Kuvaile Azuren roolipohjaisen käytön hallintaa
Kun sinulla on useita IT- ja suunnitteluryhmiä, miten voit hallita, mitä käyttöoikeuksia heillä on pilviympäristösi resursseihin? Vähimmillä etuoikeudella määritetään, että käyttöoikeuksia tulisi myöntää vain tehtävän suorittamiseen tarvittavalle tasolle asti. Jos tarvitset vain lukuoikeuden säilön blob-objektiin, saat vain lukuoikeuden kyseiseen blob-säilön blob-objektiin. Tämän blob-objektin kirjoitusoikeutta ei pidä myöntää, eikä muiden blob-objektien lukuoikeutta tulisi antaa. Se on hyvä suojauskäytäntö.
Tämän käyttöoikeustason hallinnasta koko tiimille tulisi kuitenkin työlästä. Sen sijaan, että määrittäisit yksityiskohtaiset käyttöoikeusvaatimukset kullekin henkilölle ja päivittäisit sitten käyttöoikeusvaatimukset, kun uusia resursseja luodaan tai uusia henkilöitä liitetään tiimiin, Azuren avulla voit hallita käyttöoikeuksia Azuren roolipohjaisen käytön hallinnan (Azure RBAC) avulla.
Azuressa on sisäisiä rooleja, jotka kuvaavat pilviresurssien yleisiä käyttöoikeussääntöjä. Voit myös määrittää omia rooleja. Kullakin roolilla on siihen liittyvät käyttöoikeudet. Kun määrität henkilöitä tai ryhmiä yhteen tai useampaan rooliin, he saavat kaikki siihen liittyvät käyttöoikeudet.
Jos siis palkkaat uuden insinöörin ja lisäät hänet Azure RBAC -ryhmään insinööreille, he saavat automaattisesti samat käyttöoikeudet kuin muut saman Azure RBAC -ryhmän teknikot. Vastaavasti, jos lisäät resursseja ja osoitat Azure RBAC :lle niitä, kaikilla kyseisen Azure RBAC -ryhmän jäsenillä on nyt nämä oikeudet uusiin resursseihin sekä olemassa oleviin resursseihin.
Miten roolipohjaista käyttöoikeuksien hallintaa käytetään resursseihin?
Roolipohjaista käyttöoikeuksien hallintaa käytetään laajuuteen, joka on resurssi tai resurssijoukko, johon tämä käyttöoikeus koskee.
Seuraavasta kaaviosta näet roolien ja vaikutusalueiden välisen suhteen. Hallintaryhmälle, tilaukselle tai resurssiryhmälle voidaan antaa omistajan rooli, joten sen hallinta ja valtuutuudet ovat kasvaneet. Tarkkailijalle, jonka ei odoteta tekevän päivityksiä, voidaan antaa samassa laajuudessa Lukija-rooli, jotta hän voi tarkastella tai tarkkailla hallintaryhmää, tilausta tai resurssiryhmää.
Vaikutusalueita ovat muun muassa seuraavat:
- Hallintaryhmä (useiden tilausten kokoelma).
- Yksittäinen tilaus.
- Resurssiryhmä.
- Yksittäinen resurssi.
Tarkkailijat, resursseja, järjestelmänvalvojia ja automatisoituja prosesseja hallitsevat käyttäjät havainnollistavat, millaisia käyttäjiä tai tilejä kullekin eri rooleille tavallisesti määritetään.
Azure RBAC on hierarkkinen siinä mielessä, että kun myönnät käyttöoikeuden ylätason laajuudessa, nämä käyttöoikeudet periytyvät kaikkiin alialuealueisiin. Esimerkiksi:
- Kun määrität Omistaja-roolin käyttäjälle hallintaryhmän laajuudessa, kyseinen käyttäjä voi hallita kaikkea hallintaryhmän kaikissa tilauksessa.
- Kun määrität Lukija-roolin ryhmälle tilauksen laajuudessa, kyseisen ryhmän jäsenet voivat tarkastella jokaista tilauksen resurssiryhmää ja resurssia.
Miten Azure RBAC otetaan käyttöön?
Azure RBAC pakotetaan käyttöön kaikissa toiminnoissa, jotka käynnistetään Azure-resurssia vastaan, joka kulkee Azure Resource Managerin kautta. Resource Manager on hallintapalvelu, jonka avulla voit järjestellä ja suojata pilvipalveluresursseja.
Resource Manageria käytetään yleensä Azure-portaalissa, Azure Cloud Shellissä, Azure PowerShellissä ja Azure CLI:ssä. Azure RBAC ei pakota käyttöoikeuksia käyttöön sovellus- tai tietotasolla. Sovellussuojaus tulee hoitaa sovelluksessasi.
Azure RBAC käyttää sallittua mallia. Kun sinulle määritetään rooli, Azure RBAC mahdollistaa toimien suorittamisen kyseisen roolin laajuudessa. Jos yksi roolin määritys myöntää sinulle lukuoikeudet resurssiryhmään ja eri roolin määritys myöntää kirjoitusoikeudet samalle resurssiryhmälle, sinulla on sekä luku- että kirjoitusoikeudet kyseiseen resurssiryhmään.