Manage Subscriptions & RBAC - Lab AZ-104

📋 Visão Geral

Neste lab, você vai gerenciar Management Groups, criar roles RBAC customizadas e atribuir permissões a usuários.

Implementar Management Groups
Criar roles RBAC customizadas
Atribuir e verificar permissões RBAC

💡 Conceito-chave: O RBAC (Role-Based Access Control) permite gerenciar quem tem acesso a quais recursos do Azure, o que podem fazer com esses recursos e a quais áreas têm acesso.

✅ Pré-requisitos

Uma subscrição Azure ativa
Completar o Lab 01: Entra ID Identities
Permissões de Owner na subscrição

🏢 Task 1: Implementar Management Groups

Nesta tarefa, você criará e configurará management groups para organizar suas subscrições.

1

Acesse o Portal Azure e pesquise Management groups.

2

Clique em + Create para criar um novo management group.

3

Configure o Management group:

Configuração	Valor
Management group ID	`az104-mg1`
Management group display name	`az104-mg1`

4

Clique em Submit.

5

Selecione o management group criado e clique em details.

6

Clique em + Add subscription e adicione a sua subscrição ao management group.

💡 Dica: Management groups permitem organizar múltiplas subscrições em uma hierarquia para governança unificada, aplicação de políticas e compliance.

🔧 Task 2: Criar Custom RBAC Roles

Nesta tarefa, você criará uma role RBAC customizada para suporte.

1

No Portal Azure, pesquise e selecione Subscriptions.

2

Selecione sua subscrição e vá em Access control (IAM).

3

Verifique suas permissões na aba Check access → View my access.

4

Clique em + Add → Add custom role e use a seguinte definição JSON:

{
    "Name": "Custom Support Request",
    "IsCustom": true,
    "Description": "Allows to create support requests",
    "Actions": [
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
    ],
    "NotActions": [],
    "AssignableScopes": [
        "/subscriptions/{subscriptionId}"
    ]
}

5

Substitua {subscriptionId} pelo ID da sua subscrição.

6

Clique em Review + create e depois em Create.

⚠️ Nota: A criação da role customizada pode levar alguns minutos para ser propagada.

👤 Task 3: Atribuir Roles RBAC

Nesta tarefa, você atribuirá a role customizada ao usuário az104-user1.

1

Pesquise e selecione Resource groups e crie um novo: az104-rg2.

2

No resource group az104-rg2, vá em Access control (IAM).

3

Clique em + Add → Add role assignment.

4

Pesquise Custom Support Request na aba de roles e selecione-a.

5

Na aba Members, clique em + Select members e selecione az104-user1.

6

Clique em Review + assign duas vezes.

✔️ Task 4: Verificar Atribuições RBAC

Nesta tarefa, você verificará se as permissões RBAC estão funcionando corretamente.

1

Abra uma janela InPrivate/Incognito do navegador.

2

Faça login como az104-user1 no Portal Azure.

3

Pesquise Resource groups e verifique que az104-rg2 aparece na lista.

4

Tente criar um novo resource group — o acesso deve ser negado.

5

Pesquise Help + support e verifique que é possível criar um support request.

🎉 Parabéns! Você verificou com sucesso que a role customizada permite criar support requests mas impede a criação de resource groups.

🧹 Limpeza

Remova os recursos criados:

1

Delete o resource group az104-rg2.

2

Delete a custom role Custom Support Request via Access control (IAM).

3

Delete o management group az104-mg1 (mova a subscrição de volta primeiro).