Řízení přístupu na základě role v AzureAzure role-based access control

Přístupová práva a oprávnění založená na skupině jsou osvědčeným postupem.Group-based access rights and privileges are a good practice. Práce se skupinami namísto jednotlivých uživatelů zjednodušuje správu zásad přístupu, umožňuje jednotnou správu přístupu napříč týmy a snižuje riziko chyb při konfiguraci.Dealing with groups rather than individual users simplifies maintenance of access policies, provides consistent access management across teams, and reduces configuration errors. Přiřazení uživatelů k příslušným skupinám a jejich odebírání pomáhá udržovat aktuální oprávnění konkrétního uživatele.Assigning users to and removing users from appropriate groups helps keep current the privileges of a specific user. Řízení přístupu na základě role v Azure (Azure RBAC) nabízí jemně odstupňovanou správu přístupu pro prostředky uspořádané kolem uživatelských rolí.Azure role-based access control (Azure RBAC) offers fine-grained access management for resources organized around user roles.

Přehled doporučených postupů pro službu Azure RBAC v rámci strategie identity a zabezpečení najdete v tématu osvědčené postupy zabezpečení Azure identity a řízení přístupu.For an overview of recommended Azure RBAC practices as part of an identity and security strategy, see Azure identity management and access control security best practices.

Přehled řízení přístupu na základě role v AzureOverview of Azure role-based access control

Pomocí řízení přístupu na základě role v Azuremůžete oddělení v rámci svého týmu oddělit a udělit přístup ke Azure Active Directory konkrétním uživatelům, skupinám, instančním objektům nebo spravovaným identitám, které umožňují provádět své úlohy.By using Azure role-based access control, you can separate duties within your team and grant only enough access for specific Azure Active Directory (Azure AD) users, groups, service principals, or managed identities to perform their jobs. Místo toho, abyste komukoli udělili neomezený přístup k předplatnému nebo prostředkům Azure, můžete omezit oprávnění pro jednotlivé sady prostředků.Instead of giving everybody unrestricted access to your Azure subscription or resources, you can limit permissions for each set of resources.

Definice rolí Azure seznam operací, které jsou povolené nebo zakázané pro uživatele nebo skupiny přiřazené k této roli.Azure role definitions list operations that are permitted or disallowed for users or groups assigned to that role. Rozsah role určuje, na které prostředky se tato definovaná oprávnění vztahují.A role's scope specifies which resources these defined permissions apply to. Rozsahy můžou být zadány na více úrovních: skupina pro správu, předplatné, skupina prostředků nebo prostředek.Scopes can be specified at multiple levels: management group, subscription, resource group, or resource. Rozsahy jsou strukturovány ve vztahu nadřazený/podřízený rozsah.Scopes are structured in a parent/child relationship.

Hierarchie oboru Azure RBAC

Podrobné pokyny pro přiřazení uživatelů a skupin k určitým rolím a přiřazování rolí k oborům najdete v tématu Přidání nebo odebrání přiřazení rolí Azure pomocí Azure Portal.For detailed instructions for assigning users and groups to specific roles and assigning roles to scopes, see Add or remove Azure role assignments using the Azure portal.

Při plánování strategie řízení přístupu použijte model přístupu s minimálními oprávněními, který uživatelům uděluje pouze oprávnění potřebná k provedení jejich práce.When planning your access control strategy, use a least-privilege access model that grants users only the permissions required to perform their work. Následující diagram znázorňuje navrhovaný vzor pro používání služby Azure RBAC prostřednictvím tohoto přístupu.The following diagram shows a suggested pattern for using Azure RBAC through this approach.

Navrhovaný vzor pro používání Azure RBAC

Poznámka

Čím konkrétnější nebo podrobnější oprávnění definujete, tím je pravděpodobnější, že řízení přístupu bude složité a obtížně spravovatelné.The more specific or detailed permissions are that you define, the more likely it is that your access controls will become complex and difficult to manage. To platí hlavně v případě, že velikost vašich cloudových aktiv roste.This is especially true as your cloud estate grows in size. Vyhněte se oprávněním pro konkrétní prostředky.Avoid resource-specific permissions. Místo toho použijte skupiny pro správu pro řízení přístupu na podnikové úrovni a skupiny prostředků pro řízení přístupu v rámci předplatných.Instead, use management groups for enterprise-wide access control and resource groups for access control within subscriptions. Vyhněte se taky konkrétním uživatelským oprávněním.Also avoid user-specific permissions. Místo toho přiřaďte přístup ke skupinám v Azure AD.Instead, assign access to groups in Azure AD.

