Delegování správy přístupu k Azure ostatním uživatelům

Článek
02/02/2024

V řízení přístupu na základě role v Azure (Azure RBAC) k udělení přístupu k prostředkům Azure přiřadíte role Azure. Pokud například uživatel potřebuje vytvořit a spravovat weby v předplatném, přiřadíte roli Přispěvatel webu.

Přiřazením rolí Azure za účelem udělení přístupu k prostředkům Azure je běžný úkol. Jako správce můžete získat několik žádostí o udělení přístupu, který chcete delegovat někomu jinému. Chcete se ale ujistit, že delegát má jenom oprávnění, která potřebují ke své práci. Tento článek popisuje bezpečnější způsob delegování správy přiřazení rolí jiným uživatelům ve vaší organizaci.

Proč delegovat správu přiřazení rolí?

Tady je několik důvodů, proč můžete chtít delegovat správu přiřazení rolí na jiné:

K přiřazení rolí ve vaší organizaci získáte několik požadavků.
Uživatelé blokují čekání na přiřazení role, které potřebují.
Uživatelé v příslušných odděleních, týmech nebo projektech mají více znalostí o tom, kdo potřebuje přístup.
Uživatelé mají oprávnění k vytváření prostředků Azure, ale k úplnému použití daného prostředku potřebují další přiřazení role. Příklad:
- Uživatelé s oprávněním k vytváření virtuálních počítačů se nemůžou okamžitě přihlásit k virtuálnímu počítači bez role přihlášení k virtuálnímu počítači Správa istratoru nebo role přihlášení uživatele virtuálního počítače. Místo toho, aby správce přiřadil roli přihlášení, je efektivnější, pokud uživatel může přiřadit roli přihlášení sami sobě.
- Vývojář má oprávnění k vytvoření clusteru Azure Kubernetes Service (AKS) a služby Azure Container Registry (ACR), ale musí přiřadit roli AcrPull spravované identitě, aby mohl načítat image z ACR. Místo toho, aby správce přiřadil roli AcrPull, je efektivnější, pokud vývojář může roli přiřadit sami.

Jak aktuálně můžete delegovat správu přiřazení rolí

Role Vlastník a Uživatelský přístup Správa istrator jsou předdefinované role, které uživatelům umožňují vytvářet přiřazení rolí. Členové těchto rolí můžou rozhodnout, kdo může mít oprávnění k zápisu, čtení a odstranění jakéhokoli prostředku v předplatném. Pokud chcete delegovat správu přiřazení rolí jinému uživateli, můžete uživateli přiřadit roli Vlastník nebo Přístup uživatele Správa istrator.

Následující diagram znázorňuje, jak Alice může delegovat odpovědnosti přiřazení rolí do Dary. Konkrétní kroky najdete v tématu Přiřazení uživatele jako správce předplatného Azure.

Alice přiřadí roli Uživatelský přístup k Darě Správa istrator.
Dara teď může přiřadit jakoukoli roli libovolnému uživateli, skupině nebo instančnímu objektu ve stejném oboru.

Jaké jsou problémy s aktuální metodou delegování?

Tady jsou hlavní problémy s aktuální metodou delegování správy přiřazení rolí ostatním uživatelům ve vaší organizaci.

Delegát má neomezený přístup v oboru přiřazení role. To porušuje zásadu nejnižších oprávnění, která vás vystavuje širšímu prostoru útoku.
Delegát může přiřadit libovolnou roli libovolnému uživateli v rámci oboru, včetně sebe.
Delegát může přiřadit roli Vlastník nebo Uživatelský přístup Správa istrator jinému uživateli, který pak může přiřadit role jiným uživatelům.

Místo přiřazení rolí Vlastník nebo Přístup uživatelů Správa istrator je bezpečnější metoda omezení schopnosti delegáta vytvářet přiřazení rolí.

