Prozkoumání správy přístupu

  • 7 min

Správa přístupu pro cloudové prostředky je důležitou funkcí pro všechny organizace, které používají cloud. Řízení přístupu na základě role (RBAC) pomáhá spravovat, kdo má přístup k prostředkům Azure, co může s těmito prostředky dělat a k jakým oblastem má přístup. RBAC je autorizační systém založený na Azure Resource Manageru, který poskytuje jemně odstupňovanou správu přístupu k prostředkům Azure.

Způsob řízení přístupu k prostředkům pomocí RBAC spočívá ve vytvoření přiřazení rolí. To je klíčový koncept, který je třeba pochopit, protože udává, jak se oprávnění vynucují. Přiřazení role se skládá ze tří prvků: objekt zabezpečení, definice role a obor.

  • Objekt zabezpečení: Objekt zabezpečení je objekt, který představuje uživatele, skupinu, instanční objekt nebo spravovanou identitu, která požaduje přístup k prostředkům Azure.

    • Uživatel: Jednotlivec, který má profil v Microsoft Entra ID.
    • Skupina: Sada uživatelů vytvořených v Microsoft Entra ID.
    • Instanční objekt: Identita zabezpečení používaná aplikacemi nebo službami pro přístup ke konkrétním prostředkům Azure. Můžete si ji představit jako identitu uživatele (uživatelské jméno a heslo nebo certifikát) pro aplikaci.
    • Spravovaná identita: Identita v Microsoft Entra ID, která je automaticky spravovaná Azure. Spravované identity obvykle používáte při vývoji cloudových aplikací ke správě přihlašovacích údajů pro ověřování ve službách Azure. Můžete například přiřadit spravovanou identitu k virtuálnímu počítači Azure, aby mohl software spuštěný v rámci daného virtuálního počítače přistupovat k dalším prostředkům Azure.

  • Definice role: Definice role je kolekce oprávnění. Někdy se tomu říká role. Definice role obsahuje seznam operací, které je možné provádět, jako je čtení, zápis a odstranění. Role mohou být souhrnné, například vlastník, nebo konkrétní, například čtenář virtuálních počítačů. Azure obsahuje několik předdefinovaných rolí, které můžete využít. V následujícím seznamu najdete čtyři základní předdefinované role. První tři se vztahují ke všem typům prostředků.

    • Vlastník: Má úplný přístup ke všem prostředkům, včetně práva delegovat přístup k ostatním.

    • Přispěvatel: Může vytvářet a spravovat všechny typy prostředků Azure, ale nemůže udělit přístup ostatním.

    • Čtenář: Může zobrazit existující prostředky Azure.

    • Správce uživatelských přístupů: Umožňuje spravovat přístup uživatelů k prostředkům Azure.

      Diagram znázorňující definici role pro přiřazení role

      Zbývající předdefinované role umožňují správu konkrétních prostředků Azure. Role Přispěvatel virtuálních počítačů například uživateli umožňuje vytvářet a spravovat virtuální počítače. Pokud předdefinované role nevyhovují konkrétním potřebám vaší organizace, můžete vytvořit vlastní role pro prostředky Azure.

  • Obor: Obor je sada prostředků, na které se vztahuje přístup. Když přiřadíte roli, můžete definovat rozsah, abyste zúžili povolené akce. V Azure můžete zadat obor na více úrovních: na úrovni skupiny pro správu, předplatného, skupiny prostředků nebo prostředku. Obory jsou strukturovány ve vztahu nadřazený-podřízený obor.