使用角色型存取控制保護資源
實作 Azure 原則,確保擁有 Azure 存取權的所有員工都會遵循建立資源的內部標準,但我們有另一個需要解決的問題:該如何保護那些已經部署的資源? 我們擁有需要管理設定的 IT 人員、需要有唯讀存取權的開發人員,以及需要能夠完全控制他們的系統管理員。 進入角色型存取控制 (RBAC)。
RBAC 會針對 Azure 資源提供細部的存取管理,讓您能夠為使用者授與執行其作業所需的特定權限。 RBAC 被視為核心服務,且免費隨附於所有訂用帳戶層級。
您可以使用 RBAC:
- 允許一位使用者管理訂閱的 VM,另一位使用者管理虛擬網路。
- 允許資料庫管理員 (DBA) 群組管理訂用帳戶中的 SQL 資料庫。
- 允許使用者管理資源群組中的所有資源,例如 VM、網站和虛擬子網路。
- 允許應用程式存取資源群組中的所有資源。
若要檢視存取權限,在 Azure 入口網站中,使用資源的 [存取控制 (IAM)] 面板。 在此面板上,您能夠判斷誰可以存取某個區域及其指派的角色。 您也可以使用這個相同的面板,授與或移除存取權。
RBAC 定義存取的方式
RBAC 會使用允許模型進行存取。 當您獲指派角色時,RBAC「允許」您執行特定動作,例如讀取、寫入或刪除。 因此,如果有一個角色指派會為您授與對資源群組的讀取權限,而另一個角色指派會為您授與對相同資源群組的寫入權限,您將同時擁有該資源群組的讀取與寫入權限。
RBAC 的最佳做法
以下是設定資源時應該使用的一些最佳做法:
- 區隔小組內的職責,而僅授與使用者執行作業所需的存取權。 您可以僅允許在特定範圍執行特定動作,而不要在您 Azure 訂用帳戶或資源中為每個人授與無限制的權限。
- 規劃存取控制策略時,請授與使用者完成工作所需的最低權限等級。
- 使用 [資源鎖定],以確保重要資源不會遭到修改或刪除 (您將在下一個單元進行了解)。