estiver usando a CLI do Azure, poderá criar a atribuição de função usando a ID do objeto cessionário para ignorar a pesquisa do Microsoft Entra. Para saber mais, confira Solucionar problemas do RBAC do Azure.

Depois de conhecer a entidade de segurança, a função e o escopo, você poderá atribuir a função. 

Em cada assinatura, você pode ter até 4.000 atribuições de função. Esse limite inclui atribuições de função na assinatura, no grupo de recursos e nos escopos de recursos. Você pode ter até 500 atribuições de função em cada grupo de gerenciamento. Para obter mais informações, consulte Solucionar problemas de limites do RBAC do Azure.

1. Entre no portal do Azure.

2. Pesquise pelo escopo ao qual você deseja conceder acesso na caixa Pesquisa na parte superior. Por exemplo, pesquise por Grupos de gerenciamento, Assinaturas, Grupos de recursos ou por um recurso específico.

3. Clique no recurso específico desse escopo.

   O exemplo a seguir mostra um grupo de recursos.

   

O controle de acesso (IAM) é a página usada normalmente para atribuir funções para conceder acesso aos recursos do Azure. Isso também é conhecido como IAM (gerenciamento de identidade e de acesso) e aparece em vários locais no portal do Azure.

1. Clique em IAM (Controle de Acesso).

   O exemplo a seguir mostra a página Controle de acesso (IAM) para um grupo de recursos.

   

2. Clique na guia Atribuições de função para ver todas as atribuições de função nesse escopo.

3. Clique em Adicionar>Adicionar atribuição de função.

   Se você não tiver permissões para atribuir funções, a opção Adicionar atribuição de função será desativada.

   

   A página Adicionar atribuição de função será aberta.

1. Na guia Função, selecione uma função que você deseja usar.

   Você pode pesquisar uma função por nome ou por descrição. Você também pode filtrar funções por tipo e categoria.

   

2. Se desejar atribuir uma função de administrador privilegiado, selecione a guia Funções de administrador privilegiado para selecionar a função.

   Para obter as práticas recomendadas ao usar atribuições de função de administrador privilegiado, consulte Práticas recomendadas para o RBAC do Azure.

   

3. Na coluna Detalhes, clique em Exibir para obter mais detalhes sobre uma função.

   

4. Clique em Avançar.

1. Na guia Membros, selecione Usuário, grupo ou entidade de serviço para atribuir a função selecionada a um ou mais usuários, grupos ou entidades de serviço (aplicativos) do Microsoft Entra.

   

2. Clique em Selecionar membros.

3. Localize e selecione os usuários, grupos ou entidades de serviço.

   Você pode digitar na caixa Selecionar para pesquisar o nome de exibição ou o endereço de email no diretório.

   

4. Clique em Selecionar para adicionar os usuários, grupos ou entidades de serviço à lista Membros.

5. Para atribuir a função selecionada a uma ou mais identidades gerenciadas, selecione Identidade gerenciada.

6. Clique em Selecionar membros.

7. No painel Selecionar identidades gerenciadas, selecione se o tipo é identidade gerenciada atribuída pelo usuário ou identidade gerenciada atribuída pelo sistema.

8. Encontre e selecione as identidades gerenciadas.

   Para identidades gerenciadas atribuídas pelo sistema, você pode selecionar identidades gerenciadas pela instância de serviço do Azure.

   

9. Clique em Selecionar para adicionar as identidades gerenciadas à lista Membros.

10. Na caixa Descrição, insira uma descrição opcional para esta atribuição de função.

    Posteriormente, você pode mostrar essa descrição na lista de atribuições de funções.

11. Clique em Avançar.

Se você selecionou uma função que dá suporte a condições, uma guia Condições será exibida e você terá a opção de adicionar uma condição à sua atribuição de função. Uma condição é uma verificação adicional que você pode adicionar opcionalmente à sua atribuição de função para fornecer um controle de acesso mais refinado.

A guia Condições terá uma aparência diferente dependendo da função selecionada.

1. Na guia Examinar + atribuir, examine as configurações de atribuição de função.

   

2. Clique em Examinar + atribuir para atribuir a função.

   Após alguns instantes, a entidade de segurança é atribuída a função no escopo selecionado.

   

3. Se você não vir a descrição da atribuição de função, clique em Editar colunas para adicionar a coluna Descrição.