Beskriv rollebaseret adgangskontrol i Azure
Når du har flere it- og teknikerteams, hvordan kan du så styre, hvilken adgang de har til ressourcerne i dit cloudmiljø? Princippet om mindste rettighed siger, at du kun skal give adgang op til det niveau, der er nødvendigt for at fuldføre en opgave. Hvis du kun har brug for læseadgang til en lagerblob, bør du kun have læseadgang til den pågældende lagerblob. Skriveadgang til den pågældende blob bør ikke tildeles, og der bør heller ikke gives læseadgang til andre lagerblob. Det er en god sikkerhedspraksis at følge.
Det vil dog blive kedeligt at administrere dette tilladelsesniveau for et helt team. I stedet for at definere de detaljerede adgangskrav for hver enkelt person og derefter opdatere adgangskravene, når der oprettes nye ressourcer, eller nye personer deltager i teamet, kan du styre adgangen via Azure-rollebaseret adgangskontrol (Azure RBAC).
Azure indeholder indbyggede roller, der beskriver almindelige adgangsregler for cloudressourcer. Du kan også definere dine egne roller. Hver rolle har et tilknyttet sæt adgangstilladelser, der er relateret til den pågældende rolle. Når du tildeler enkeltpersoner eller grupper til en eller flere roller, modtager de alle de tilknyttede adgangstilladelser.
Så hvis du ansætter en ny tekniker og føjer dem til Azure RBAC-gruppen for teknikere, får de automatisk samme adgang som de andre teknikere i den samme Azure RBAC-gruppe. Hvis du tilføjer yderligere ressourcer og peger på Azure RBAC på dem, har alle i den pågældende Azure RBAC-gruppe nu disse tilladelser til de nye ressourcer samt de eksisterende ressourcer.
Hvordan anvendes rollebaseret adgangskontrol på ressourcer?
Rollebaseret adgangskontrol anvendes på et område, som er en ressource eller et sæt ressourcer, som denne adgang gælder for.
I følgende diagram vises relationen mellem roller og områder. En administrationsgruppe, et abonnement eller en ressourcegruppe kan tildeles rollen ejer, så de har øget kontrol og autoritet. En observatør, der ikke forventes at foretage nogen opdateringer, kan få rollen Læser i samme omfang, så vedkommende kan gennemse eller overvåge administrationsgruppen, abonnementet eller ressourcegruppen.
Områder omfatter:
- En administrationsgruppe (en samling af flere abonnementer).
- Et enkelt abonnement.
- En ressourcegruppe.
- En enkelt ressource.
Observatører, brugere, der administrerer ressourcer, administratorer og automatiserede processer, illustrerer den type brugere eller konti, der typisk tildeles hver af de forskellige roller.
Azure RBAC er hierarkisk, da når du giver adgang til et overordnet område, nedarves disse tilladelser af alle underordnede områder. For eksempel:
- Når du tildeler rollen Ejer til en bruger i området administrationsgruppe, kan denne bruger administrere alt i alle abonnementer i administrationsgruppen.
- Når du tildeler rollen Læser til en gruppe i abonnementsområdet, kan medlemmerne af gruppen få vist alle ressourcegrupper og ressourcer i abonnementet.
Hvordan gennemtvinges Azure RBAC?
Azure RBAC gennemtvinges på enhver handling, der er startet mod en Azure-ressource, der passerer gennem Azure Resource Manager. Resource Manager er en administrationstjeneste, der giver dig mulighed for at organisere og sikre dine cloudressourcer.
Du får typisk adgang til Resource Manager fra Azure Portal, Azure Cloud Shell, Azure PowerShell og Azure CLI. Azure RBAC gennemtvinger ikke adgangstilladelser på program- eller dataniveau. Programsikkerhed skal håndteres af dit program.
Azure RBAC bruger en tilladelsesmodel. Når du er tildelt en rolle, giver Azure RBAC dig mulighed for at udføre handlinger inden for denne rolles område. Hvis én rolletildeling giver dig læserettigheder til en ressourcegruppe, og en anden rolletildeling giver dig skriverettigheder til den samme ressourcegruppe, har du både læse- og skrivetilladelser til den pågældende ressourcegruppe.