Aether365

Suomi

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Suomi

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Ensure Custom Role is Assigned Permissions for Administering Resource Locks

Miksi tämä on tärkeää

Resurssilukitukset suojaavat kriittisiä Azure-resursseja tahattomalta poistamiselta tai muokkaamiselta. Ilman erillistä roolia näiden lukitusten hallintaan saatat joutua myöntämään liian laajoja käyttöoikeuksia, kuten Owner tai Contributor, vain resurssien avaamiseksi, mikä kasvattaa hyökkäyspinta-alaa. Räätälöity rooli resurssilukitusten hallintaan toteuttaa vähimmän käyttöoikeuden periaatetta ja vähentää tahattomien vahinkojen riskiä.

Mitä Aether365 tarkistaa

Aether365 varmistaa, että on olemassa räätälöity rooli, jolla on käyttöoikeudet nimenomaan resurssilukitusten hallintaan (Microsoft.Authorization/locks/*). Tämä tarkistus näkyy Aether365-hallintapaneelissa azure-subscription-security-tarkistusten alla ja merkitsee kaikki tilaukset tai hallintaryhmät, joista tämä erikoisrooli puuttuu.

Korjaustoimenpiteet

Voit luoda ja määrittää Resource Lock Administrator -räätälöidyn roolin seuraavasti:

  1. Siirry Azure-portaalissa tilaukseen tai resurssiryhmään, johon rooli tulisi voida määrittää.
  2. Avaa Access control (IAM) ja valitse Add, sitten Add custom role.
  3. Anna roolin nimeksi Resource Lock Administrator ja lisää kuvaus.
  4. Valitse Baseline permissions-kohdassa Start from scratch.
  5. Valitse Permissions-välilehdellä Add permissions ja etsi Microsoft.Authorization/locks.
  6. Valitse vastaava käyttöoikeusvalintaruutu, napsauta Add, sitten Review + create ja lopuksi Create.
  7. Määritä tämä räätälöity rooli asianmukaisille käyttäjille tai ryhmille IAM:ssa.

Vaihtoehtoisesti voit luoda roolin PowerShellillä hallintaryhmätasolla:

  • Lataa User Access Administrator -roolin määritys, tyhjennä sen toiminnot ja lisää Microsoft.Authorization/locks/*.
  • Aseta määritettäviksi laajuuksiksi hallintaryhmä tai tilaus.
  • Suorita New-AzRoleDefinition rekisteröidäksesi uuden roolin.

Vaatimustenmukaisuus

  • CIS Microsoft Azure Foundations Benchmark 3.0.0, kohta 2.24 (Level 2)
  • Microsoft Security Benchmark: Privileged Access (PA-1, PA-2, PA-5, PA-7)
  • Microsoft Security Benchmark: Governance Strategy (GS-2, GS-6)

Aiheeseen liittyvät resurssit

Microsoft references

Oliko tästä sivusta hyötyä?

© 2026 Aether365. All rights reserved.