Co je Azure RBAC?

Dokončeno

Pokud jde o identitu a přístup, většina organizací, které zvažují použití veřejného cloudu, se obává dvou věcí:

1. Jak zajistit, aby lidé opouštějící organizaci neztratili přístup k prostředkům v cloudu.
2. Dosažení správné rovnováhy mezi autonomií a centrální správou; Projektové týmy například umožňují vytvářet a spravovat virtuální počítače v cloudu a centrálně řídit sítě, které tyto virtuální počítače používají ke komunikaci s jinými prostředky.

Microsoft Entra ID a řízení přístupu na základě role v Azure (Azure RBAC) spolupracují, aby bylo možné tyto cíle jednoduše provádět.

Předplatná Azure

Nejprve nezapomeňte, že každé předplatné Azure je přidružené k jednomu adresáři Microsoft Entra. Prostředky v předplatném Azure mohou spravovat uživatelé, skupiny a aplikace, které se nacházejí v tomto adresáři. Předplatná používají Microsoft Entra ID pro jednotné přihlašování (SSO) a správu přístupu. K rozšíření místní Active Directory do cloudu můžete použít Microsoft Entra Connect. Tato funkce umožňuje vašim zaměstnancům spravovat svoje předplatná Azure pomocí svých stávajících pracovních identit. Když zakážete účet místní Active Directory, automaticky ztratí přístup ke všem předplatným Azure připojeným k ID Microsoft Entra.

Co je Azure RBAC?

Řízení přístupu na základě role v Azure (Azure RBAC) je autorizační systém založený na Azure Resource Manageru, který poskytuje jemně odstupňovanou správu přístupu pro prostředky v Azure. Díky Azure RBAC můžete uživatelům přesně nastavit přístup tak, aby mohli vykonávat svou práci. Díky Azure RBAC například můžete nechat jednoho zaměstnance spravovat virtuální počítače v předplatném a druhého nechat ve stejném předplatném spravovat databáze SQL.

Následující video podrobně popisuje Azure RBAC:

Přístup můžete udělit přiřazením příslušné role Azure uživatelům, skupinám a aplikacím v určitém rozsahu. Oborem přiřazení role může být skupina pro správu, předplatné, skupina prostředků nebo jeden prostředek. Role přiřazená v nadřazeném oboru také uděluje přístup k podřízenému oboru, který je v něm zahrnut. Například uživatel s přístupem ke skupině prostředků může spravovat všechny prostředky, které tato skupina obsahuje, jako jsou weby, virtuální počítače a podsítě. Přiřazená role Azure určuje, jaké prostředky může uživatel, skupina nebo aplikace v daném oboru spravovat.

Následující diagram znázorňuje, jak souvisí role klasického správce předplatného, role Azure a role Microsoft Entra na vysoké úrovni. Role přiřazené ve vyšším oboru, například pro celé předplatné, se dědí do podřízených oborů, jako jsou instance služby.

V předchozím diagramu je předplatné přidružené jenom k jednomu tenantovi Microsoft Entra. Všimněte si také, že skupina prostředků může mít více prostředků, ale je přidružená jenom k jednomu předplatnému. I když není z diagramu zřejmé, může být prostředek svázán pouze s jednou skupinou prostředků.

Co můžu dělat s Azure RBAC?

Azure RBAC umožňuje udělovat přístup k prostředkům Azure, které řídíte. Předpokládejme, že potřebujete spravovat přístup k prostředkům v Azure pro vývojové, technické a marketingové týmy. Začali jste dostávat žádosti o přístup a je potřeba se rychle naučit, jak funguje řízení přístupu k prostředkům v Azure.

Tady je několik scénářů, které můžete implementovat pomocí Azure RBAC:

• Jednomu uživateli můžete povolit správu virtuálních počítačů v předplatném a jinému uživateli správu virtuálních sítí.
• Skupině správců databází můžete povolit správu databází SQL v předplatném.
• Uživateli můžete povolit správu všech prostředků ve skupině prostředků, například virtuálních počítačů, webů a podsítí.
• Aplikaci můžete povolit přístup ke všem prostředkům ve skupině prostředků.

Azure RBAC na webu Azure Portal

V několika oblastech na webu Azure Portal se zobrazí podokno s názvem Řízení přístupu (IAM) označované také jako správa identit a přístupu. V tomto podokně můžete zjistit, kdo má přístup k této oblasti a příslušné roli. Pomocí stejného podokna můžete přístup udělovat nebo odebírat.

