ما هو Azure RBAC؟

8 دقائق

عندما يتعلق الأمر بالهوية والوصول، فإن معظم المؤسسات التي تفكر في استخدام السحابة العامة تشعر بالقلق إزاء أمرين:

ضمان أنه عندما يغادر الأشخاص المؤسسة، فإنهم يفقدون الوصول إلى الموارد في السحابة.
تحقيق التوازن الصحيح بين الحكم الذاتي والحوكمة المركزية - على سبيل المثال، منح فرق المشروع القدرة على إنشاء وإدارة الأجهزة الظاهرية في السحابة مع التحكم مركزيًا في الشبكات التي تستخدمها الأجهزة الظاهرية للتواصل مع الموارد الأخرى.

يعمل Microsoft Azure Active Directory‏ (Azure AD) والتحكم في الوصول استنادًا إلى الدور من Azure‏ (Azure RBAC) معًا لجعل تنفيذ هذه الأهداف بسيطًا.

اشتراكات Azure

أولاً، تذكر أن كل اشتراك Azure مقترن بدليل Microsoft Azure AD واحد. ويمكن للمستخدمين والمجموعات والتطبيقات في هذا الدليل إدارة الموارد في اشتراك Azure. وتستخدم الاشتراكات Microsoft Azure AD لتسجيل الدخول الأحادي (SSO) وإدارة الوصول. ويمكنك توسيع Active Directory المحلي الخاص بك إلى السحابة باستخدام ⁧⁩Azure AD Connect⁧⁩. وتسمح هذه الميزة للموظفين بإدارة اشتراكات Azure الخاصة بهم باستخدام هويات العمل الحالية. عند تعطيل حساب «Active Directory» المحلي، فإنه يفقد تلقائيًا الوصول إلى كافة اشتراكات Azure المتصلة بـ Azure AD.

يعد التحكم في الوصول استنادًا إلى الدور في Azure‏ (Azure RBAC) نظام تفويض تم إنشاؤه على Azure Resource Manager الذي يوفر إدارة وصول دقيقة للموارد في Azure. باستخدام Azure RBAC، يمكنك منح حق الوصول الدقيق الذي يحتاجه المستخدمون للقيام بعملهم. على سبيل المثال، يمكنك استخدام Azure RBAC للسماح لأحد الموظفين بإدارة الأجهزة الظاهرية في اشتراك بينما يدير موظف آخر قواعد بيانات SQL ضمن نفس الاشتراك.

ما هو التحكم في الوصول استنادًا إلى الدور في Azure؟

يمكنك منح حق الوصول عن طريق تعيين دور Azure المناسب للمستخدمين والمجموعات والتطبيقات في نطاق معين. يمكن أن يكون نطاق تعيين الدور مجموعة إدارة أو اشتراك أو مجموعة موارد أو مورد واحد. كما يمنح الدور المعين في نطاق أصل الوصول إلى النطاقات التابعة الموجودة فيه. على سبيل المثال، يُدير المستخدم الذي لديه حق الوصول إلى مجموعة موارد كافة الموارد التي تحتوي عليها المجموعة مثل مواقع الويب والأجهزة الظاهرية والشبكات الفرعية. ويقوم دور Azure الذي تقوم بتعيينه بإملاء الموارد التي يمكن للمستخدم أو المجموعة أو التطبيق إدارتها ضمن هذا النطاق.

يوضح الرسم التخطيطي التالي كيفية ارتباط أدوار مسؤول الاشتراك التقليدي وأدوار Azure وأدوار Microsoft Azure AD بالمستوى العالي. تُورث الأدوار المعينة في نطاق أعلى، مثل كامل الاشتراك، بواسطة النطاقات الفرعية، مثل مثيلات الخدمة.

Diagram that depicts how the classic subscription administrator roles, Azure roles, and Azure AD roles are related at a high level.

