Eksplorowanie zarządzania dostępem

  • 7 min

Zarządzanie dostępem do zasobów w chmurze jest krytyczną funkcją dla każdej organizacji korzystającej z chmury. Kontrola dostępu oparta na rolach ułatwia zarządzanie osobami mającymi dostęp do zasobów platformy Azure, czynnościami, jakie mogą wykonywać, oraz obszarami, do których mają dostęp. Kontrola dostępu oparta na rolach stanowi system autoryzacji oparty na usłudze Azure Resource Manager, umożliwiający szczegółowe zarządzanie dostępem do zasobów platformy Azure.

Jeśli korzystasz z kontroli dostępu opartej na rolach, sterowanie dostępem polega na tworzeniu przypisań ról. To kluczowa koncepcja, opisująca sposób egzekwowania uprawnień. Przypisanie roli składa się z trzech elementów: podmiotu zabezpieczeń, definicji roli i zakresu.

  • Podmiot zabezpieczeń: podmiot zabezpieczeń jest obiektem reprezentującym użytkownika, grupę, jednostkę usługi lub tożsamość zarządzaną żądającą dostępu do zasobów platformy Azure.

    • Użytkownik: osoba, która ma profil w usłudze Microsoft Entra ID.
    • Grupa: zestaw użytkowników utworzonych w usłudze Microsoft Entra ID.
    • Jednostka usługi: tożsamość zabezpieczeń używana przez aplikacje lub usługi do uzyskiwania dostępu do określonych zasobów platformy Azure. Można traktować ją jako odpowiednik tożsamości użytkownika (nazwy użytkownika i hasła lub certyfikatu) w przypadku aplikacji.
    • Tożsamość zarządzana: tożsamość w identyfikatorze Entra firmy Microsoft, która jest automatycznie zarządzana przez platformę Azure. Tożsamości zarządzanych używa się zazwyczaj podczas tworzenia aplikacji w chmurze w celu zarządzania poświadczeniami do uwierzytelniania w usługach platformy Azure. Można na przykład przypisać tożsamość zarządzaną do maszyny wirtualnej platformy Azure, aby umożliwić oprogramowanie uruchomione na tej maszynie wirtualnej dostęp do innych zasobów platformy Azure.

  • Definicja roli: Definicja roli jest kolekcją uprawnień. Czasami jest nazywana rolą. Definicja roli określa dozwolone operacje, takie jak odczyt, zapis i usuwanie. Role mogą być ogólne, na przykład „właściciel”, lub szczegółowe, na przykład „czytelnik maszyny wirtualnej”. Na platformie Azure można korzystać z kilku ról wbudowanych. Poniżej wymieniono cztery podstawowe role wbudowane. Pierwsze trzy są stosowane do wszystkich typów zasobów.

    • Właściciel: ma pełny dostęp do wszystkich zasobów, w tym prawa do delegowania dostępu do innych osób.

    • Współautor: może tworzyć wszystkie typy zasobów platformy Azure i zarządzać nimi, ale nie może udzielać dostępu innym osobom.

    • Czytelnik: może wyświetlać istniejące zasoby platformy Azure.

    • Administrator dostępu użytkowników: umożliwia zarządzanie dostępem użytkowników do zasobów platformy Azure.

      Diagram przedstawiający definicję roli dla przypisania roli.

      Pozostałe role wbudowane umożliwiają zarządzanie określonymi zasobami platformy Azure. Na przykład rola współautora maszyny wirtualnej umożliwia użytkownikowi tworzenie maszyn wirtualnych i zarządzanie nimi. Jeśli role wbudowane nie spełniają potrzeb Twojej organizacji, możesz tworzyć własne role niestandardowe dla zasobów platformy Azure.

  • Zakres: zakres to zestaw zasobów, do których ma zastosowanie dostęp. Podczas przypisywania roli można dodatkowo ograniczyć dozwolone akcje przez zdefiniowanie zakresu. Na platformie Azure można określić zakres na różnych poziomach: grupy zarządzania, subskrypcji, grupy zasobów lub zasobu. Zakresy mają strukturę opartą na relacji nadrzędny-podrzędny.