Para tornar um usuário um administrador de uma assinatura do Azure, atribua-lhe a função Proprietário no escopo da assinatura. A função Proprietário permite ao usuário acesso completo a todos os recursos na assinatura, inclusive a permissão para conceder acesso a outras pessoas. Como a função Proprietário é uma função altamente privilegiada, a Microsoft recomenda que você adicione uma condição para restringir a atribuição de função. Por exemplo, você pode permitir que um usuário atribua apenas a função de Colaborador de Máquina Virtual a entidades de serviço.
Este artigo descreve como atribuir um usuário como administrador de uma assinatura do Azure com condições. Essas etapas são as mesmas que as de qualquer outra atribuição de função.
Pré-requisitos
Para atribuir funções do Azure, você precisa ter:
Microsoft.Authorization/roleAssignments/write
permissões, como Administrador de Controle de Acesso Baseado em Função ou Administrador de Acesso de Usuário
Etapa 1: abrir a assinatura
Entre no portal do Azure.
Na caixa Pesquisar na caixa superior, pesquise assinaturas.
Clique na assinatura que você quer usar.
A seguir, é mostrado um exemplo da assinatura.
Etapa 2: Abrir a página Adicionar atribuição de função
O controle de acesso (IAM) é a página usada normalmente para atribuir funções para conceder acesso aos recursos do Azure. Isso também é conhecido como IAM (gerenciamento de identidade e de acesso) e aparece em vários locais no portal do Azure.
Clique em IAM (Controle de Acesso).
O exemplo a seguir mostra um exemplo de página Controle de Acesso (IAM) para uma assinatura.
Clique na guia Atribuições de função para ver todas as atribuições de função nesse escopo.
Clique em Adicionar>Adicionar atribuição de função.
Se você não tiver permissões para atribuir funções, a opção Adicionar atribuição de função será desativada.
A página Adicionar atribuição de função será aberta.
Etapa 3: selecionar a função Proprietário
A função Proprietário concede acesso completo para gerenciar todos os recursos, incluindo a capacidade de atribuir funções no RBAC do Azure. Você deve designar no máximo três proprietários de assinaturas para reduzir o potencial de violação por um proprietário comprometido.
Na guia Função, selecione a guia Funções de administrador privilegiadas.
Selecione a função Proprietário .
Clique em Avançar.
Etapa 4: selecionar quem precisa de acesso
Na guia Membros, selecione Usuário, grupo ou entidade de serviço.
Clique em Selecionar membros.
Localize e selecione o usuário.
Você pode digitar na caixa Selecionar para pesquisar o nome de exibição ou o endereço de email no diretório.
Clique em Salvar para adicionar o usuário à lista Membros.
Na caixa Descrição, insira uma descrição opcional para esta atribuição de função.
Posteriormente, você pode mostrar essa descrição na lista de atribuições de funções.
Clique em Avançar.
Etapa 5: Adicionar uma condição
Como a função Proprietário é uma função altamente privilegiada, a Microsoft recomenda que você adicione uma condição para restringir a atribuição de função.
Na guia Condições em O que o usuário pode fazer, selecione a opção Permitir que o usuário atribua apenas funções selecionadas a entidades selecionadas (menos privilégios).
Selecione Selecionar funções e entidades.
A página Adicionar condição de atribuição de função aparece com uma lista de modelos de condição.
Selecione um modelo de condição e, em seguida, selecione Configurar.
Modelo de condição Selecione este modelo para Restringir funções Permitir que o usuário atribua apenas funções selecionadas Restringir funções e tipos principais Permitir que o usuário atribua apenas funções selecionadas
Permitir que o usuário atribua essas funções somente aos tipos de entidade selecionados (usuários, grupos ou entidades de serviço)Restringir funções e entidades Permitir que o usuário atribua apenas funções selecionadas
Permitir que o usuário atribua essas funções somente às entidades selecionadasEtapa 6: atribuir função
Na guia Examinar + atribuir, examine as configurações de atribuição de função.
Clique em Examinar + atribuir para atribuir a função.
Após alguns instantes, é atribuída ao usuário a função Proprietário da assinatura.