Bezpečnější metoda: Delegování správy přiřazení rolí pomocí podmínek

Delegování správy přiřazení rolí pomocí podmínek představuje způsob, jak omezit přiřazení rolí, které může uživatel vytvořit. V předchozím příkladu může Alice umožnit Darě vytvořit některá přiřazení rolí za ni, ale ne všechna přiřazení rolí. Alice může například omezit role, kterým může Dara přiřadit a omezit objekty zabezpečení, kterým může Dara přiřadit role. Toto delegování s podmínkami se někdy označuje jako omezené delegování a implementuje se pomocí podmínek řízení přístupu na základě atributů Azure (Azure ABAC).

Toto video obsahuje přehled delegování správy přiřazení rolí s podmínkami.

Proč delegovat správu přiřazení rolí pomocí podmínek?

Tady je několik důvodů, proč je delegování správy přiřazení rolí na jiné uživatele s podmínkami bezpečnější:

Přiřazení rolí, které delegát může vytvořit, můžete omezit.
Delegátu můžete zabránit v tom, aby jinému uživateli umožňoval přiřazovat role.
Dodržování zásad vaší organizace s nejnižšími oprávněními můžete vynutit.
Správu prostředků Azure můžete automatizovat, aniž byste museli udělit úplná oprávnění k účtu služby.

Příklad podmínek

Představte si příklad, kdy je Alice správcem s rolí Uživatelský přístup Správa istrator pro předplatné. Alice chce darovi udělit možnost přiřadit konkrétní role pro konkrétní skupiny. Alice nechce, aby Dara měla žádná další oprávnění k přiřazení rolí. Následující diagram znázorňuje, jak Alice může delegovat odpovědnosti přiřazení rolí k Darě s podmínkami.

Alice přiřadí roli Řízení přístupu na základě role Správa istrator dara. Alice přidá podmínky, aby Dara mohl přiřadit role přispěvatele zálohování nebo čtenáře zálohování jenom ke skupinám Marketing a Sales.
Dara teď může přiřadit role Přispěvatel záloh nebo Čtenář záloh skupinám Marketing a Sales.
Pokud se Dara pokusí přiřadit jiné role nebo přiřadit jakékoli role různým objektům zabezpečení (jako je uživatel nebo spravovaná identita), přiřazení role selže.

Řízení přístupu na základě role Správa istrator

Role řízení přístupu na základě role Správa istrator je předdefinovaná role, která je navržená pro delegování správy přiřazení rolí ostatním. Má méně oprávnění než uživatelský přístup Správa istrator, který se řídí osvědčenými postupy s nejnižšími oprávněními. Role Řízení přístupu na základě role Správa istrator má následující oprávnění:

Vytvoření přiřazení role v zadaném oboru
Odstranění přiřazení role v zadaném oboru
Čtení prostředků všech typů s výjimkou tajných kódů
Vytvoření a aktualizace lístku podpory

Způsoby omezení přiřazení rolí

Tady jsou způsoby, jak se přiřazení rolí dají omezit podmínkami. Tyto podmínky můžete také kombinovat tak, aby vyhovovaly vašemu scénáři.

Omezení rolí, které je možné přiřadit
Omezení rolí a typů objektů zabezpečení (uživatelů, skupin nebo instančních objektů), které je možné přiřadit
Omezení rolí a konkrétních objektů zabezpečení, které je možné přiřadit
Zadání různých podmínek pro akce přidání a odebrání přiřazení role

Postup delegování správy přiřazení rolí pomocí podmínek

Pokud chcete delegovat správu přiřazení rolí pomocí podmínek, přiřaďte role jako v současné době, ale k přiřazení role přidáte také podmínku.

Určení oprávnění, která delegát potřebuje
- Jaké role může delegát přiřadit?
- K jakým typům objektů zabezpečení může delegát přiřadit role?
- Ke kterým objektům zabezpečení může delegát přiřadit role?
- Může delegování odebrat nějaká přiřazení rolí?
Zahájení nového přiřazení role
Výběr role řízení přístupu na základě role Správa istrator

Můžete vybrat libovolnou Microsoft.Authorization/roleAssignments/write roli, která akci zahrnuje, ale řízení přístupu na základě role Správa istrator má méně oprávnění.
Výběr delegáta

Vyberte uživatele, kterému chcete delegovat správu přiřazení rolí.