Použití předdefinovaných rolí AzureUse Azure built-in roles

Azure poskytuje mnoho předdefinovaných definic rolí se třemi základními rolemi pro poskytnutí přístupu:Azure provides a many built-in role definitions, with three core roles for providing access:

  • Role vlastníka může spravovat všechno, včetně přístupu k prostředkům.The Owner role can manage everything, including access to resources.
  • Role přispěvatele může spravovat všechno kromě přístupu k prostředkům.The Contributor role can manage everything except access to resources.
  • Role čtenář může zobrazit vše, ale ne provádět žádné změny.The Reader role can view everything but not make any changes.

Mimo těchto základních úrovní přístupu jsou k dispozici další předdefinované role, které poskytují podrobnější možnosti řízení přístupu ke konkrétním typům prostředků nebo funkcím Azure.Beginning from these core access levels, additional built-in roles provide more detailed controls for accessing specific resource types or Azure features. Můžete například spravovat přístup k virtuálním počítačům pomocí následujících předdefinovaných rolí:For example, you can manage access to virtual machines by using the following built-in roles:

Další příklad použití předdefinovaných rolí ke správě přístupu k určitým funkcím najdete v tématu diskuze o řízení přístupu k funkcím pro sledování nákladů za účelem sledování nákladů napříč obchodními jednotkami, prostředími nebo projekty.For another example of using built-in roles to manage access to particular features, see the discussion on controlling access to cost-tracking features in Track costs across business units, environments, or projects.

Úplný seznam dostupných předdefinovaných rolí najdete v tématu předdefinované role Azure.For a complete list of available built-in roles, see Azure built-in roles.

Použití vlastních rolíUse custom roles

Přestože předdefinované role v Azure podporují širokou škálu scénářů řízení přístupu, nemusí splňovat všechny potřeby vaší organizace nebo týmu.Although the roles built in to Azure support a wide variety of access control scenarios, they might not meet all the needs of your organization or team. Pokud například máte jednu skupinu uživatelů odpovědných za správu virtuálních počítačů a prostředků Azure SQL Database, možná budete chtít vytvořit vlastní roli pro optimalizaci správy požadovaných řízení přístupu.For example, if you have a single group of users responsible for managing virtual machines and Azure SQL Database resources, you might want to create a custom role to optimize management of the required access controls.

Dokumentace k RBAC v Azure obsahuje pokyny pro vytváření vlastních rolí spolu s podrobnostmi o tom, jak fungují definice rolí.The Azure RBAC documentation contains instructions on creating custom roles, along with details on how role definitions work.

Oddělení odpovědností a rolí pro velké organizaceSeparation of responsibilities and roles for large organizations

Azure RBAC umožňuje organizacím přiřadit různé týmy různým úlohám správy v rámci rozsáhlých cloudových Estates.Azure RBAC allows organizations to assign different teams to various management tasks within large cloud estates. To umožňuje centrálním IT týmům řídit základní funkce přístupu a zabezpečení a zároveň poskytuje vývojářům softwaru a dalším týmům velkou kontrolu nad konkrétními úlohami nebo skupinami prostředků.It can allow central IT teams to control core access and security features, while also giving software developers and other teams large amounts of control over specific workloads or groups of resources.

