Co to jest kontrola RBAC na platformie Azure?

8 min

Jeśli chodzi o tożsamość i dostęp, dla większości organizacji, które rozważają korzystanie z chmury publicznej, istotne są dwie kwestie:

Zapewnienie, że pracownicy po odejściu z organizacji stracą dostęp do zasobów w chmurze.
Osiągnięcie właściwej równowagi między autonomią a centralnym zarządzaniem; na przykład dając zespołom projektu możliwość tworzenia maszyn wirtualnych i zarządzania nimi w chmurze, jednocześnie centralnie kontrolując sieci używane przez te maszyny wirtualne do komunikowania się z innymi zasobami.

Microsoft Entra ID i Azure role-based access control (Azure RBAC) współpracują ze sobą, aby ułatwić realizację tych celów.

Subskrypcje platformy Azure

Najpierw należy pamiętać, że każda subskrypcja platformy Azure jest skojarzona z jednym katalogiem Microsoft Entra. Użytkownicy, grupy i aplikacje w tym katalogu mogą zarządzać zasobami w subskrypcji platformy Azure. Subskrypcje korzystają z identyfikatora Microsoft Entra ID na potrzeby logowania jednokrotnego i zarządzania dostępem. Możesz rozszerzyć lokalna usługa Active Directory na chmurę przy użyciu programu Microsoft Entra Connect. Ta funkcja umożliwia pracownikom zarządzanie subskrypcjami platformy Azure przy użyciu istniejących tożsamości służbowych. Po wyłączeniu konta lokalna usługa Active Directory automatycznie utraci dostęp do wszystkich subskrypcji platformy Azure połączonych z identyfikatorem Entra firmy Microsoft.

Co to jest kontrola dostępu oparta na rolach platformy Azure?

Kontrola dostępu oparta na rolach platformy Azure (Azure RBAC) to system autoryzacji oparty na usłudze Azure Resource Manager, który zapewnia szczegółowe zarządzanie dostępem dla zasobów na platformie Azure. Dzięki kontroli dostępu na podstawie ról platformy Azure możesz udzielić użytkownikom dokładnie takiego dostępu, jakiego potrzebują do swojej pracy. Przy użyciu kontroli dostępu na podstawie ról platformy Azure możesz na przykład zezwolić jednemu pracownikowi na zarządzanie maszynami wirtualnymi w subskrypcji, podczas gdy inny zarządza bazami danych SQL w ramach tej samej subskrypcji.

W poniższym wideo opisano szczegółowo kontrolę dostępu opartą na rolach platformy Azure:

Dostęp można udzielić, przypisując odpowiednią rolę platformy Azure użytkownikom, grupom i aplikacjom w określonym zakresie. Zakres przypisania roli może być grupą zarządzania, subskrypcją, grupą zasobów lub pojedynczym zasobem. Rola przypisana w zakresie nadrzędnym powoduje udzielenie dostępu także w zawartych w nim zakresach podrzędnych. Na przykład użytkownik z dostępem do grupy zasobów może zarządzać wszystkimi zasobami zawartymi w tej grupie, takimi jak witryny, maszyny wirtualne i podsieci. Przypisana rola platformy Azure określa, jakimi zasobami użytkownik, grupa lub aplikacja może zarządzać w obrębie tego zakresu.

Na poniższym diagramie przedstawiono, jak role klasycznego administratora subskrypcji, role platformy Azure i role firmy Microsoft Entra są powiązane na wysokim poziomie. Role przypisane na wyższym poziomie, na przykład dla całej subskrypcji, są dziedziczone przez poziomy podrzędne, takie jak wystąpienia usług.

Diagram przedstawiający sposób, w jaki klasyczne role administratora subskrypcji, role platformy Azure i role firmy Microsoft Entra są powiązane na wysokim poziomie.

