Zabezpečení prostředků pomocí řízení přístupu na základě rolí

  • 5 min

Implementace služby Azure Policy zajistila, aby všichni naši zaměstnanci s přístupem k Azure postupovali podle interních standardů pro vytváření prostředků, ale musíme vyřešit druhý problém: jak tyto prostředky chráníme po nasazení? Máme pracovníky IT, kteří potřebují spravovat nastavení, vývojáře, kteří potřebují přístup jen pro čtení, a správci, kteří potřebují mít úplnou kontrolu nad nimi. Zadejte řízení přístupu na základě role (RBAC).

RBAC poskytuje jemně odstupňovanou správu přístupu pro prostředky Azure, což umožňuje uživatelům udělit konkrétní práva, která potřebují k provádění svých úloh. RBAC je základní služba, která je bezplatnou součástí všech úrovní předplatného.

Pomocí RBAC můžete:

  • Jednomu uživateli můžete povolit správu virtuálních počítačů v předplatném a jinému uživateli správu virtuálních sítí.
  • Skupině správců databází můžete povolit správu databází SQL v předplatném.
  • Uživateli můžete povolit správu všech prostředků ve skupině prostředků, například virtuálních počítačů, webů a virtuálních podsítí.
  • Aplikaci můžete povolit přístup ke všem prostředkům ve skupině prostředků.

Přístupová oprávnění můžete zobrazit na webu Azure Portal pomocí panelu Řízení přístupu (IAM) pro prostředek. Na tomto panelu můžete určit, kdo má přístup k oblasti a přiřazené roli. Pomocí stejného panelu můžete také přístup udělovat nebo odebírat.

Screenshot of Azure portal Access control - Role assignment pane showing a backup operator and billing reader roles assigned to different users.

Jak RBAC definuje přístup

RBAC používá pro přístup model povolení. Když máte přiřazenou roli, RBAC umožňuje provádět konkrétní akce, jako je čtení, zápis nebo odstranění. Takže pokud vám jedno přiřazení role udělí oprávnění ke čtení určité skupiny prostředků a jiné přiřazení role vám udělí oprávnění k zápisu do téže skupiny prostředků, budete u ní mít oprávnění ke čtení i zápisu.

Osvědčené postupy pro RBAC

Tady je několik osvědčených postupů, které byste měli použít při nastavování prostředků:

  • Oddělte povinnosti v rámci vašeho týmu a udělte uživatelům jenom množství přístupu, které potřebují k výkonu svých úloh. Místo toho, abyste všem uživatelům udělili neomezená oprávnění v předplatném nebo prostředcích Azure, povolte jenom určité akce v určitém oboru.
  • Při plánování strategie řízení přístupu udělte uživatelům nejnižší úroveň oprávnění, kterou potřebují k výkonu své práce.
  • Pomocí zámků prostředků zajistěte, aby se důležité prostředky neupravovaly nebo neodstranily (jak se dozvíte v další lekci).