Většina cloudových prostředí může také těžit ze strategie řízení přístupu, která využívá více rolí a zdůrazňuje oddělení odpovědností mezi těmito rolemi.Most cloud environments can also benefit from an access-control strategy that uses multiple roles and emphasizes a separation of responsibilities between these roles. Tento přístup vyžaduje, aby provedení jakékoli významné změny prostředků nebo infrastruktury zahrnovalo více rolí, což zajistí, že změnu musí zkontrolovat a schválit více než jedna osoba.This approach requires that any significant change to resources or infrastructure involves multiple roles to complete, ensuring that more than one person must review and approve a change. Toto oddělení odpovědnosti omezuje schopnost jedné osoby přistupovat k citlivým datům nebo zavést ohrožení zabezpečení bez vědomí jiných členů týmu.This separation of responsibilities limits the ability of a single person to access sensitive data or introduce vulnerabilities without the knowledge of other team members.

Následující tabulka zobrazuje běžný vzor rozdělení IT odpovědností na samostatné vlastní role:The following table illustrates a common pattern for dividing IT responsibilities into separate custom roles:

SkupinaGroup Běžný název roleCommon role name OdpovědnostResponsibilities
Operace zabezpečeníSecurity operations SecOpsSecOps Poskytuje obecnou kontrolu zabezpečení.Provides general security oversight.
Vytváří a vynucuje zásady zabezpečení, například šifrování neaktivních dat.Establishes and enforces security policy such as encryption at rest.

Spravuje šifrovací klíče.Manages encryption keys.

Spravuje pravidla brány firewall.Manages firewall rules.
Síťové operaceNetwork operations NetOpsNetOps Spravuje konfiguraci sítě a operace v rámci virtuálních sítí, jako jsou trasy a peering.Manages network configuration and operations within virtual networks, such as routes and peerings.
Operace se systémySystems operations SysOpsSysOps Určuje možnosti infrastruktury pro výpočetní prostředky a úložiště a spravuje prostředky, které byly nasazeny.Specifies compute and storage infrastructure options, and maintains resources that have been deployed.
Vývoj, testování a provozDevelopment, test, and operations DevOpsDevOps Vytváří a nasazuje funkce a aplikace úloh.Builds and deploys workload features and applications.

Funguje na funkcích a aplikacích pro splnění smluv o úrovni služeb a dalších standardů kvality.Operates features and applications to meet service-level agreements and other quality standards.

Rozpis akcí a oprávnění v těchto standardních rolích je ve všech vašich aplikacích, předplatných nebo celé cloudové službě často stejný, a to i v případě, že tyto role vykonávají různí lidé na různých úrovních.The breakdown of actions and permissions in these standard roles are often the same across your applications, subscriptions, or entire cloud estate, even if these roles are performed by different people at different levels. Proto můžete vytvořit společnou sadu definic rolí Azure pro použití v různých oborech v rámci vašeho prostředí.Accordingly, you can create a common set of Azure role definitions to apply across different scopes within your environment. Uživatelům a skupinám pak lze přiřadit společnou roli, ale jenom pro rozsah prostředků, skupin prostředků, předplatných nebo skupin pro správu, za jejichž správu zodpovídají.Users and groups can then be assigned a common role, but only for the scope of resources, resource groups, subscriptions, or management groups that they're responsible for managing.

Například v síťové topologii centra a paprsků s více předplatnými můžete mít společnou sadu definic rolí pro centrum a všechny úlohy na koncích.For example, in a hub and spoke network topology with multiple subscriptions, you might have a common set of role definitions for the hub and all workload spokes. Roli NetOps předplatného centra můžete přiřadit členům centrálního IT týmu organizace, kteří zodpovídají za správu sítě pro sdílené služby používané všemi úlohami.A hub subscription's NetOps role can be assigned to members of the organization's central IT team, who are responsible for maintaining networking for shared services used by all workloads. Roli NetOps předplatného paprsku úlohy potom můžete přiřadit členům tohoto konkrétního týmu úloh, což jim umožní nakonfigurovat síť v rámci tohoto předplatného tak, aby co nejlépe podporovala jejich požadavky na úlohy.A workload spoke subscription's NetOps role can then be assigned to members of that specific workload team, allowing them to configure networking within that subscription to best support their workload requirements. Pro oba týmy se používá stejná definice rolí, ale přiřazení na základě rozsahu zajišťují, že uživatelé mají jenom takový přístup, který potřebují k provádění potřebných úloh.The same role definition is used for both, but scope-based assignments ensure that users have only the access that they need to perform their job.