Na powyższym diagramie subskrypcja jest skojarzona tylko z jedną dzierżawą firmy Microsoft Entra. Należy również pamiętać, że grupa zasobów może mieć wiele zasobów, ale jest skojarzona tylko z jedną subskrypcją. Chociaż nie jest oczywiste na diagramie, zasób może być powiązany tylko z jedną grupą zasobów.

Co mogę zrobić dzięki kontroli dostępu na podstawie ról platformy Azure?

Kontrola dostępu na podstawie ról platformy Azure umożliwia udzielanie dostępu do zasobów platformy Azure, które kontrolujesz. Załóżmy, że masz zarządzać dostępem deweloperów, inżynierów i zespołów marketingowych do zasobów na platformie Azure. Zaczęły nadchodzić żądania dostępu i musisz szybko nauczyć się, jak działa zarządzanie dostępem w przypadku zasobów platformy Azure.

Poniżej przedstawiono kilka scenariuszy, które można zaimplementować za pomocą kontroli dostępu opartej na rolach platformy Azure:

Zezwalanie jednemu użytkownikowi na zarządzanie maszynami wirtualnymi w ramach subskrypcji, a innemu na zarządzanie sieciami wirtualnymi
Zezwalanie grupie administratorów baz danych na zarządzanie bazami danych SQL w ramach subskrypcji
Zezwalanie użytkownikowi na zarządzanie wszystkimi zasobami w grupie zasobów, w tym maszynami wirtualnymi, witrynami internetowymi i podsieciami
Zezwalanie aplikacji na dostęp do wszystkich zasobów w grupie zasobów

Kontrola dostępu na podstawie ról platformy Azure w witrynie Azure Portal

W kilku obszarach w witrynie Azure Portal zostanie wyświetlone okienko o nazwie Kontrola dostępu (Zarządzanie dostępem i tożsamościami), znane również jako zarządzanie tożsamościami i dostępem. W tym okienku możesz zobaczyć użytkowników z dostępem do danego obszaru oraz ich role. Przy użyciu tego samego okienka można udzielić dostępu lub odebrać go.

Poniżej przedstawiono przykład okienka Kontrola dostępu (IAM) dla grupy zasobów. W tym przykładzie użytkownik Alain ma przypisaną rolę Operator kopii zapasowej dla tej grupy zasobów.

Zrzut ekranu witryny Azure Portal przedstawiający okienko Przypisywanie roli kontroli dostępu z wyróżnioną sekcją Operator kopii zapasowej.

Jak działa kontrola dostępu na podstawie ról platformy Azure?

Dostęp do zasobów można kontrolować przy użyciu kontroli dostępu opartej na rolach platformy Azure, tworząc przypisania ról, które kontrolują sposób wymuszania uprawnień. Aby utworzyć przypisanie roli, musisz mieć trzy elementy: podmiot zabezpieczeń, definicję roli i zakres. Możesz traktować te elementy jako odpowiedzi na pytania „kto”, „co” i „gdzie”.

1. Podmiot zabezpieczeń (kto)

Podmiot zabezpieczeń to tylko fantazyjna nazwa użytkownika, grupy lub aplikacji, do której chcesz udzielić dostępu.

Ilustracja przedstawiająca podmiot zabezpieczeń, w tym użytkownika, grupę i jednostkę usługi.

2. Definicja roli (co można zrobić)

Definicja roli to kolekcja uprawnień. Czasami jest nazywana po prostu rolą. Definicja roli zawiera listę uprawnień, które może wykonywać rola, takich jak odczyt, zapis i usuwanie. Role mogą być ogólne, na przykład „Właściciel”, lub szczegółowe, na przykład „Współautor maszyny wirtualnej”.

Ilustracja z listą różnych wbudowanych i niestandardowych ról, z powiększeniem definicji roli współautora.

