Skydda dina resurser med rollbaserad åtkomstkontroll

  • 5 minuter

Implementeringen av Azure Policy säkerställde att alla våra anställda med Azure-åtkomst följer våra interna standarder för att skapa resurser, men vi har ett andra problem som vi måste lösa: hur skyddar vi dessa resurser när de har distribuerats? Vi har IT-personal som behöver hantera inställningar, utvecklare som behöver skrivskyddad åtkomst och administratörer som behöver kunna kontrollera dem helt. Ange rollbaserad åtkomstkontroll (RBAC).

RBAC tillhandahåller detaljerad åtkomsthantering för Azure-resurser, så att du kan ge användarna de specifika rättigheter de behöver för att utföra sina jobb. RBAC räknas som en kärntjänst och ingår i alla prenumerationsnivåer utan kostnad.

Med RBAC kan du göra följande:

  • Låt en användare hantera virtuella datorer i en prenumeration och en annan användare hantera virtuella nätverk.
  • Tillåt en databasadministratörsgrupp (DBA) att hantera SQL-databaser i en prenumeration.
  • Tillåt en användare att hantera alla resurser i en resursgrupp, till exempel virtuella datorer, webbplatser och virtuella undernät.
  • Tillåt att ett program får åtkomst till alla resurser i en resursgrupp.

Använd panelen Åtkomstkontroll (IAM) för resursen i Azure-portalen. I den här panelen kan du avgöra vem som kan komma åt ett område och deras tilldelade roll. I samma panel kan du också bevilja eller ta bort åtkomst.

Skärmbild av fönstret för åtkomstkontroll i Azure-portalen – Rolltilldelning, som visar rollen säkerhetskopieringsoperatör och faktureringsläsare som har tilldelats olika användare.

Hur RBAC definierar åtkomst

RBAC använder en tillståndsmodell för åtkomst. När du har tilldelats en roll kan du med RBAC utföra specifika åtgärder, till exempel läsa, skriva eller ta bort. Så om en rolltilldelning ger dig läsbehörighet till en resursgrupp och en annan rolltilldelning ger dig skrivbehörighet till samma resursgrupp, kommer du att ha både läs- och skrivbehörigheter i den resursgruppen.

God praxis för RBAC

Här följer några metodtips som du bör använda när du konfigurerar resurser:

  • Separera uppgifter inom ditt team och bevilja användarna endast den mängd åtkomst som de behöver för att utföra sina jobb. I stället för att ge alla obegränsad behörighet i din Azure-prenumeration eller dina resurser kan du tillåta enbart vissa åtgärder i ett visst omfång.
  • När du planerar strategin för åtkomstkontroll ska du ge användarna den lägsta behörighetsnivå de behöver för att utföra sitt arbete.
  • Använd Resurslås för att se till att viktiga resurser inte ändras eller tas bort (som du lär dig i nästa lektion).