Aether365

Deutsch

English
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Deutsch

English
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Ensure Custom Role is Assigned Permissions for Administering Resource Locks

Warum dies wichtig ist

Ressourcensperren schützen kritische Azure-Ressourcen vor versehentlichem Löschen oder Ändern. Ohne eine dedizierte Rolle zur Verwaltung dieser Sperren riskieren Sie die Vergabe übermäßiger Berechtigungen wie Owner oder Contributor, nur um Ressourcen zu entsperren, was Ihre Angriffsfläche vergrößert. Eine benutzerdefinierte Rolle für die Verwaltung von Ressourcensperren erzwingt das Prinzip der geringsten Privilegien und verringert das Risiko unbeabsichtigter Schäden.

Was Aether365 prüft

Aether365 überprüft, ob eine benutzerdefinierte Rolle mit Berechtigungen speziell für die Verwaltung von Ressourcensperren (Microsoft.Authorization/locks/*) vorhanden ist. Diese Prüfung wird im Aether365-Dashboard unter Ihren azure-subscription-security-Prüfungen angezeigt und kennzeichnet jedes Abonnement oder jede Verwaltungsgruppe, die diese maßgeschneiderte Rolle vermissen lässt.

So beheben Sie das Problem

So erstellen und weisen Sie eine benutzerdefinierte Rolle für einen Ressourcensperren-Administrator zu:

  1. Navigieren Sie im Azure portal zu dem Abonnement oder der Ressourcengruppe, für das die Rolle zuweisbar sein soll.
  2. Öffnen Sie Access control (IAM) und klicken Sie auf Add, wählen Sie dann Add custom role.
  3. Geben Sie als Rollennamen Resource Lock Administrator ein und fügen Sie eine Beschreibung hinzu.
  4. Wählen Sie unter Baseline permissions die Option Start from scratch.
  5. Klicken Sie auf dem Register Permissions auf Add permissions und suchen Sie nach Microsoft.Authorization/locks.
  6. Aktivieren Sie das entsprechende Kontrollkästchen, klicken Sie auf Add, dann auf Review + create und anschließend auf Create.
  7. Weisen Sie diese benutzerdefinierte Rolle in IAM den entsprechenden Benutzern oder Gruppen zu.

Alternativ können Sie die Rolle mit PowerShell für einen Verwaltungsgruppenbereich erstellen:

  • Laden Sie die Rollendefinition für User Access Administrator, leeren Sie die Aktionen und fügen Sie Microsoft.Authorization/locks/* hinzu.
  • Legen Sie die zuweisbaren Bereiche auf die Verwaltungsgruppe oder das Abonnement fest.
  • Führen Sie New-AzRoleDefinition aus, um die neue Rolle zu registrieren.

Compliance

  • CIS Microsoft Azure Foundations Benchmark 3.0.0 Abschnitt 2.24 (Stufe 2)
  • Microsoft Security Benchmark: Privileged Access (PA-1, PA-2, PA-5, PA-7)
  • Microsoft Security Benchmark: Governance Strategy (GS-2, GS-6)

Verwandte Ressourcen

Microsoft references

War diese Seite hilfreich?

© 2026 Aether365. All rights reserved.