Na platformie Azure można korzystać z kilku ról wbudowanych. Poniżej wymieniono cztery podstawowe role wbudowane:

Właściciel: ma pełny dostęp do wszystkich zasobów, w tym prawo do delegowania dostępu do innych osób
Współautor: może tworzyć wszystkie typy zasobów platformy Azure i zarządzać nimi, ale nie może udzielać dostępu innym osobom
Czytelnik: może wyświetlać istniejące zasoby platformy Azure
Administrator dostępu użytkowników: umożliwia zarządzanie dostępem użytkowników do zasobów platformy Azure

Jeśli role wbudowane nie spełniają potrzeb Twojej organizacji, możesz tworzyć własne role niestandardowe.

3. Zakres (gdzie)

Zakres to poziom, na którym ma zastosowanie dostęp. Jest to przydatne na przykład wówczas, gdy chcesz przypisać użytkownikowi rolę współautora witryny internetowej, ale tylko w jednej grupie zasobów.

Na platformie Azure można określić zakres na różnych poziomach: grupy zarządzania, subskrypcji, grupy zasobów lub zasobu. Zakresy mają strukturę opartą na relacji nadrzędny-podrzędny. Gdy udzielisz dostępu w zakresie nadrzędnym, te uprawnienia są dziedziczone przez zakresy podrzędne. Jeśli na przykład przypiszesz rolę Współautor do grupy w zakresie subskrypcji, ta rola będzie dziedziczona przez wszystkie grupy zasobów i zasoby w subskrypcji.

Ilustracja przedstawiająca hierarchiczną reprezentację różnych poziomów platformy Azure w celu zastosowania zakresu. Hierarchia, począwszy od najwyższego poziomu, jest w następującej kolejności: grupa zarządzania, subskrypcja, grupa zasobów i zasób.

Przypisanie roli

Po ustaleniu „kto, co i gdzie” możesz połączyć te elementy w celu udzielenia dostępu. Przypisanie roli to proces powiązania roli z podmiotem zabezpieczeń w określonym zakresie w celu udzielenia dostępu. Aby udzielić dostępu, utworzysz przypisanie roli. Aby odwołać dostęp, usuniesz przypisanie roli.

Poniższy przykład pokazuje przypisanie roli Współautor do grupy Marketing w zakresie grupy zasobów sprzedaży.

Ilustracja przedstawiająca przykładowy proces przypisywania roli dla grupy Marketing, która jest kombinacją podmiotu zabezpieczeń, definicji roli i zakresu. Grupa Marketing znajduje się w obszarze Podmiot zabezpieczeń grupy i ma przypisaną rolę Współautor dla zakresu Grupy zasobów.

Kontrola dostępu na podstawie ról platformy Azure to model zezwalania

Kontrola dostępu oparta na rolach platformy Azure to model zezwalania. Oznacza to, że po przypisaniu roli kontrola dostępu oparta na rolach platformy Azure umożliwia wykonywanie określonych akcji, takich jak odczyt, zapis lub usuwanie. Dlatego jeśli jedno przypisanie roli udziela uprawnień do odczytu do grupy zasobów, a inne przypisanie roli przyznaje uprawnienia do zapisu do tej samej grupy zasobów, będziesz mieć uprawnienia do odczytu i zapisu w tej grupie zasobów.

Kontrola dostępu na podstawie ról platformy Azure obejmuje tzw. uprawnienia NotActions. Możesz użyć NotActions polecenia , aby utworzyć zestaw niedozwolonych uprawnień. Dostęp do roli przyznaje — skuteczne uprawnienia — jest obliczany przez odejmowanie NotActions operacji z Actions operacji. Na przykład rola Współautor ma zarówno element Actions, jak i NotActions. Symbol wieloznaczny (*) w elemencie Actions wskazuje, że może wykonywać wszystkie operacje na płaszczyźnie sterowania. Następnie należy odjąć następujące operacje, NotActions aby obliczyć obowiązujące uprawnienia:

Usuń role i przypisania ról
Utwórz role i przypisania ról
Udzielanie użytkownikowi wywołującego dostępu administratora dostępu użytkowników w zakresie dzierżawy
Utwórz lub zaktualizuj wszelkie artefakty strategii
Usuń wszelkie artefakty strategii