Langkah-langkah untuk menetapkan peran Microsoft Azure
Kontrol akses berbasis peran Azure (Azure RBAC) adalah sistem otorisasi yang Anda gunakan untuk mengelola akses ke sumber daya Azure. Untuk memberikan akses, Anda menetapkan peran kepada pengguna, grup, perwakilan layanan, atau identitas terkelola pada cakupan tertentu. Artikel ini menjelaskan langkah-langkah tingkat tinggi untuk menetapkan peran Azure menggunakan portal Azure, Azure PowerShell, Azure CLI, atau REST API.
Langkah 1: Menentukan siapa yang membutuhkan akses
Pertama Anda perlu menentukan siapa yang membutuhkan akses. Anda dapat menetapkan peran ke pengguna, grup, perwakilan layanan, atau identitas terkelola. Ini juga disebut keamanan utama.
- Pengguna - Individu yang memiliki profil di ID Microsoft Entra. Anda juga dapat menetapkan peran kepada pengguna di penyewa lain. Untuk informasi tentang pengguna di organisasi lain, lihat Microsoft Entra B2B.
- Grup - Sekumpulan pengguna yang dibuat di ID Microsoft Entra. Saat Anda menetapkan peran ke grup, semua pengguna dalam grup tersebut memiliki peran tersebut.
- Layanan utama - Identitas keamanan yang digunakan oleh aplikasi atau layanan untuk mengakses sumber daya Microsoft Azure tertentu. Anda dapat menganggapnya sebagai identitas pengguna (nama pengguna dan sandi atau sertifikat) untuk aplikasi.
- Identitas terkelola - Identitas di ID Microsoft Entra yang dikelola secara otomatis oleh Azure. Anda biasanya menggunakan identitas terkelola saat mengembangkan aplikasi cloud untuk mengelola info masuk untuk mengautentikasi ke layanan Microsoft Azure.
Langkah 2: Pilih peran yang sesuai
Izin dikelompokkan bersama ke dalam definisi peran. Definisi peran tersebut biasanya hanya disebut peran. Anda dapat memilih dari daftar beberapa peran bawaan. Jika peran bawaan tidak memenuhi kebutuhan spesifik organisasi, Anda bisa membuat peran kustom Anda sendiri.
Peran diatur ke dalam peran fungsi pekerjaan dan peran administrator istimewa.
Peran fungsi pekerjaan
Peran fungsi pekerjaan memungkinkan manajemen sumber daya Azure tertentu. Misalnya, peran Kontributor Komputer Virtual memungkinkan pengguna membuat dan mengelola komputer virtual. Untuk memilih peran fungsi pekerjaan yang sesuai, gunakan langkah-langkah berikut:
Mulailah dengan artikel komprehensif, peran bawaan Microsoft Azure. Tabel di bagian atas artikel adalah indeks ke detail nanti di artikel.
Dalam artikel itu, navigasi ke kategori layanan (seperti komputasi, penyimpanan, dan database) untuk sumber daya yang ingin Anda beri izin. Cara termudah untuk menemukan apa yang Anda cari biasanya adalah mencari kata kunci yang relevan, seperti "blob", "komputer virtual", dan sebagainya.
Tinjau peran yang tercantum untuk kategori layanan dan tindakan tertentu yang Anda butuhkan. Sekali lagi, selalu mulai dengan peran yang paling ketat.
Misalnya, jika prinsip keamanan perlu membaca blob di akun penyimpanan Microsoft Azure, tetapi tidak memerlukan akses tulis, maka pilih Pembaca Data Blob Penyimpanan daripada Storage Kontributor Data Blob Penyimpanan (dan jelas bukan peran Pemilik Data Blob Penyimpanan tingkat administrator). Anda selalu dapat memperbarui penetapan peran nanti sesuai kebutuhan.
Jika Anda tidak menemukan peran yang sesuai, Anda dapat membuat peran kustom.
Peran administrator istimewa
Peran administrator istimewa adalah peran yang memberikan akses administrator istimewa, seperti kemampuan untuk mengelola sumber daya Azure atau menetapkan peran kepada pengguna lain. Peran berikut dianggap istimewa dan berlaku untuk semua jenis sumber daya.
| Peran Azure | Izin |
|---|---|
| Pemilik |
|
| Kontributor |
|
| Administrator Kontrol Akses Berbasis Peran |
|
| Administrator Akses Pengguna |
|
Untuk praktik terbaik saat menggunakan penetapan peran administrator istimewa, lihat Praktik terbaik untuk Azure RBAC. Untuk informasi selengkapnya, lihat Definisi peran administrator istimewa.