Přidat podmínku

Podmínku můžete přidat několika způsoby. Můžete například použít šablonu podmínky na webu Azure Portal, rozšířený editor podmínek na webu Azure Portal, Azure PowerShell, Azure CLI, Bicep nebo rozhraní REST API.

Vyberte si ze seznamu šablon podmínek. Výběrem možnosti Konfigurovat určete role, typy objektů zabezpečení nebo objekty zabezpečení.

Další informace najdete v tématu Delegování správy přiřazení rolí Azure ostatním s podmínkami.

New-AzRoleAssignment

$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion

az role assignment create

set roleDefinitionId="f58310d9-a9f6-439a-9e8d-f62e7b41a168"
set principalId="{principalId}"
set principalType="User"
set scope="/subscriptions/{subscriptionId}"
set condition="((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))"
set conditionVersion="2.0"
az role assignment create --assignee-object-id %principalId% --assignee-principal-type %principalType% --scope %scope% --role %roleDefinitionId% --condition %condition% --condition-version %conditionVersion%

param roleDefinitionResourceId string
param principalId string
param condition string

targetScope = 'subscription'

resource roleAssignment 'Microsoft.Authorization/roleAssignments@2020-04-01-preview' = {
  name: guid(subscription().id, principalId, roleDefinitionResourceId)
  properties: {
    roleDefinitionId: roleDefinitionResourceId
    principalId: principalId
    principalType: 'User'
    condition: condition
    conditionVersion:'2.0'
  }
}

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "roleDefinitionResourceId": {
      "value": "providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168"
    },
    "principalId": {
      "value": "{principalId}"
    },
    "condition": {
      "value": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))"
    }
  }
}

Přiřazení rolí – Vytvoření

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleAssignments/f58310d9-a9f6-439a-9e8d-f62e7b41a168?api-version=2020-04-01-Preview

{
  "properties": {
    "roleDefinitionId": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168",
    "principalId": "{principalId}",
    "condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))",
    "conditionVersion": "2.0"
  }
}

Přiřazení role s podmínkou delegátu

Jakmile zadáte podmínku, dokončete přiřazení role.
Kontaktování delegáta

Dejte delegátu vědět, že teď může přiřadit role s podmínkami.

Předdefinované role s podmínkami

Role Přístupu k datům služby Key Vault Správa istrator a přístup k datům virtuálních počítačů Správa istrator (Preview) už mají předdefinované podmínky pro omezení přiřazení rolí.

Role Přístup k datům služby Key Vault Správa istrator umožňuje spravovat přístup k tajným klíčům, certifikátům a klíčům služby Key Vault. Zaměřuje se výhradně na řízení přístupu bez možnosti přiřazovat privilegované role, jako jsou role Vlastník nebo Uživatelský přístup Správa istrator. Umožňuje lepší oddělení povinností pro scénáře, jako je správa šifrování neaktivních uložených dat napříč datovými službami, aby dále dodržovala princip nejnižších oprávnění. Podmínka omezuje přiřazení rolí k následujícím rolím služby Azure Key Vault:

Pokud chcete dále omezit přiřazení role Přístupu k datům služby Key Vault Správa istrator, můžete přidat vlastní podmínku pro omezení typů objektů zabezpečení (uživatelů, skupin nebo instančních objektů) nebo konkrétních objektů zabezpečení, které je možné přiřadit rolím služby Key Vault.

Známé problémy

Tady jsou známé problémy související s delegováním správy přiřazení rolí s podmínkami:

Správu přiřazení rolí nemůžete delegovat s podmínkami pomocí Privileged Identity Management.
Přiřazení role s akcí dat Microsoft.Storage a podmínkou ABAC, která používá relační operátor GUID, nemůžete mít. Další informace najdete v tématu Řešení potíží s Azure RBAC.

Požadavky na licenci

Tato funkce je bezplatná a součástí předplatného Azure.