Описание управления доступом на основе ролей Azure
Как можно контролировать доступ к ресурсам в облачной среде при наличии нескольких групп ИТ и разработчиков? Принцип минимальных привилегий означает, что вам следует предоставлять доступ только до уровня, необходимого для выполнения задачи. Если вам нужен только доступ на чтение к большому двоичному объекту хранилища, то к большому двоичному объекту хранилища должен предоставляться только доступ на чтение. Доступ на запись к этому объекту предоставляться не должен, равно как и доступ на чтение к другим большим двоичным объектам хранилища. Это очень ценная рекомендация по обеспечению безопасности.
Однако управлять подобным уровнем разрешений для всей команды было бы трудозатратно. Вместо того чтобы подробно определять требования к доступу для каждого пользователя, а затем изменять их при создании новых ресурсов или добавлении в команду новых участников, Azure позволяет управлять доступом с помощью управления доступом на основе ролей Azure (Azure RBAC).
Azure предоставляет встроенные роли, описывающие общие правила доступа для облачных ресурсов. Кроме того, вы можете определять собственные роли. Каждая роль имеет набор прав доступа, связанных с этой ролью. При назначении одной или нескольких ролей отдельным пользователям или группам они получают все связанные разрешения на доступ.
Поэтому если вы нанимаете нового инженера и добавляете его в группу Azure RBAC для инженеров, он автоматически получает тот же доступ, что и другие инженеры в той же группе Azure RBAC. Аналогично, если добавить дополнительные ресурсы и настроить для них Azure RBAC, все участники соответствующей группы Azure RBAC получат аналогичные разрешения как для новых, так и для существующих ресурсов.
Как управление доступом на основе ролей применяется к ресурсам?
Управление доступом на основе ролей применяется к области, которая представляет собой ресурс или набор ресурсов.
На следующей схеме показана связь между ролями и областями. Группе управления, подписке или группе ресурсов может быть предоставлена роль владельца, поэтому они увеличили контроль и полномочия. Наблюдателю, который, как ожидается, не будет вносить какие-либо изменения, можно предоставить роль читателя для той же области, что позволит просматривать группу управления, подписку или группу ресурсов либо наблюдать за ними.
К областям относятся:
- Группа управления (коллекция нескольких подписок).
- Одна подписка.
- Группа ресурсов.
- Один ресурс.
Наблюдатели, пользователи, управляющие ресурсами, администраторы и автоматизированные процессы — это типы пользователей или учетных записей, которым обычно назначаются разные роли.
Azure RBAC имеет иерархическую структуру, поэтому при предоставлении доступа в родительской области дочерние области наследуют эти разрешения. Например:
- При назначении роли Владелец пользователю в области группы управления этот пользователь может управлять всем содержимым во всех подписках в рамках группы управления.
- При назначении роли Читатель группе в области подписки члены этой группы могут просматривать все группы ресурсов и ресурсы в рамках подписки.
Как применяется Azure RBAC?
Azure RBAC применяется при любом действии, инициированном для ресурса Azure, которое проходит через Azure Resource Manager. Resource Manager — это служба управления, позволяющая организовывать и защищать облачные ресурсы.
Обычно для доступа к Resource Manager используется портал Azure, Azure Cloud Shell, Azure PowerShell и Azure CLI. Azure RBAC не применяет права доступа на уровне приложения или данных. Безопасность приложений должна обрабатываться приложением.
Azure RBAC использует модель разрешения. При назначении роли Azure RBAC позволяет выполнять действия в области этой роли. Если одна назначенная роль дает вам разрешения на чтение для группы ресурсов, а другая — разрешения на запись для этой же группы, у вас будут разрешения и на чтение, и на запись.