Erkunden der Zugriffsverwaltung

  • 7 Minuten

Die Zugriffsverwaltung für Cloudressourcen ist eine wichtige Funktion für jede Organisation, die die Cloud nutzt. Mit der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) können Sie verwalten, welche Benutzer Zugriff auf Azure-Ressourcen haben, welche Aktionen für diese Ressourcen ausgeführt werden können und auf welche Bereiche die Benutzer zugreifen können. RBAC ist ein Autorisierungssystem, das auf Azure Resource Manager basiert und eine präzise Verwaltung des Zugriffs auf Azure-Ressourcen ermöglicht.

Sie können den Zugriff auf Ressourcen mit RBAC steuern, indem Sie Rollenzuweisungen erstellen. Dies ist ein wesentliches Konzept, das zur Durchsetzung von Berechtigungen verwendet wird. Eine Rollenzuweisung besteht aus drei Elementen: Sicherheitsprinzipal, Rollendefinition und Bereich.

  • Sicherheitsprinzipal: Ein Sicherheitsprinzipal ist ein Objekt, das eine*n Benutzer*in, eine Gruppe, ein Dienstprinzipal oder eine verwaltete Identität darstellt, die den Zugriff auf Azure-Ressourcen anfordert.

    • User (Benutzer): Eine Person, die ein Profil in Microsoft Entra ID hat
    • Gruppe: Eine Gruppe von Benutzer*innen, die in Microsoft Entra ID erstellt wurden
    • Dienstprinzipal: Eine Sicherheitsidentität, die von Anwendungen oder Diensten für den Zugriff auf spezifische Azure-Ressourcen verwendet wird. Sie können sich dies als Benutzeridentität (Benutzername und Kennwort oder Zertifikat) für eine Anwendung vorstellen.
    • Verwaltete Identität: Eine Identität in Microsoft Entra ID, die automatisch von Azure verwaltet wird In der Regel verwenden Sie verwaltete Identitäten bei der Entwicklung von Cloudanwendungen, um die Anmeldeinformationen für die Authentifizierung bei Azure-Diensten zu verwalten. Sie können zum Beispiel einer Azure-VM eine verwaltete Identität zuweisen, um innerhalb dieser VM ausgeführte Software auf andere Azure-Ressourcen zugreifen zu lassen.

  • Rollendefinition: Eine Rollendefinition ist eine Sammlung von Berechtigungen. Gelegentlich wird sie auch als „Rolle“ bezeichnet. Eine Rollendefinition listet die ausführbaren Vorgänge wie etwa Lesen, Schreiben und Löschen auf. Rollen können auf allgemeiner Ebene erteilt werden (z.B. Benutzer) oder spezifisch sein (z.B. Leser virtueller Computer). Azure umfasst mehrere integrierte Rollen, die Sie verwenden können. Im Folgenden werden vier grundlegende integrierte Rollen aufgeführt. Die ersten drei Rollen gelten für alle Ressourcentypen.

    • Besitzer: Hat vollständigen Zugriff auf alle Ressourcen, einschließlich des Rechts, den Zugriff an andere Personen zu delegieren.

    • Mitwirkender: Kann alle Arten von Azure-Ressourcen erstellen und verwalten, aber anderen Personen keinen Zugriff gewähren.

    • Leseberechtigter: Kann vorhandene Azure-Ressourcen anzeigen.

    • Benutzerzugriffsadministrator: Kann den Benutzerzugriff auf Azure-Ressourcen verwalten.

      Diagramm mit Rollendefinition für eine Rollendefinition.

      Die verbleibenden integrierten Rollen ermöglichen die Verwaltung bestimmter Azure-Ressourcen. Mit der Rolle Mitwirkender von virtuellen Computern können Benutzer beispielsweise virtuelle Computer erstellen und verwalten. Sollten die integrierten Rollen den individuellen Ansprüchen Ihrer Organisation nicht genügen, können Sie Ihre eigenen benutzerdefinierten Rollen für Azure-Ressourcen erstellen.

  • Bereich: Ein Bereich beschreibt die Ressourcen, für die der Zugriff gilt. Wenn Sie eine Rolle zuweisen, können Sie die zulässigen Aktionen durch das Definieren eines Bereichs weiter einschränken. In Azure können Sie auf mehreren Ebenen einen Bereich angeben: Verwaltungsgruppe, Abonnement, Ressourcengruppe oder Ressource. Bereiche sind in einer Beziehung zwischen über- und untergeordneten Elementen strukturiert.