في الرسم التخطيطي السابق، يقترن الاشتراك بمستأجر Microsoft Azure AD واحد فقط. لاحظ أيضًا أن مجموعة الموارد يمكن أن تكون لها موارد متعددة ولكنها مرتبطة باشتراك واحد فقط. على الرغم من عدم وضوحه في الرسم التخطيطي، يمكن ربط مورد بمجموعة موارد واحدة فقط.

ماذا يمكنني أن أفعل باستخدام Azure RBAC؟

يسمح لك Azure RBAC بمنح حق الوصول إلى موارد Azure التي تتحكم فيها. لنفترض أنك تحتاج إلى إدارة الوصول إلى الموارد في Azure لفرق التطوير والهندسة والتسويق. لقد بدأت في تلقي طلبات الوصول، وتحتاج إلى التعرف بسرعة على كيفية عمل إدارة الوصول لموارد Azure.

فيما يلي بعض السيناريوهات التي يمكنك تنفيذها باستخدام Azure RBAC.

السماح لمستخدم واحد بإدارة الأجهزة الظاهرية في اشتراك، والسماح لمستخدم آخر بإدارة الشبكات الظاهرية
السماح لمجموعة مسؤول قاعدة بيانات بإدارة قواعد بيانات SQL في اشتراك
السماح لمستخدم بإدارة كافة الموارد في مجموعة موارد، مثل الأجهزة الظاهرية ومواقع الويب والشبكات الفرعية
السماح للتطبيق بالوصول إلى كافة الموارد في مجموعة موارد

Azure RBAC في مدخل Microsoft Azure

في العديد من المناطق في مدخل Microsoft Azure، سترى جزءًا يسمى ⁧⁩التحكم في الوصول (IAM)⁧⁩، والمعروف أيضًا باسم إدارة الهوية والوصول. في هذا الجزء، يمكنك معرفة من لديه حق الوصول إلى تلك المنطقة ودورهم. باستخدام نفس هذا الجزء، يمكنك منح حق الوصول أو إزالته.

يعرض التالي مثالاً عن جزء التحكم في الوصول (IAM) لمجموعة موارد. في هذا المثال، تم تعيين دور «عامل تشغيل النسخ الاحتياطي» لمجموعة الموارد هذه للسيد/ آلان شارون.

Screenshot of the Azure portal showing the Access control-Role assignment pane with the Backup operator section highlighted.

كيف يعمل Azure RBAC؟

يمكنك التحكم في الوصول إلى الموارد باستخدام Azure RBAC عن طريق إنشاء تعيينات الدور، والتي تتحكم في كيفية فرض الأذونات. لإنشاء تعيين دور، تحتاج إلى ثلاثة عناصر: أساس الأمان، تعريف الدور، والنطاق. يمكنك التفكير في هذه العناصر على أنها «من»، و«ماذا»، و«أين».

1. أساس الأمان (من)

يعد ⁧⁩أساس الأمان⁧⁩ مجرد اسم جذاب لمستخدم أو مجموعة أو تطبيق تريد منح حق الوصول إليه.

An illustration showing security principal including user, group, and service principal.

2. تعريف الدور (ما يمكنك القيام به)

يُعد ⁧⁩تعريف الدور⁧⁩ مجموعة من الأذونات. تُدعى أحيانًا دورًا. يسرد تعريف الدور الأذونات التي يمكن تنفيذها، مثل القراءة والكتابة والحذف. يمكن أن تكون الأدوار عالية المستوى، مثل المالك، أو محددة، مثل «مساهم الجهاز الظاهري».

An illustration listing different built-in and custom roles with zoom-in on the definition for the contributor role.

يتضمن Azure العديد من الأدوار المضمنة التي يمكنك استخدامها. يسرد ما يلي أربعة أدوار أساسية مضمنة:

المالك - له حق الوصول الكامل إلى جميع الموارد، بما في ذلك الحق في تفويض الوصول إلى الآخرين.
المساهم - يمكنه إنشاء وإدارة جميع أنواع موارد Azure، ولكن لا يمكنه منح حق الوصول للآخرين.
القارئ - يمكنه عرض موارد Azure الحالية.
مسؤول وصول المستخدم - يتيح لك إدارة وصول المستخدم إلى موارد Azure.

