Aether365

Dansk

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Dansk

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Ensure Custom Role is Assigned Permissions for Administering Resource Locks

Hvorfor Dette Er Vigtigt

Resource-låse beskytter kritiske Azure-ressourcer mod utilsigtet sletning eller ændring. Uden en dedikeret rolle til at administrere disse låse risikerer du at give for vidtgående tilladelser som Owner eller Contributor, blot for at låse ressourcer op, hvilket øger din angrebsflade. En brugerdefineret rolle til administration af ressource-låse håndhæver mindste rettighedsprincip og reducerer risikoen for utilsigtet skade.

Hvad Aether365 Kontrollerer

Aether365 verificerer, at der findes en brugerdefineret rolle med tilladelser specifikt til administration af ressource-låse (Microsoft.Authorization/locks/*). Denne kontrol vises i Aether365-dashboardet under dine azure-subscription-security kontroller og markerer ethvert abonnement eller management group, der mangler denne tilpassede rolle.

Sådan Retter Du Det

Sådan opretter og tildeler du en brugerdefineret rolle som Resource Lock Administrator:

  1. I Azure-portalen navigerer du til det abonnement eller den ressourcegruppe, hvor rollen skal kunne tildeles.
  2. Åbn Access control (IAM) og klik på Add, vælg derefter Add custom role.
  3. Angiv rollenavnet som Resource Lock Administrator og tilføj en beskrivelse.
  4. Under Baseline permissions vælger du Start from scratch.
  5. I fanen Permissions klikker du på Add permissions og søger efter Microsoft.Authorization/locks.
  6. Marker den tilsvarende tilladelsesboks, klik på Add, derefter på Review + create og Create.
  7. Tildel denne brugerdefinerede rolle til de relevante brugere eller grupper i IAM.

Alternativt kan du bruge PowerShell til at oprette rollen i et management group-scope:

  • Indlæs rolledefinitionen for User Access Administrator, ryd dens handlinger, og tilføj Microsoft.Authorization/locks/*.
  • Angiv assignable scopes til management group eller abonnement.
  • Kør New-AzRoleDefinition for at registrere den nye rolle.

Overholdelse

  • CIS Microsoft Azure Foundations Benchmark 3.0.0 Afsnit 2.24 (Niveau 2)
  • Microsoft Security Benchmark: Privilegeret adgang (PA-1, PA-2, PA-5, PA-7)
  • Microsoft Security Benchmark: Styringsstrategi (GS-2, GS-6)

Relaterede Ressourcer

Microsoft references

Var denne side nyttig?

© 2026 Aether365. All rights reserved.