خطوات تعيين دور Azure

  • مقالة
  • قراءة خلال 4 دقائق

Azure role based access control (Azure RBAC) هو نظام التخويل الذي تستخدمه لإدارة الوصول إلى موارد Azure. لمنح حق الوصول، يمكنك تعيين أدوار للمستخدمين أو المجموعات أو كيانات الخدمة أو الهويات المدارة في نطاق معين. توضح هذه المقالة الخطوات عالية المستوى لتعيين أدوار Azure باستخدام مدخل Azure أو Azure PowerShell أو Azure CLIأوواجهة برمجة تطبيقات REST.

الخطوة 1: تحديد من يحتاج إلى الوصول

تحتاج أولا إلى تحديد من يحتاج إلى الوصول. يمكنك تعيين دور لمستخدم أو مجموعة أو أصل خدمة أو هوية مدارة. وهذا ما يسمى أيضا مبدأ الأمن.

Security principal for a role assignment

  • ⁧⁩المستخدم⁧⁩ - هو فرد لديه ملف تعريفي في Azure Active Directory. يمكنك أيضا تعيين أدوار للمستخدمين في مستأجرين آخرين. للحصول على معلومات حول المستخدمين في المؤسسات الأخرى، راجع Azure Active Directory B2B.
  • ⁧⁩المجموعة⁧⁩ - مجموعة من المستخدمين الذين تم إنشاؤهم في Azure Active Directory. عند تعيين دور لمجموعة ما، يكون لجميع المستخدمين داخل هذه المجموعة هذا الدور.
  • ⁧⁩أساس الأمان⁧⁩ - هوية أمان تستخدمها التطبيقات أو الخدمات للوصول إلى بعض موارد Azure. يمكنك التفكير فيها كهوية مستخدم (اسم مستخدم وكلمة مرور أو شهادة) لأحد التطبيقات.
  • ⁧⁩الهوية المدارة⁧⁩ - هوية في Azure Active Directory التي تتولى Azure إدارتها تلقائيًا عادة ما تستخدم الهويات المدارة عند تطوير تطبيقات السحابة لإدارة بيانات الاعتماد للمصادقة على خدمات Azure.

الخطوة 2: حدد الدور المناسب

يتم تجميع الأذونات معا في تعريف دور. عادةً ما تسمىدور. يمكنك الاختيار من قائمة تضم العديد من الأدوار المضمنة. إذا كانت الأدوار المضمنة لا تفي بالاحتياجات المحددة لمؤسستك، يمكنك إنشاء أدوار مخصصة خاصة بك.

Role definition for a role assignment

فيما يلي أربعة أدوار مضمنة أساسية. يتم تطبيق الأدوار الثلاثة الأولى على كافة أنواع الموارد.

  • ⁩المالك⁧⁩ - يتمتع بالوصول الكامل إلى كافة الموارد بما في ذلك الحق في تفويض حق الوصول للآخرين.
  • المساهم - يمكنه إنشاء جميع أنواع موارد Azure وإدارتها، لكن لا يمكنه منح حق الوصول للآخرين.
  • ⁩القارئ⁧⁩ - يمكنه استعراض موارد Azure الحالية.
  • ⁩مسؤول وصول المستخدم⁧⁩ - يتيح لك إدارة وصول المستخدم إلى موارد Azure.

تسمح بقية الأدوار المضمنة بإدارة بعض موارد Azure. على سبيل المثال: يسمح دور Virtual Machine Contributorللمستخدم بإنشاء الأجهزة الظاهرية وإدارتها.

  1. ابدأ بالمقالة الشاملة، أدوار Azure المضمنة. الجدول الموجود أعلى المقالة هو فهرس في التفاصيل لاحقا في المقالة.

  2. في هذه المقالة، انتقل إلى فئة الخدمة (مثل الحوسبة والتخزين وقواعد البيانات) للمورد الذي تريد منح الأذونات له. أسهل طريقة للعثور على ما تبحث عنه هي عادة البحث في الصفحة عن كلمة رئيسية ذات صلة ، مثل "blob" و "الجهاز الظاهري" وما إلى ذلك.

  3. راجع الأدوار المدرجة لفئة الخدمة وحدد الإجراءات المحددة التي تحتاجها. مرة أخرى ، ابدأ دائما بالدور الأكثر تقييدا.

    على سبيل المثال، إذا كان مدير الأمان بحاجة إلى قراءة النقاط في حساب تخزين Azure، ولكنه لا يحتاج إلى الوصول إلى الكتابة، فاختر قارئ بيانات نقطة التخزين بدلا من مساهم بيانات نقطة التخزين (وبالتأكيد ليس دور مالك بيانات نقطة التخزين على مستوى المسؤول). يمكنك دائما تحديث تعيينات الأدوار لاحقا حسب الحاجة.

