وصف التحكم في الوصول استناداً إلى الدور في Azure

  • 5 دقائق

عندما يكون لديك العديد من فرق تكنولوجيا المعلومات والهندسة، كيف يمكنك التحكم في مدى وصولهم إلى الموارد في بيئة السحابة خاصتهم؟ ينص مبدأ الامتياز الأقل على أنه يجب عليك منح حق الوصول إلى المستوى المطلوب لإكمال مهمة فقط. إذا كنت بحاجة فقط إلى الوصول للقراءة إلى كائن ثنائي كبير الحجم للتخزين، فيجب منحك حق الوصول للقراءة فقط إلى كائن التخزين الثنائي كبير الحجم هذا. لا ينبغي منح حق الوصول للكتابة إلى هذا الكائن الثنائي كبير الحجم، ولا يجب قراءة الوصول إلى الكائنات الثنائية كبيرة الحجم الأخرى للتخزين. إنها ممارسة أمنية جيدة يجب اتباعها.

ومع ذلك، فإن إدارة هذا المستوى من الأذونات لفريق بأكمله ستصبح مملة. بدلاً من تحديد متطلبات الوصول التفصيلية لكل فرد، ثم تحديث متطلبات الوصول عند إنشاء موارد جديدة أو انضمام أشخاص جدد إلى الفريق، يمكّنك Azure من التحكم في الوصول من خلال التحكم في الوصول المستند إلى الدور في Azure (Azure RBAC).

تقدم Azure أدوارًا مضمّنةً تصف قواعد الوصول الشائعة لموارد السحابة. يمكنك أيضًا تحديد أدوارك. يحتوي كل دور على مجموعة مقترنة من أذونات الوصول التي تتعلق بهذا الدور. عند تعيين أفراد أو مجموعات لدورٍ واحدٍ أو أكثر، فإنهم يتلقون جميع أذونات الوصول المقترنة.

لذلك، إذا قمت بتوظيف مهندس جديد وإضافته إلى مجموعة التحكم في الوصول استناداً إلى الدور في Azure للمهندسين، فسيحصلون تلقائياً على نفس الوصول مثل المهندسين الآخرين في نفس مجموعة التحكم في الوصول استناداً إلى الدور في Azure. وبالمثل، إذا أضفت موارد إضافية وأشرت إلى التحكم في الوصول استناداً إلى الدور في Azure عليها، فسيكون لدى كل شخص في مجموعة التحكم في الوصول استناداً إلى الدور في Azure هذه الأذونات على الموارد الجديدة بالإضافة إلى الموارد الموجودة.

كيف يُطبق التحكم في الوصول استنادًا إلى الدور على الموارد؟

يُطبق التحكم في الوصول استنادًا إلى الدور على النطاق، وهو مورد أو مجموعة من الموارد التي ينطبق عليها هذا الوصول.

يوضح الرسم التخطيطي التالي العلاقة بين الأدوار والنطاقات. قد يتم منح مجموعة الإدارة أو الاشتراك أو مجموعة الموارد دور المالك، لذلك لديهم المزيد من التحكم والسلطة. قد يتم منح المراقب، الذي لا يتوقع منه إجراء أي تحديثات، دور القارئ لنفس النطاق، ما يمكنهم من مراجعة أو مراقبة مجموعة الإدارة أو الاشتراك أو مجموعة الموارد.

A diagram showing scopes and roles. Role and scope combinations map to a specific kind of user or account, such as an observer or an admin.

تشمل النطاقات:

  • مجموعة إدارة (مجموعة من الاشتراكات المتعددة).
  • اشتراك واحد.
  • مجموعة الموارد.
  • مورد واحد.

يوضح المراقبون والمستخدمون الذين يديرون الموارد والمسؤولون والعمليات المؤتمتة أنواع المستخدمين أو الحسابات التي عادةً ما يتم تعيينها لكل من الأدوار المختلفة.

يعد التحكم في الوصول استناداً إلى الدور في Azure تسلسلياً، حيث أنه عندما تمنح حق الوصول في نطاق رئيسي، يتم توريث هذه الأذونات بواسطة جميع النطاقات الفرعية. على سبيل المثال:

  • عند تعيين الدور Owner لمستخدم في نطاق مجموعة الإدارة، يمكن لهذا المستخدم إدارة كل شيء في جميع الاشتراكات داخل مجموعة الإدارة.
  • عند تعيين الدور Reader إلى مجموعة في نطاق الاشتراك، يمكن لأعضاء هذه المجموعة عرض كل مجموعة موارد ومورد ضمن الاشتراك.

كيف يُطبق Azure RBAC؟

يُطبق AZURE RBAC على أي إجراء يُبدأ به مقابل مورد Azure الذي يمر عبر Azure Resource Manager. Resource Manager هي خدمة إدارة تقدم طريقة لتنظيم موارد السحابة خاصتك وتأمينها.

عادةً ما يمكنك الوصول إلى Resource Manager من مدخل Azure وAzure Cloud Shell وAzure PowerShell وCLI Azure. لا يفرض AZURE RBAC أذونات الوصول على مستوى التطبيق أو البيانات. يجب أن يتولى تطبيقك معالجة أمان التطبيق.

يستخدم التحكم في الوصول استناداً إلى الدور نموذج السماح. عند تعيين دور لك، يسمح لك التحكم في الوصول استناداً إلى الدور في Azure بتنفيذ إجراءات ضمن نطاق هذا الدور. إذا منحك تعيين دور واحد أذونات قراءة لمجموعة موارد ويمنحك تعيين دور مختلف أذونات كتابة لمجموعة الموارد نفسها، فلديك إذن أذونات القراءة والكتابة في مجموعة الموارد هذه.