Přehled řízení přístupu na základě role v Azure pro analýzu firmwaru v programu Defender for IoT
Jako uživatel analýzy firmwaru Defenderu pro IoT můžete chtít spravovat přístup k výsledkům analýzy obrázků firmwaru. Řízení přístupu na základě role (RBAC) v Azure je autorizační systém, který umožňuje řídit, kdo má přístup k výsledkům analýzy, jaká oprávnění mají a na jaké úrovni hierarchie prostředků. Tento článek vysvětluje, jak ukládat výsledky analýzy firmwaru v Azure, spravovat přístupová oprávnění a používat RBAC ke sdílení těchto výsledků ve vaší organizaci a s třetími stranami. Další informace o Azure RBAC najdete v tématu Co je řízení přístupu na základě role v Azure (Azure RBAC)?
Role
Role jsou kolekce oprávnění zabalených společně. Existují dva typy rolí:
- Role funkcí úloh poskytují uživatelům oprávnění k provádění konkrétních funkcí nebo úloh, jako je přispěvatel služby Key Vault nebo uživatel monitorování clusteru Azure Kubernetes Service.
- Privilegované role správce poskytují zvýšená přístupová oprávnění, jako je vlastník, přispěvatel nebo uživatelský přístup Správa istrator. Další informace o rolích najdete v předdefinovaných rolích Azure.
V programu Defender for IoT Firmware Analysis jsou nejběžnějšími rolemi Vlastník, Přispěvatel, Správa zabezpečení a Analýza firmwaru Správa. Přečtěte si další informace o rolích, které potřebujete pro různá oprávnění, například nahrání imagí firmwaru nebo sdílení výsledků analýzy firmwaru.
Vysvětlení reprezentace imagí firmwaru v hierarchii prostředků Azure
Azure uspořádá prostředky do hierarchií prostředků, které jsou ve struktuře shora dolů, a role můžete přiřadit na každé úrovni hierarchie. Úroveň, na které přiřadíte roli, je "obor" a nižší obory mohou dědit role přiřazené ve vyšších oborech. Přečtěte si další informace o úrovních hierarchie a o tom, jak uspořádat prostředky v hierarchii.
Když nasadíte předplatné do programu Defender for IoT Firmware Analysis a vyberete skupinu prostředků, akce automaticky vytvoří výchozí prostředek ve vaší skupině prostředků.
Přejděte do skupiny prostředků a vyberte Zobrazit skryté typy , abyste zobrazili výchozí prostředek. Výchozí prostředek má typ Microsoft.IoTFirmwareDefense.workspaces.
I když výchozí prostředek pracovního prostoru není něco, se kterým budete pravidelně pracovat, bude každá image firmwaru, kterou nahrajete, reprezentována jako prostředek a uložená zde.
RBAC můžete použít na všech úrovních hierarchie, včetně skryté výchozí úrovně prostředku pracovního prostoru analýzy firmwaru .
Tady je hierarchie prostředků analýzy firmwaru Defenderu pro IoT:
Použití Azure RBAC
Poznámka:
Pokud chcete začít používat Defender for IoT Firmware Analysis, musí být uživatel, který nasadí předplatné do analýzy firmwaru Defenderu pro IoT, vlastníkem, přispěvatelem, analýzou firmwaru Správa nebo Správa zabezpečení na úrovni předplatného. Pokud chcete připojit své předplatné, postupujte podle kurzu Analýza image firmwaru v programu Microsoft Defender for IoT . Po nasazení předplatného musí být uživatel jenom Správa analýza firmwaru, aby používal Defender for IoT Firmware Analysis.
Jako uživatel analýzy firmwaru Defenderu for IoT možná budete muset provést určité akce pro vaši organizaci, jako je nahrávání imagí firmwaru nebo sdílení výsledků analýzy.
Podobné akce zahrnují řízení přístupu na základě role (RBAC). Pokud chcete efektivně používat RBAC pro analýzu firmwaru Defenderu pro IoT, musíte vědět, co je vaše přiřazení role a v jakém rozsahu. Znalost těchto informací vás informuje o tom, jaká oprávnění máte, a o tom, jestli můžete určité akce dokončit. Pokud chcete zkontrolovat přiřazení role, projděte si část Kontrola přístupu uživatele k jednomu prostředku Azure – Azure RBAC. Dále si projděte následující tabulku a zkontrolujte, jaké role a obory jsou nezbytné pro určité akce.
Běžné role v defenderu pro analýzu firmwaru IoT
Tato tabulka kategorizuje jednotlivé role a poskytuje stručný popis jejich oprávnění:
| Role | Kategorie | Popis |
|---|---|---|
| Vlastník | Role privilegovaného správce | Uděluje úplný přístup ke správě všech prostředků, včetně možnosti přiřazovat role v Azure RBAC. |
| Přispěvatel | Role privilegovaného správce | Uděluje úplný přístup ke správě všech prostředků, ale neumožňuje přiřazovat role v Azure RBAC, spravovat přiřazení v Azure Blueprints nebo sdílet galerie imagí. |
| Správce zabezpečení | Role funkce úlohy | Umožňuje uživateli nahrávat a analyzovat image firmwaru v defenderu pro IoT, přidávat nebo přiřazovat iniciativy zabezpečení a upravovat zásady zabezpečení. Další informace. |
| Správa analýzy firmwaru | Role funkce úlohy | Umožňuje uživateli nahrát a analyzovat obrázky firmwaru v defenderu pro IoT. Uživatel nemá přístup nad rámec analýzy firmwaru (nemůže získat přístup k jiným prostředkům v předplatném, vytvářet nebo odstraňovat prostředky nebo zvát jiné uživatele). |
Role, obory a možnosti analýzy firmwaru Defenderu pro IoT
Následující tabulka shrnuje, jaké role potřebujete k provedení určitých akcí. Tyto role a oprávnění se vztahují na úrovni předplatného a skupiny prostředků, pokud není uvedeno jinak.
| Akce | Požadovaná role |
|---|---|
| Analýza firmwaru | Vlastník, Přispěvatel, Správa zabezpečení nebo Analýza firmwaru Správa |
| Pozvání uživatelů třetích stran k zobrazení výsledků analýzy firmwaru | Vlastník |
| Pozvání uživatelů k předplatnému | Vlastník na úrovni předplatného (vlastník na úrovni skupiny prostředků nemůže pozvat uživatele k předplatnému) |
Nahrávání imagí firmwaru
Nahrávání imagí firmwaru:
- Ověřte, že máte dostatečná oprávnění v programu Defender for IoT Firmware Analysis Roles, Scopes a Capabilities.
- Nahrajte image firmwaru pro analýzu.
Pozvání třetích stran k interakci s výsledky analýzy firmwaru
Můžete chtít někoho pozvat, aby komunikovali výhradně s výsledky analýzy firmwaru, aniž byste povolili přístup k jiným částem vaší organizace (například jiným skupinám prostředků v rámci vašeho předplatného). Pokud chcete povolit tento typ přístupu, pozvěte uživatele jako Správa analýzy firmwaru na úrovni skupiny prostředků.
Pokud chcete pozvat třetí stranu, postupujte podle pokynů k přiřazení rolí Azure externím uživatelům typu host pomocí kurzu webu Azure Portal .
- V kroku 3 přejděte do skupiny prostředků.
- V kroku 7 vyberte roli Analýza firmwaru Správa.
Poznámka:
Pokud jste dostali e-mail pro připojení k organizaci, nezapomeňte zkontrolovat složku Nevyžádaná pošta pro e-mail s pozvánkou, pokud ji ve složce Doručená pošta nevidíte.