Сведения об управлении доступом

  • 7 мин

Управление доступом к облачным ресурсам является важной функцией для любой организации, используюющей облако. Управление доступом на основе ролей (RBAC) позволяет управлять доступом пользователей к ресурсам Azure, включая настройку разрешений на выполнение операций с этими ресурсами и определением областей доступа. RBAC — это система авторизации на основе Azure Resource Manager, которая обеспечивает широкие возможности управления доступом к ресурсам Azure.

Для управления доступом к ресурсам с помощью RBAC создаются назначения ролей. Это важнейшее понятие. Именно таким образом предоставляются разрешения. Назначение ролей состоит из трех элементов: субъект безопасности, определение роли и область действия.

  • Субъект безопасности: субъект безопасности — это объект, представляющий пользователя, группу, субъект-службу или управляемое удостоверение, запрашивающее доступ к ресурсам Azure.

    • Пользователь: отдельный пользователь, имеющий профиль в идентификаторе Microsoft Entra.
    • Группа: набор пользователей, созданных в идентификаторе Microsoft Entra.
    • Субъект-служба — это идентификатор безопасности, который используется приложениями или службами для доступа к определенным ресурсам Azure. Это что-то вроде удостоверения пользователя (имя пользователя и пароль или сертификат) для приложения.
    • Управляемое удостоверение: удостоверение в идентификаторе Microsoft Entra, которое автоматически управляется Azure. Как правило, управляемые удостоверения используются при разработке облачных приложений. Эти удостоверения нужны для управления учетными данными, которые используются при проверке подлинности в службах Azure. Например, можно назначить управляемое удостоверение виртуальной машине Azure, чтобы разрешить программное обеспечение, работающее в этой виртуальной машине, к другим ресурсам Azure.

  • Определение роли. Определение роли — это набор разрешений. Иногда это называется ролью. В определении роли перечисляются операции, которые можно выполнить, например чтение, запись и удаление. Роль может быть общей, например "Владелец", или более конкретной, например "Модуль чтения виртуальной машины". В Azure есть несколько встроенных ролей. Ниже перечислены четыре основные встроенные роли. Первые три роли охватывают все типы ресурсов.

    • Владелец — имеет полный доступ ко всем ресурсам, включая право делегировать доступ другим пользователям.

    • Участник — может создавать все типы ресурсов Azure и управлять ими, но не может предоставлять доступ другим пользователям.

    • Читатель — может просматривать существующие ресурсы Azure.

    • Администратор доступа пользователей — может управлять доступом пользователей к ресурсам Azure.

      Схема, показывающая определение роли для назначения ролей.

      Остальные встроенные роли разрешают управление определенными ресурсами Azure. Например, роль Участник виртуальных машин позволяет пользователю создавать виртуальные машины и управлять ими. Если встроенные роли не соответствуют потребностям вашей организации, вы можете создать собственные настраиваемые роли для ресурсов Azure.

  • Область. Область предоставляет собой набор ресурсов, к которым предоставляется доступ. При назначении роли можно дополнительно ограничить количество разрешенных действий, определив область. В Azure область действия можно задать на нескольких уровнях: на уровне группы управления, уровне подписки, группы ресурсов или ресурса. Структура областей строится на отношениях "родитель-потомок".