إذا كانت الأدوار المضمنة لا تفي بالاحتياجات المحددة لمؤسستك، يمكنك إنشاء أدوار مخصصة خاصة بك.

3. النطاق (أين)

⁧⁩النطاق⁧⁩ هو المكان الذي ينطبق عليه الوصول. هذا مفيد إذا كنت تريد أن تجعل شخصًا ما مساهمًا في موقع الويب، ولكن لمجموعة موارد واحدة فقط.

في Azure، يمكنك تحديد نطاق على مستويات متعددة: مجموعة إدارة أو اشتراك أو مجموعة موارد أو مورد. تُنظم النطاقات في علاقة أصل-فرعي. عند منح حق الوصول في نطاق أصل، يتم توريث هذه الأذونات إلى النطاقات الفرعية. على سبيل المثال، إذا قمت بتعيين دور «المساهم» إلى مجموعة في نطاق الاشتراك، فإنه يتم توريث هذا الدور إلى كافة مجموعات الموارد والموارد في الاشتراك.

An illustration showing a hierarchical representation of different Azure levels to apply scope. The hierarchy, starting with the highest level, is in this order: Management group, subscription, resource group, and resource.

تعيين الدور

بمجرد تحديد من وماذا وأين، يمكنك الجمع بين هذه العناصر لمنح حق الوصول. ⁧⁩تعيين الدور⁧⁩ هو عملية ربط دور إلى أساس الأمان في نطاق معين، لغرض منح الوصول. لمنح حق الوصول، يمكنك إنشاء تعيين دور. لإلغاء الوصول، يمكنك إزالة تعيين دور.

يوضح المثال التالي كيفية تعيين دور «المساهم» لمجموعة التسويق في نطاق مجموعة موارد المبيعات.

An illustration showing a sample role assignment process for Marketing group, which is a combination of security principal, role definition, and scope. The Marketing group falls under the Group security principal and has a Contributor role assigned for the Resource group scope.

يُعد Azure RBAC بمثابة نموذج السماح

يُعد Azure RBAC بمثابة نموذج السماح. ما يعنيه هذا هو أنه عندما يتم تعيين دور، يسمح لك Azure RBAC بتنفيذ إجراءات معينة، مثل القراءة أو الكتابة أو الحذف. لذلك، إذا كان تعيين دور واحد يمنحك أذونات القراءة لمجموعة موارد ويمنحك تعيين دور آخر أذونات الكتابة لنفس مجموعة الموارد، فسيكون لديك أذونات القراءة والكتابة على مجموعة الموارد هذه.

لدى Azure RBAC ما يسمى بأذونات ⁧NotActions⁩. استخدم NotActions لإنشاء مجموعة من الأذونات غير المسموح بها. ويتم حساب الوصول الممنوح بواسطة الدور، والأذونات الفعالة، عن طريق طرح العمليات ⁧NotActions⁩ من العمليات ⁧Actions⁩. على سبيل المثال، يحتوي دور ⁧⁩المساهم⁧⁩ على كلٍّ من ⁧Actions⁩ و⁧NotActions⁩. ويشير حرف البدل (*) في ⁧Actions⁩ إلى أنه يمكن تنفيذ كافة العمليات على مستوى وحدة التحكم. ثم طرح العمليات التالية في ⁧NotActions⁩ لحساب الأذونات الفعالة:

حذف الأدوار وتعيينات الأدوار
إنشاء أدوار وتعيينات الأدوار
منح مسؤول وصول المستخدم المتصل حق الوصول في نطاق المستأجر
إنشاء أي مخطط بيانات اصطناعية أو تحديثه
حذف أي مخطط بيانات اصطناعية

متابعة