Freigeben über

Identitäts- und Zugriffsverwaltung für Azure Arc-fähige Server

  • Artikel

Ihre Organisation muss die richtigen Zugriffssteuerungen für die Sicherung von Hybridumgebungen mit lokalen und cloudbasierten Identitätsverwaltungssystemen entwerfen.

Diese Identitätsverwaltungssysteme spielen eine wichtige Rolle. Sie helfen beim Entwerfen und Implementieren von zuverlässigen Zugriffsverwaltungssteuerelementen zum Sichern der Azure Arc-fähigen Serverinfrastruktur.

Verwaltete Identität

Bei der Erstellung kann die vom Microsoft Entra ID-System zugewiesene Identität nur verwendet werden, um den Status der Server mit Azure Arc-Unterstützung zu aktualisieren (z. B. den zuletzt angezeigten Heartbeat). Gewähren Sie Identitätszugriff auf Azure-Ressourcen, um Anwendungen auf Ihrem Server für den Zugriff auf Azure-Ressourcen zu ermöglichen, z. B. zum Anfordern von geheimen Schlüsseln aus einem Key Vault. Gehen Sie wie folgt vor:

  • Überlegen Sie, welche legitimen Anwendungsfälle es für Serveranwendungen gibt, um Zugriffstoken zu erhalten und auf Azure-Ressourcen zuzugreifen, und planen Sie gleichzeitig die Zugriffssteuerung für diese Ressourcen.
  • Steuern Sie privilegierte Benutzerrollen auf Servern mit Azure Arc-Unterstützung (Mitglieder der Anwendungsgruppe „Lokale Administratoren“ oder Hybrid-Agent-Erweiterungen unter Windows und Mitglieder der Gruppe himds unter Linux), um zu verhindern, dass systemseitig verwaltete Identitäten missbräuchlich verwendet werden, um unberechtigten Zugriff auf Azure-Ressourcen zu erhalten.
  • Verwenden Sie Azure RBAC, um die Berechtigungen für verwaltete Identitäten von Azure Arc-aktivierten Servern zu steuern und zu verwalten und regelmäßige Zugriffsüberprüfungen für diese Identitäten durchzuführen.

Rollenbasierte Zugriffssteuerung (RBAC)

Nach dem Prinzip der geringsten Rechte können Benutzer*innen, Gruppen oder Anwendungen, die mit Rollen wie „Mitwirkender“ oder „Eigentümer“ oder „Ressourcenadministrator für Azure Connected Machine“ ausgestattet sind, Vorgänge wie die Bereitstellung von Erweiterungen ausführen und Root- oder Administrationszugriff auf Server mit Azure Arc-Unterstützung gewissermaßen delegieren. Diese Rollen sollten mit Vorsicht verwendet werden, um den möglichen Auswirkungsgrad zu begrenzen oder eventuell durch benutzerdefinierte Rollen ersetzt werden.

Um die Berechtigungen eines Benutzers einzuschränken und ihnen nur zu erlauben, Server für Azure hinzuzufügen, ist die Azure Connected Machine Onboarding-Rolle geeignet. Diese Rolle kann nur für das Onboarding von Servern verwendet werden. Sie kann für die Serverressource kein erneutes Onboarding durchführen und sie auch nicht löschen. Stellen Sie sicher, dass Sie die Sicherheitsübersicht von Azure Arc-fähigen Servern überprüfen, um mehr über Zugriffssteuerungen zu erfahren.

Berücksichtigen Sie auch die vertraulichen Daten, die möglicherweise an den Azure Monitor Log Analytics-Arbeitsbereich gesendet werden– das gleiche RBAC-Prinzip sollte auf die Daten selbst angewendet werden. Lesezugriff auf Azure Arc-fähige Server kann Zugriff auf vom Log Analytics-Agenten gesammelte Protokolldaten ermöglichen, die im zugehörigen Log Analytics-Arbeitsbereich gespeichert sind. Weitere Informationen zur Implementierung eines präzisen Zugriffs auf den Log Analytics-Arbeitsbereich finden Sie in der Dokumentation zum Entwerfen Ihrer Azure Monitor-Protokollbereitstellung.

