Explore o gerenciamento de acesso

  • 7 minutos

O gerenciamento de acesso para recursos de nuvem é uma função crítica para qualquer organização que esteja usando a nuvem. O controlo de acesso baseado em funções (RBAC) ajuda-o a gerir quem tem acesso aos recursos do Azure, o que fazem com esses recursos e a que áreas têm acesso. O RBAC é um sistema de autorização criado no Azure Resource Manager que fornece gerenciamento de acesso refinado dos recursos do Azure.

A forma de controlar o acesso a recursos com o RBAC é criar atribuições de funções. Este é um conceito fundamental para compreender de que forma as permissões são impostas. Uma atribuição de função é composta por três elementos: principal de segurança, definição de função e âmbito.

  • Entidade de segurança: uma entidade de segurança é um objeto que representa um usuário, grupo, entidade de serviço ou identidade gerenciada que está solicitando acesso aos recursos do Azure.

    • Usuário: um indivíduo que tem um perfil no Microsoft Entra ID.
    • Grupo: um conjunto de usuários criado no Microsoft Entra ID.
    • Entidade de serviço: uma identidade de segurança usada por aplicativos ou serviços para acessar recursos específicos do Azure. Pode considerá-lo como uma identidade de utilizador (nome de utilizador e palavra-passe ou certificado) para uma aplicação.
    • Identidade gerenciada: uma identidade no Microsoft Entra ID que é gerenciada automaticamente pelo Azure. Normalmente, você usa identidades gerenciadas ao desenvolver aplicativos em nuvem para gerenciar as credenciais de autenticação nos serviços do Azure. Por exemplo, você pode atribuir uma identidade gerenciada a uma Máquina Virtual do Azure para permitir que o software em execução nessa máquina virtual acesse outros recursos do Azure.

  • Definição de função: uma definição de função é uma coleção de permissões. Às vezes é chamado de papel. Uma definição de função lista as operações que podem ser realizadas, por exemplo, ler, escrever e eliminar. As funções podem ser de nível elevado, como proprietário, ou específicas, como leitor de máquina virtual. O Azure inclui várias funções incorporadas que pode utilizar. São apresentadas em seguida quatro funções incorporadas fundamentais. As três primeiras aplicam-se a todos os tipos de recursos.

    • Proprietário: Tem acesso total a todos os recursos, incluindo o direito de delegar acesso a outros.

    • Colaborador: pode criar e gerenciar todos os tipos de recursos do Azure, mas não pode conceder acesso a outros.

    • Leitor: pode exibir recursos existentes do Azure.

    • Administrador de Acesso de Usuário: Permite gerenciar o acesso do usuário aos recursos do Azure.

      Diagrama mostrando a definição de função para uma atribuição de função.

      As restantes funções incorporadas permitem a gestão de recursos específicos do Azure. Por exemplo, a função Contribuidor de Máquina Virtual permite a um utilizador criar e gerir máquinas virtuais. Se as funções internas não atenderem às necessidades específicas da sua organização, você poderá criar suas próprias funções personalizadas para os recursos do Azure.

  • Escopo: Escopo é o conjunto de recursos ao qual o acesso se aplica. Ao atribuir uma função, pode limitar as ações permitidas ao definir um âmbito. No Azure, pode especificar um âmbito a vários níveis: grupo de gestão, subscrição, grupo de recursos ou recurso. Os âmbitos são estruturados numa relação de principal-subordinado.