Aether365

Português

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Română
Slovenčina
Slovenščina
Svenska
Українська

Português

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Ensure Custom Role is Assigned Permissions for Administering Resource Locks

Por Que Isso É Importante

Os bloqueios de recurso protegem recursos críticos do Azure contra exclusão ou modificação acidental. Sem uma função dedicada para gerenciar esses bloqueios, você corre o risco de conceder permissões excessivas como Owner ou Contributor apenas para desbloquear recursos, aumentando sua superfície de ataque. Uma função personalizada para administração de bloqueios de recurso impõe o princípio do menor privilégio e reduz a chance de danos não intencionais.

O Que o Aether365 Verifica

O Aether365 verifica se existe uma função personalizada com permissões específicas para administrar bloqueios de recurso (Microsoft.Authorization/locks/*). Essa verificação aparece no painel do Aether365 em suas verificações de segurança de assinatura do Azure e sinaliza qualquer assinatura ou grupo de gerenciamento que não possua essa função personalizada.

Como Corrigir

Para criar e atribuir uma função personalizada de Administrador de Bloqueio de Recurso:

  1. No Azure Portal, navegue até a assinatura ou grupo de recursos onde a função deve ser atribuível.
  2. Abra Access control (IAM) e clique em Add, depois selecione Add custom role.
  3. Insira o nome da função como Resource Lock Administrator e forneça uma descrição.
  4. Em Baseline permissions, escolha Start from scratch.
  5. Na guia Permissions, clique em Add permissions e pesquise por Microsoft.Authorization/locks.
  6. Selecione a caixa de seleção da permissão correspondente, clique em Add, depois clique em Review + create e Create.
  7. Atribua essa função personalizada aos usuários ou grupos apropriados no IAM.

Alternativamente, use o PowerShell para criar a função no escopo de um grupo de gerenciamento:

  • Carregue a definição da função User Access Administrator, limpe suas ações e adicione Microsoft.Authorization/locks/*.
  • Defina os escopos atribuíveis para o grupo de gerenciamento ou assinatura.
  • Execute New-AzRoleDefinition para registrar a nova função.

Conformidade

  • CIS Microsoft Azure Foundations Benchmark 3.0.0 Seção 2.24 (Nível 2)
  • Microsoft Security Benchmark: Acesso Privilegiado (PA-1, PA-2, PA-5, PA-7)
  • Microsoft Security Benchmark: Estratégia de Governança (GS-2, GS-6)

Recursos Relacionados

Microsoft references

Esta página foi útil?

© 2026 Aether365. All rights reserved.