أفضل الممارسات ل Azure RBAC

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

توضح هذه المقالة بعض أفضل الممارسات لاستخدام التحكم في الوصول المستند إلى دور Azure (Azure RBAC). تستمد أفضل الممارسات هذه من تجربتنا مع Azure RBAC وتجارب العملاء مثلك.

منح الوصول الذي يحتاج إليه المستخدمون فقط

يمكنك فصل المهام داخل فريقك باستخدام Azure RBAC، ومنح المستخدمون مقدار الوصول الذي يحتاجون إليه فقط لأداء وظائفهم. يمكنك السماح بإجراءات محددة لنطاق بعينه فقط، بدلاً من منح الجميع أذونات غير مُقيدة في اشتراك أو موارد Azure الخاصة بك.

يعد من أفضل الممارسات منح المستخدمين أقل امتياز لإنجاز عملهم، عند التخطيط لاستراتيجية التحكم في الوصول. تجنب تكليف أدوار على نطاق أوسع حتى وإن كانت تبدو في البداية أنسب للقيام بها. عند إنشاء أدوار مخصصة، قم فقط بتضمين الأذونات التي يحتاجها المستخدمون. عن طريق تحديد الأدوار والنطاقات، يمكنك تحديد الموارد المُعرّضة للخطر إذا تم اختراق أساس الأمان.

يوضح الرسم التخطيطي التالي النمط المقترح لاستخدام Azure RBAC.

للحصول على معلومات حول كيفية تعيين الأدوار، راجع تعيين أدوار Azure باستخدام مدخل Azure.

الحد من عدد مالكي الاشتراكات

يجب أن يكون لديك 3 مالكي اشتراكات كحد أقصى لتقليل احتمال حدوث خرق من قبل مالك مخترق. يمكن مراقبة هذه التوصية في Microsoft Defender for Cloud. للحصول على توصيات الهوية والوصول الأخرى في Defender for Cloud، راجع توصيات الأمان - دليل مرجعي.

قم باستخدام Microsoft Azure Active Directory Privileged Identity Management

لحماية الحسابات المميزة من الهجمات الإلكترونية الضارة، يمكنك استخدام Azure Active Directory Privileged Identity Management (PIM) لتقليل وقت التعرض للامتيازات وزيادة ظهورك في استخدامها من خلال التقارير والتنبيهات. يساعد PIM على حماية الحسابات المميزة من خلال توفير وصول مميز في الوقت المناسب إلى موارد Azure AD وAzure. يمكن أن يكون الوصول مقيدا بالوقت وبعد ذلك يتم إلغاء الامتيازات تلقائيا.

لمزيد من المعلومات، راجع ما هو Azure AD Privileged Identity Management؟.

تعيين أدوار للمجموعات، وليس للمستخدمين

لجعل تعيينات الأدوار أكثر قابلية للإدارة، تجنب تعيين الأدوار للمستخدمين مباشرة. بدلاً من ذلك، قم بتعيين أدوار للمجموعات. يساعد تعيين الأدوار إلى المجموعات بدلا من المستخدمين أيضا على تقليل عدد تعيينات الأدوار، والتي لها حد أقصى لتعيينات الأدوار لكل اشتراك.

تعيين الأدوار باستخدام معرف الدور الفريد بدلا من اسم الدور

هناك عدة مرات قد يتغير فيها اسم الدور، على سبيل المثال:

• أنت تستخدم دورك المخصص وتقرر تغيير الاسم.
• أنت تستخدم دور معاينة يحتوي على (معاينة) في الاسم. عند تحرير الدور، تتم إعادة تسمية الدور.

حتى إذا تمت إعادة تسمية دور، فلن يتغير معرف الدور. إذا كنت تستخدم البرامج النصية أو التشغيل التلقائي لإنشاء تعيينات الأدوار، فمن أفضل الممارسات استخدام معرف الدور الفريد بدلا من اسم الدور. لذلك، إذا تمت إعادة تسمية دور، فمن المرجح أن تعمل البرامج النصية الخاصة بك.

لمزيد من المعلومات، راجع تعيين دور باستخدام معرف الدور الفريد وAzure PowerShell وتعيين دور باستخدام معرف الدور الفريد وAzure CLI.

الخطوات التالية

• استكشاف أخطاء Azure RBAC وإصلاحها