Aether365

Čeština

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Čeština

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Ensure Custom Role is Assigned Permissions for Administering Resource Locks

Proč na tom záleží

Zámky prostředků chrání kritické prostředky Azure před náhodným odstraněním nebo úpravou. Bez dedikované role pro správu těchto zámků riskujete udělování nadměrných oprávnění, jako je Owner nebo Contributor, jen abyste mohli zámky odemknout, čímž se zvyšuje vaše útočná plocha. Vlastní role pro správu zámků prostředků prosazuje princip nejnižších oprávnění a snižuje riziko neúmyslných škod.

Co Aether365 kontroluje

Aether365 ověřuje, zda existuje vlastní role s oprávněními speciálně pro správu zámků prostředků (Microsoft.Authorization/locks/*). Tato kontrola se zobrazuje v řídicím panelu Aether365 v rámci kontrol zabezpečení vašeho předplatného Azure a označuje jakékoli předplatné nebo skupinu pro správu, která tuto specifickou roli postrádá.

Jak to opravit

Postup vytvoření a přiřazení vlastní role Resource Lock Administrator:

  1. Na Azure Portal přejděte na předplatné nebo skupinu prostředků, kde má být role přiřaditelná.
  2. Otevřete Access control (IAM) a klikněte na Add, poté vyberte Add custom role.
  3. Zadejte název role jako Resource Lock Administrator a uveďte popis.
  4. V části Baseline permissions vyberte Start from scratch.
  5. Na kartě Permissions klikněte na Add permissions a vyhledejte Microsoft.Authorization/locks.
  6. Zaškrtněte příslušné políčko oprávnění, klikněte na Add, poté na Review + create a nakonec na Create.
  7. Přiřaďte tuto vlastní roli příslušným uživatelům nebo skupinám v IAM.

Alternativně můžete použít PowerShell k vytvoření role na úrovni skupiny pro správu:

  • Načtěte definici role User Access Administrator, vymažte její akce a přidejte Microsoft.Authorization/locks/*.
  • Nastavte přiřaditelné rozsahy na skupinu pro správu nebo předplatné.
  • Spusťte New-AzRoleDefinition pro registraci nové role.

Shoda s normami

  • CIS Microsoft Azure Foundations Benchmark 3.0.0, část 2.24 (Level 2)
  • Microsoft Security Benchmark: Privileged Access (PA-1, PA-2, PA-5, PA-7)
  • Microsoft Security Benchmark: Governance Strategy (GS-2, GS-6)

Související zdroje

Microsoft references

Byla tato stránka užitečná?

© 2026 Aether365. All rights reserved.