Tady je příklad podokna Řízení přístupu (IAM) pro skupinu prostředků. V tomto příkladu má Alain přiřazenou roli Operátor zálohování pro tuto skupinu prostředků.

Jak funguje Azure RBAC?

Přístup k prostředkům můžete řídit pomocí Azure RBAC vytvořením přiřazení rolí, která řídí, jak se oprávnění vynucují. Při vytváření přiřazení role potřebujete tři prvky: objekt zabezpečení, definici role a obor. Tyto prvky si můžete představit jako odpovědi na otázky „kdo“, „co“ a „kde“.

1. Objekt zabezpečení (kdo)

Objekt zabezpečení je jenom název fancy pro uživatele, skupinu nebo aplikaci, ke které chcete udělit přístup.

2. Definice role (co můžete dělat)

Definice role je kolekce oprávnění. Někdy se jí jednoduše říká role. Definice role obsahuje seznam oprávnění, která může role provádět, například čtení, zápis a odstranění. Role můžou být souhrnné, například Vlastník, nebo konkrétní, například Čtenář virtuálních počítačů.

Azure obsahuje několik předdefinovaných rolí, které můžete využít. V následujícím seznamu najdete čtyři základní předdefinované role:

• Vlastník: Má úplný přístup ke všem prostředkům, včetně práva delegovat přístup k ostatním uživatelům.
• Přispěvatel: Může vytvářet a spravovat všechny typy prostředků Azure, ale nemůže udělit přístup ostatním uživatelům.
• Čtenář: Může zobrazit existující prostředky Azure
• Správce uživatelských přístupů: Umožňuje spravovat přístup uživatelů k prostředkům Azure.

Pokud předdefinované role nesplňují konkrétní požadavky vaší organizace, můžete si vytvořit vlastní role.

3. Rozsah (kde)

Obor je úroveň, na které se vztahuje přístup. To je užitečné v případě, kdy někomu chcete udělit roli Přispěvatel webů, ale jen pro jednu skupinu prostředků.

V Azure můžete zadat obor na více úrovních: na úrovni skupiny pro správu, předplatného, skupiny prostředků nebo prostředku. Obory jsou strukturovány ve vztahu nadřazený-podřízený obor. Když udělíte přístup na úrovni nadřízeného oboru, podřízené obory zdědí příslušná oprávnění. Pokud například přiřadíte určité skupině roli Přispěvatel v oboru předplatného, zdědí tuto roli všechny skupiny prostředků a prostředky v daném předplatném.

Přiřazení role

Po stanovení odpovědi na otázky „kdo“, „co“ a „kde“ můžete tyto prvky zkombinovat, abyste udělili příslušný přístup. Přiřazení role je proces vazby role k objektu zabezpečení v určitém oboru pro účely udělení přístupu. Pokud chcete udělit přístup, vytvoříte přiřazení role. Pokud chcete přístup odvolat, odeberete přiřazení role.

V tomto příkladu byla marketingové skupině přiřazena role Přispěvatel v oboru skupiny prostředků Prodej.

Azure RBAC – model povolující přístup

Azure RBAC je model povolení . To znamená, že když máte přiřazenou roli, Azure RBAC umožňuje provádět určité akce, jako je čtení, zápis nebo odstranění. Takže pokud vám jedno přiřazení role udělí oprávnění ke čtení skupiny prostředků a jiné přiřazení role vám udělí oprávnění k zápisu do stejné skupiny prostředků, budete mít oprávnění ke čtení a zápisu pro tuto skupinu prostředků.

V Azure RBAC existují oprávnění s názvem NotActions. Můžete použít NotActions k vytvoření sady nepovolovaných oprávnění. Přístup role udělí ( efektivní oprávnění) se vypočítá odečtením NotActions operací od Actions operací. Role Přispěvatel má například operace Actions i NotActions. Zástupný znak (*) v operacích Actions indikuje, že může provádět všechny operace v řídicí rovině. Potom byste odečetli následující operace, abyste NotActions vypočítali efektivní oprávnění:

• Odstranit role a přiřazení rolí
• Vytvořit role a přiřazení rolí
• Udělení přístupu správce uživatelských přístupů volajícímu v oboru tenanta
• Vytvořit nebo aktualizovat artefakty podrobného plánu
• Odstranit artefakty podrobného plánu