Compartilhe Recursos no Azure com Restrições de Permissão

Olá pessoal!

Há algum tempo publicamos um post descrevendo como funciona o compartilhamento de recursos no Azure. Desde então recebemos vários contatos e algumas dúvidas específicas sobre o tema. Uma delas diz respeito a como compartilhar recursos sem correr o risco da outra pessoa usar créditos da nuvem de forma indiscriminada ou ainda apagar os serviços previamente definidos.

Bom, o Azure fornece várias opções de permissão quando é feito um compartilhamento. E são várias maneiras que podemos proceder para fazer isso. Para nos debruçarmos no tema, irei focar aqui em um cenário bem específico. Mas fiquem à vontade para nos questionar sobre outros possíveis cenários para que possamos explorar também.

Descrevendo o Cenário

Uma equipe de desenvolvimento deve ter acesso a um backend com serviço de aplicativo e banco de dados para desenvolvimento de aplicativo móvel para iOS, Android ou Xamarin.

Os desenvolvedores não possuem uma conta Azure, mas precisam ter acesso aos serviços para configurar e também controlar o conteúdo disponibilizado pelos serviços.

Contudo, esses desenvolvedores não podem ter permissão para criar quaisquer outros serviços no Azure nem de apagar os serviços já previamente criados.

Criando Grupo de Recursos

Essa etapa deve ser realizada pela pessoa que detém uma assinatura válida no Azure.

  1. Acessar “Novo” e então pesquisar por “Grupo de Recursos”. Selecionar a opção “Grupo de Recursos”:
  2. Defina o nome do grupo, a localização. Depois marque a opção para “Fixar no painel”.
  3. Depois de criado o grupo de recursos, você será redirecionado para a página de visão geral.

Compartilhando o Grupo de Recursos

Depois de criado o grupo de recursos, podemos prosseguir de várias formas:

  • Criar os serviços previamente e dar somente acesso a esses serviços para a equipe de desenvolvimento.
  • Delegar a criação dos serviços para um administrador. Nesse caso vamos compartilhar o grupo de recursos para outra pessoa como proprietário

De todo modo, temos que acessar o grupo de recursos para realizar o compartilhamento:

  1. No Grupo de Recursos, clique em “IAM (Controle de acesso)”:
  2. Clique em “Adicionar” e então selecione a função e defina o nome ou e-mail da pessoa. Aqui você pode também selecionar um grupo de usuários que deve ser previamente criado através do serviço “Azure AD”.
  3. Aqui você possui várias funções possíveis. Cada função fornece um conjunto de permissões. Os principais são:
    • Proprietário: Pode criar e excluir serviços dentro do grupo de recursos, incluindo dar acesso a outras pessoas;
    • Contribuidor: Pode criar e excluir serviços dentro do grupo de recursos, mas não pode dar acesso a outras pessoas.
    • Leitor: Pode apenas visualizar e utilizar o grupo de recursos e serviços nele criados.
  4. Aqui vou selecionar a função “Proprietário” e definir um usuário ou grupo de usuários que serão responsáveis por criar os serviços dentro do grupo:
  5. Ao salvar as alterações, o usuário (ou usuários do grupo) irá receber um convite por e-mail para aceitar acesso ao recurso.
  6. Um aspecto importante em relação ao compartilhamento é referente aos provedores de recursos que estão atrelados a assinatura onde foi criado o grupo de recursos compartilhado. Esses provedores podem estar ou não registrados para a assinatura, o que pode limitar acesso e criação de serviços dentro do Azure.

Criando Políticas e Atribuições

Depois de compartilhado o grupo de recursos, podemos ainda restringir quais serviços podem ser criados dentro daquele grupo de recursos criando atribuições. Por exemplo, irei delimitar o acesso ao grupo de recursos para o usuário apenas criar os serviços de aplicativo móvel e banco de dados.

  1. Abra o Grupo de Recursos e então clique em “Políticas”:
  2. Clique em “Adicionar” para criar nova atribuição.
  3. Selecione a política “Allowed resource types” e então selecione os tipos de recurso que deseja permitir (varia de acordo com os serviços a serem criados no grupo de recursos):

  4. Por exemplo, seguem os recursos que devem ser permitir para para criar serviço de aplicativo móvel:
    • Microsoft.DataConnect/connectionManagers
    • microsoft.insights/alertrules
    • microsoft.insights/components
    • Microsoft.Sql/servers
    • Microsoft.Sql/servers/databases
    • Microsoft.Sql/servers/resourcepools
    • Microsoft.Storage/storageAccounts
    • Microsoft.Web/serverfarms
    • Microsoft.Web/sites
  5. Já para permitir a criação de serviços de BOT, são outros tipos de recursos necessários:
    • Microsoft.CognitiveServices/Accounts
    • microsoft.insights/alertrules
    • microsoft.insights/components
    • Microsoft.Storage/storageAccounts
    • Microsoft.Web/sites

    Os tipos de recursos varia de acordo com os serviços que se deseja criar. Esse é um subconjunto que foi necessário para permitir a criação de um serviço de aplicativo móvel com banco de dados e configuração de backend.

Acesso ao Grupo de Recursos Compartilhado

Agora, vamos olhar para o lado de quem receberá os convites.

  1. Se foi o primeiro compartilhamento feito para aquele usuário, ele deverá receber um convite para acessar o diretório onde está contido o Grupo de Recursos compartilhado.

  2. Importante: Ao clicar no botão para aceitar o convite, o usuário será direcionado para a tela de login da Microsoft. Neste momento, ele pode fornecer uma conta pessoal ou corporativa/estudante. O tipo de conta a ser usado dependerá de quem fez o compartilhamento do recurso. Se quem compartilhou usou uma conta corporativa ou de estudante, o usuário convidado terá que usar também uma conta corporativa ou de estudante aqui.
  3. Depois de seguir o procedimento, o usuário, mesmo sem ter assinatura no Microsoft Azure, poderá visualizar os recursos disponibilizados dentro do diretório da pessoa que fez o compartilhamento:

    Note que na parte superior direita deve ser selecionado o diretório da pessoa que compartilhou o recurso com você. Este recurso está disponível no diretório daquela pessoa. Para selecionar o diretório, basta clicar sobre o nome da sua conta no canto superior direito.

  4. A partir deste momento, dependendo da sua função você poderá compartilhar o grupo de recursos com outras pessoas, gerenciar serviços dentro do grupo de recursos ou somente visualizar o que tem criado no grupo de recursos.
  5. Ainda dependendo da política associada ao grupo de recursos, mesmo que você tenha a função de Proprietário ou Contribuidor, você poderá estar restrito a criar apenas alguns serviços.
Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s