Zabezpieczanie zasobów przy użyciu kontroli dostępu opartej na rolach

  • 5 min

Zaimplementowanie usługi Azure Policy gwarantuje, że wszyscy nasi pracownicy z dostępem do platformy Azure przestrzegają naszych wewnętrznych standardów tworzenia zasobów, ale mamy drugi problem, który musimy rozwiązać: jak chronić te zasoby po ich wdrożeniu? Mamy personel IT, który musi zarządzać ustawieniami, deweloperami, którzy muszą mieć dostęp tylko do odczytu, i administratorami, którzy muszą mieć możliwość całkowitej kontroli nad nimi. Wprowadź kontrola dostępu oparta na rolach (RBAC).

Kontrola dostępu oparta na rolach zapewnia szczegółowe zarządzanie dostępem dla zasobów platformy Azure, umożliwiając przyznawanie użytkownikom określonych praw, których potrzebują do wykonywania swoich zadań. Kontrola dostępu oparta na rolach jest usługą podstawową i jest dołączana bez dodatkowych kosztów do wszystkich poziomów subskrypcji.

Kontrola dostępu oparta na rolach oferuje następujące możliwości:

  • Zezwalanie jednemu użytkownikowi na zarządzanie maszynami wirtualnymi w ramach subskrypcji, a innemu na zarządzanie sieciami wirtualnymi.
  • Zezwalanie grupie administratorów baz danych na zarządzanie bazami danych SQL w ramach subskrypcji
  • Zezwalanie użytkownikowi na zarządzanie wszystkimi zasobami w grupie zasobów, w tym maszynami wirtualnymi, witrynami internetowymi i podsieciami wirtualnymi
  • Zezwalanie aplikacji na dostęp do wszystkich zasobów w grupie zasobów.

Aby wyświetlić uprawnienia dostępu, użyj panelu Kontrola dostępu (IAM)dla zasobu w witrynie Azure Portal. Na tym panelu możesz określić, kto może uzyskać dostęp do obszaru i przypisanej roli. Przy użyciu tego samego panelu możesz też udzielić dostępu lub odebrać go.

Zrzut ekranu przedstawiający okienko Kontrola dostępu — Przypisanie roli w witrynie Azure Portal, z rolami Operator kopii zapasowych i Czytelnik rozliczeń przypisanymi do różnych użytkowników.

Definiowanie dostępu za pomocą kontroli dostępu opartej na rolach

Kontrola dostępu oparta na rolach używa zezwalania na model na potrzeby dostępu. Po przypisaniu do roli kontrola dostępu oparta na rolach umożliwia wykonywanie określonych akcji, takich jak odczyt, zapis lub usuwanie. Dlatego jeśli jedno przypisanie roli udziela uprawnień do odczytu do grupy zasobów, a inne przypisanie roli udziela uprawnień do zapisu do tej samej grupy zasobów, użytkownik będzie mieć uprawnienia zarówno do zapisu, jak i odczytu dla tej grupy zasobów.

Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach

Poniżej przedstawiono kilka najlepszych rozwiązań, których należy użyć podczas konfigurowania zasobów:

  • Segreguj obowiązki w zespole i przyznaj użytkownikom tylko dostęp potrzebny do wykonywania swoich zadań. Zamiast przydzielać wszystkim użytkownikom nieograniczone uprawnienia do subskrypcji lub zasobów platformy Azure możesz zezwolić na wykonywanie w określonym zakresie tylko wybranych czynności.
  • Podczas planowania strategii kontroli dostępu udziel użytkownikom uprawnień na najniższym poziomie potrzebnym do wykonania ich zadań.
  • Użyj blokad zasobów, aby upewnić się, że zasoby krytyczne nie są modyfikowane ani usuwane (jak dowiesz się w następnej lekcji).