Para tornar um usuário um administrador de uma assinatura do Azure, atribua-lhe a função Proprietário no escopo da assinatura. A função Proprietário permite ao usuário acesso completo a todos os recursos na assinatura, inclusive a permissão para conceder acesso a outras pessoas. Como a função Proprietário é uma função altamente privilegiada, a Microsoft recomenda que você adicione uma condição para restringir a atribuição de função. Por exemplo, você pode permitir que um usuário atribua apenas a função de Colaborador de Máquina Virtual a entidades de serviço.

Este artigo descreve como atribuir um usuário como administrador de uma assinatura do Azure com condições. Essas etapas são as mesmas que as de qualquer outra atribuição de função.

Pré-requisitos

Para atribuir funções do Azure, você precisa ter:

Etapa 1: abrir a assinatura

  1. Entre no portal do Azure.

  2. Na caixa Pesquisar na caixa superior, pesquise assinaturas.

  3. Clique na assinatura que você quer usar.

    A seguir, é mostrado um exemplo da assinatura.

    Screenshot of Subscriptions overview

Etapa 2: Abrir a página Adicionar atribuição de função

controle de acesso (IAM) é a página usada normalmente para atribuir funções para conceder acesso aos recursos do Azure. Isso também é conhecido como IAM (gerenciamento de identidade e de acesso) e aparece em vários locais no portal do Azure.

  1. Clique em IAM (Controle de Acesso).

    O exemplo a seguir mostra um exemplo de página Controle de Acesso (IAM) para uma assinatura.

    Screenshot of Access control (IAM) page for a subscription.

  2. Clique na guia Atribuições de função para ver todas as atribuições de função nesse escopo.

  3. Clique em Adicionar>Adicionar atribuição de função.

    Se você não tiver permissões para atribuir funções, a opção Adicionar atribuição de função será desativada.

    Screenshot of Add > Add role assignment menu.

    A página Adicionar atribuição de função será aberta.

Etapa 3: selecionar a função Proprietário

A função Proprietário concede acesso completo para gerenciar todos os recursos, incluindo a capacidade de atribuir funções no RBAC do Azure. Você deve designar no máximo três proprietários de assinaturas para reduzir o potencial de violação por um proprietário comprometido.

  1. Na guia Função, selecione a guia Funções de administrador privilegiadas.

    Screenshot of Add role assignment page with Privileged administrator roles tab selected.

  2. Selecione a função Proprietário .

  3. Clique em Avançar.

Etapa 4: selecionar quem precisa de acesso

  1. Na guia Membros, selecione Usuário, grupo ou entidade de serviço.

    Screenshot of Add role assignment page with Add members tab.

  2. Clique em Selecionar membros.

  3. Localize e selecione o usuário.

    Você pode digitar na caixa Selecionar para pesquisar o nome de exibição ou o endereço de email no diretório.

    Screenshot of Select members pane.

  4. Clique em Salvar para adicionar o usuário à lista Membros.

  5. Na caixa Descrição, insira uma descrição opcional para esta atribuição de função.

    Posteriormente, você pode mostrar essa descrição na lista de atribuições de funções.

  6. Clique em Avançar.

Etapa 5: Adicionar uma condição

Como a função Proprietário é uma função altamente privilegiada, a Microsoft recomenda que você adicione uma condição para restringir a atribuição de função.

  1. Na guia Condições em O que o usuário pode fazer, selecione a opção Permitir que o usuário atribua apenas funções selecionadas a entidades selecionadas (menos privilégios).

    Screenshot of Add role assignment with the constrained option selected.

  2. Selecione Selecionar funções e entidades.

    A página Adicionar condição de atribuição de função aparece com uma lista de modelos de condição.

    Screenshot of Add role assignment condition with a list of condition templates.

  3. Selecione um modelo de condição e, em seguida, selecione Configurar.

    Expandir a tabela
    Modelo de condiçãoSelecione este modelo para
    Restringir funçõesPermitir que o usuário atribua apenas funções selecionadas
    Restringir funções e tipos principaisPermitir que o usuário atribua apenas funções selecionadas
    Permitir que o usuário atribua essas funções somente aos tipos de entidade selecionados (usuários, grupos ou entidades de serviço)
    Restringir funções e entidadesPermitir que o usuário atribua apenas funções selecionadas
    Permitir que o usuário atribua essas funções somente às entidades selecionadas
    1. No painel de configuração, adicione as configurações necessárias.

      Screenshot of configure pane for a condition with selection added.

    2. Selecione Salvar para adicionar a condição à atribuição de função.

  4. Etapa 6: atribuir função

    1. Na guia Examinar + atribuir, examine as configurações de atribuição de função.

    2. Clique em Examinar + atribuir para atribuir a função.

      Após alguns instantes, é atribuída ao usuário a função Proprietário da assinatura.

      Screenshot of role assignment list after assigning role.