Aether365

Українська

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska

Українська

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska

Appearance

Ensure Custom Role is Assigned Permissions for Administering Resource Locks

Чому це важливо

Блокування ресурсів захищають критичні ресурси Azure від випадкового видалення або змінення. Без спеціалізованої ролі для керування цими блокуваннями ви ризикуєте надавати надмірні дозволи, такі як Owner або Contributor, лише для того, щоб розблокувати ресурси, що збільшує вашу поверхню атак. Спеціалізована роль для адміністрування блокувань ресурсів забезпечує принцип найменших привілеїв і зменшує ймовірність ненавмисних пошкоджень.

Що перевіряє Aether365

Aether365 перевіряє, чи існує спеціалізована роль із дозволами, визначеними для адміністрування блокувань ресурсів (Microsoft.Authorization/locks/*). Ця перевірка відображається на панелі керування Aether365 у розділі перевірок безпеки підписки Azure та позначає будь-яку підписку або групу управління, де такої ролі немає.

Як виправити

Щоб створити та призначити спеціалізовану роль адміністратора блокувань ресурсів (Resource Lock Administrator):

  1. В Azure Portal перейдіть до підписки або групи ресурсів, де роль має бути призначена.
  2. Відкрийте Access control (IAM) та натисніть Add, потім виберіть Add custom role.
  3. Введіть назву ролі Resource Lock Administrator та надайте опис.
  4. В розділі Baseline permissions оберіть Start from scratch.
  5. На вкладці Permissions натисніть Add permissions та знайдіть Microsoft.Authorization/locks.
  6. Позначте відповідний прапорець дозволу, натисніть Add, потім Review + create та Create.
  7. Призначте цю спеціалізовану роль відповідним користувачам або групам в IAM.

Альтернативно, використовуйте PowerShell для створення ролі на рівні групи управління:

  • Завантажте визначення ролі User Access Administrator, очистіть її дії та додайте Microsoft.Authorization/locks/*.
  • Встановіть області призначення (assignable scopes) для групи управління або підписки.
  • Виконайте New-AzRoleDefinition, щоб зареєструвати нову роль.

Відповідність стандартам

  • CIS Microsoft Azure Foundations Benchmark 3.0.0, розділ 2.24 (Рівень 2)
  • Microsoft Security Benchmark: Привілейований доступ (PA-1, PA-2, PA-5, PA-7)
  • Microsoft Security Benchmark: Стратегія управління (GS-2, GS-6)

Пов'язані ресурси

Microsoft references

Ця сторінка була корисною?

© 2026 Aether365. All rights reserved.