  4. إذا لم تعثر على دور مناسب، يمكنك إنشاء دور مخصص.

الخطوة 3: تحديد النطاق المطلوب

النطاق هو مجموعة الموارد التي ينطبق عليها الوصول. في Azure، يمكنك تحديد نطاق على أربعة مستويات: مجموعة الإدارة والاشتراك ومجموعة الموارد والمورد. تُنظم النطاقات في علاقة أصل-فرعي. كل مستوى من التسلسل الهرمي يجعل النطاق أكثر تحديدا. يُمكنك تعيين أدوار على جميع مستويات النطاق. يحدد المستوى الذي تحدده مدى تطبيق الدور. ترث المستويات الدنيا أذونات الدور من المستويات الأعلى.

Scope for a role assignment

عند تعيين دور في نطاق أصلي، يتم توريث هذه الأذونات إلى النطاقات الفرعية. على سبيل المثال:

  • إذا قمت بتعيين دور القارئ لمستخدم في نطاق مجموعة الإدارة، فيمكن لهذا المستخدم قراءة كل شيء في جميع الاشتراكات في مجموعة الإدارة.
  • إذا قمت بتعيين دور قارئ الفوترة لمجموعة في نطاق الاشتراك، فيمكن لأعضاء هذه المجموعة قراءة بيانات الفوترة لكل مجموعة موارد ومورد في الاشتراك.
  • إذا قمت بتعيين دور المساهم إلى تطبيق في نطاق مجموعة الموارد، فيمكنه إدارة الموارد من جميع الأنواع في مجموعة الموارد هذه، ولكن ليس مجموعات الموارد الأخرى في الاشتراك.

من أفضل الممارسات منح مديري الأمن أقل امتياز يحتاجونه لأداء عملهم. تجنب تعيين أدوار أوسع في نطاقات أوسع حتى لو بدا ذلك في البداية أكثر ملاءمة. عن طريق تحديد الأدوار والنطاقات، يمكنك تحديد الموارد المُعرّضة للخطر إذا تم اختراق أساس الأمان. لمزيد من المعلومات، راجع فهم النطاق.

الخطوة 4. تحقق من المتطلبات الأساسية الخاصة بك

لتعيين الأدوار، يجب تسجيل الدخول باستخدام مستخدم تم تعيين دور له إذن كتابة تعيينات الأدوار، مثل المالك أو مسؤول وصول المستخدم في النطاق الذي تحاول تعيين الدور فيه. وبالمثل، لإزالة تعيين دور، يجب أن يكون لديك إذن حذف تعيينات الأدوار.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

إذا لم يكن لدى حساب المستخدم الخاص بك إذن لتعيين دور داخل اشتراكك، فستظهر لك رسالة خطأ تفيد بأن حسابك "ليس لديه تفويض لتنفيذ الإجراء 'Microsoft.Authorization/roleAssignments/write'." في هذه الحالة، اتصل بمسؤولي اشتراكك حيث يمكنهم تعيين الأذونات نيابة عنك.

إذا كنت تستخدم مبدأ خدمة لتعيين أدوار، فقد تظهر لك رسالة الخطأ "امتيازات غير كافية لإكمال العملية". من المحتمل أن يكون هذا الخطأ لأن Azure يحاول البحث عن هوية المحال إليه في Azure Active Directory (Azure AD) ولا يمكن لمدير الخدمة قراءة Azure AD بشكل افتراضي. في هذه الحالة ، تحتاج إلى منح أذونات الخدمة الأساسية لقراءة البيانات في الدليل. بدلا من ذلك، إذا كنت تستخدم Azure CLI، فيمكنك إنشاء تعيين الدور باستخدام معرف كائن المحال إليه لتخطي بحث Azure AD. للحصول على مزيدٍ من المعلومات، راجع استكشاف أخطاء Azure RBAC وإصلاحها.

الخطوة 5. تعيين دور

بمجرد معرفة مبدأ الأمان والدور والنطاق، يمكنك تعيين الدور. يمكنك تعيين الأدوار باستخدام مدخل Azure أو Azure PowerShell أو Azure CLI أو Azure SDKs أو واجهات برمجة تطبيقات REST.

يمكنك الحصول على ما يصل إلى 2000 تعيين دور في كل اشتراك. يتضمن هذا الحد تعيينات الأدوار في الاشتراك ومجموعة الموارد ونطاقات الموارد. يمكنك الحصول على ما يصل إلى 500 تعيين دور في كل مجموعة إدارة. يتم حاليًا زيادة حد تعيينات الأدوار للاشتراك. للحصول على مزيدٍ من المعلومات، راجع استكشاف أخطاء Azure RBAC وإصلاحها.

راجع المقالات التالية للحصول على خطوات مفصلة حول كيفية تعيين الأدوار.

الخطوات التالية