Langkah 3: Mengidentifikasi cakupan yang diperlukan
Cakupan adalah kumpulan sumber daya yang aksesnya berlaku. Di Azure, Anda dapat menentukan sebuah cakupan dalam empat tingkat: grup manajemen, langganan,grup sumber daya, dan sumber daya. Cakupan disusun dalam hubungan induk-turunan. Setiap tingkat hierarki membuat cakupan lebih spesifik. Anda dapat menetapkan peran di salah satu tingkat cakupan ini. Tingkat yang Anda pilih menentukan seberapa luas peran diterapkan. Tingkat yang lebih rendah mewarisi izin peran dari tingkat yang lebih tinggi.
Saat Anda menetapkan peran di lingkup induk, izin tersebut diwariskan ke lingkup anak. Contohnya:
- Jika Anda menetapkan peran Pembaca kepada pengguna di lingkup grup manajemen, pengguna tersebut dapat membaca semuanya di semua langganan di grup manajemen.
- Jika Anda menetapkan peran Pembaca Penagihan ke grup di lingkup langganan, anggota grup tersebut bisa membaca data penagihan untuk setiap grup sumber daya dan sumber daya dalam langganan.
- Jika Anda menetapkan peran Kontributor ke aplikasi di lingkup grup sumber daya, aplikasi tersebut dapat mengelola sumber daya dari semua tipe dalam grup sumber daya tersebut, tetapi bukan grup sumber daya lain dalam langganan.
Ini adalah praktik terbaik untuk memberikan hak istimewa paling sedikit kepada kepala keamanan yang mereka butuhkan untuk melakukan pekerjaan mereka. Hindari menetapkan peran yang lebih luas pada cakupan yang lebih luas bahkan jika awalnya tampak lebih nyaman. Dengan membatasi peran dan cakupan, Anda membatasi sumber daya apa yang berisiko jika keamanan utama bisa dikompromikan. Untuk informasi selengkapnya, lihat Memahami cakupan.
Langkah 4: Periksa prasyarat Anda
Untuk menetapkan peran, Anda harus masuk dengan pengguna yang diberi peran yang memiliki izin tulis penetapan peran, seperti Administrator Kontrol Akses Berbasis Peran pada cakupan yang Anda coba tetapkan perannya. Demikian pula, untuk menghapus penetapan peran, Anda harus memiliki izin penghapusan penetapan peran.
Microsoft.Authorization/roleAssignments/writeMicrosoft.Authorization/roleAssignments/delete
Jika akun pengguna Anda tidak memiliki izin untuk menetapkan peran dalam langganan Anda, Anda akan melihat pesan kesalahan bahwa akun Anda "tidak memiliki otorisasi untuk melakukan tindakan 'Microsoft.Authorization/roleAssignments/write'." Dalam hal ini, hubungi administrator langganan Anda karena mereka dapat menetapkan izin atas nama Anda.
Jika Anda menggunakan perwakilan layanan untuk menetapkan peran, Anda mungkin mendapatkan kesalahan "Hak istimewa yang tidak memadai untuk menyelesaikan operasi." Kesalahan ini kemungkinan karena Azure mencoba mencari identitas penerima tugas di ID Microsoft Entra dan perwakilan layanan tidak dapat membaca ID Microsoft Entra secara default. Dalam hal ini, Anda perlu memberikan izin pokok layanan untuk membaca data di direktori. Atau, jika Anda menggunakan Azure CLI, Anda dapat membuat penetapan peran dengan menggunakan ID objek penerima tugas untuk melewati pencarian Microsoft Entra. Untuk informasi selengkapnya, lihat Memecahkan Masalah Azure RBAC.
Langkah 5: Menetapkan peran
Setelah Anda mengetahui prinsip keamanan, peran, dan ruang lingkup, Anda dapat menetapkan peran tersebut. Anda dapat menetapkan peran menggunakan portal Microsoft Azure, Azure PowerShell, Azure CLI, Azure SDK, atau API REST.
Anda dapat memiliki hingga 4000 penetapan peran di setiap langganan. Batas ini mencakup penetapan peran di langganan, grup sumber daya, dan cakupan sumber daya. Anda dapat memiliki hingga 500 tugas peran di setiap grup manajemen. Untuk informasi selengkapnya, lihat Memecahkan masalah batas Azure RBAC.
Lihat artikel berikut ini untuk langkah-langkah mendetail tentang cara menetapkan peran.
- Menetapkan peran Azure menggunakan portal Microsoft Azure
- Menetapkan peran Azure menggunakan Azure PowerShell
- Menetapkan peran Microsoft Azure menggunakan Azure CLI
- Menetapkan peran Azure menggunakan REST API