Architektur

Das folgende Diagramm zeigt eine Referenzarchitektur, die die Rollen, Berechtigungen und den Fluss von Aktionen für Azure Arc-fähige Server veranschaulicht:

Diagramm mit Referenzarchitektur, das die Identitäten, Rollen, Berechtigungen und den Fluss von Aktionen für Azure Arc-fähige Server veranschaulicht.

Entwurfsüberlegungen

  • Entscheiden Sie, wer aus Ihrer Organisation Zugriff auf onboarding-Server haben soll, um erforderliche Berechtigungen für die Server und in Azure einzurichten.
  • Entscheiden Sie, wer Azure Arc-fähige Server verwalten soll. Entscheiden Sie dann, wer ihre Daten aus Azure-Diensten und anderen Cloudumgebungen anzeigen kann.
  • Entscheiden Sie, wie viele Dienstprinzipale zum Arc-Onboarding Sie benötigen. Mehrere dieser Identitäten können für das Onboarding von Servern verwendet werden, die verschiedenen Geschäftsfunktionen oder -einheiten in einem Unternehmen gehören, das auf betrieblicher Verantwortung und Eigentum basiert.
  • Überprüfen Sie den Entwurfsbereich für Identity & Access Management der Azure-Zielzone auf Unternehmensebene. Überprüfen Sie den Bereich, um die Auswirkungen von Azure Arc-fähigen Servern auf Ihr allgemeines Identitäts- und Zugriffsmodell zu bewerten.

Designempfehlungen

  • Onboarding und Verwaltung von Servern
    • Verwenden Sie Sicherheitsgruppen, um den identifizierten Benutzer*innen oder Dienstkonten auf den Servern lokale Administrationsrechte zuzuweisen, damit sie in großem Stil das Onboarding zu Azure Arc durchführen können.
    • Verwenden Sie Microsoft Entra-Dienstprinzipal, um Server bei Azure Arc einzubinden. Erwägen Sie, mehrere Microsoft Entra-Dienstprinzipale in einem dezentralen Betriebsmodell zu verwenden, bei dem Server von verschiedenen IT-Teams verwaltet werden.
    • Verwenden Sie kurzlebige Clientgeheimnisse des Microsoft Entra-Dienstprinzipals.
    • Weisen Sie die Rolle Onboarding für Azure Connected Machine auf der Ressourcengruppenebene zu.
    • Verwenden Sie Microsoft Entra-Sicherheitsgruppen, und gewähren Sie die Rolle Administrator für Hybridserverressourcen. Gewähren Sie Teams und Einzelpersonen, die Serverressourcen mit Azure Arc-Unterstützung in Azure verwalten, diese Rolle.
  • Durch Microsoft Entra ID geschützter Ressourcenzugriff
    • Verwenden Sie verwaltete Identitäten für Anwendungen, die auf Ihren lokalen Servern (und in anderen Cloudumgebungen) ausgeführt werden, um den Zugriff auf Cloudressourcen zu ermöglichen, die durch Microsoft Entra ID geschützt sind.
    • Beschränken Sie den Zugriff auf verwaltete Identitäten auf zulässige Anwendungen, die mithilfe von Microsoft Entra-Anwendungsberechtigungen autorisiert sind.
    • Verwenden Sie die lokale Sicherheitsgruppe Hybrid agent extension applications unter Windows oder die Gruppe himds unter Linux, um Benutzer*innen Zugriff zum Anfordern von Azure-Ressourcenzugriffstoken von den Servern mit Azure Arc-Unterstützung zu gewähren.

Nächste Schritte

Weitere Anleitungen für Ihre Hybrid-Cloud-Einführungsreise erhalten Sie in den folgenden Ressourcen: