Introduzione al controllo degli accessi in base al ruolo nel portale di AzureGet started with Role-Based Access Control in the Azure portal

Le aziende orientate sulla sicurezza devono concedere ai propri dipendenti la quantità esatta di autorizzazioni di cui necessitano.Security-oriented companies should focus on giving employees the exact permissions they need. un numero eccessivo di autorizzazioni può esporre un account agli attacchi.Too many permissions can expose an account to attackers. Un numero di autorizzazioni insufficiente ostacola l'efficienza del lavoro dei dipendenti.Too few permissions means that employees can't get their work done efficiently. Il Controllo degli accessi in base al ruolo di Azure (RBAC) aiuta a risolvere questo problema offrendo la gestione specifica degli accessi per Azure.Azure Role-Based Access Control (RBAC) helps address this problem by offering fine-grained access management for Azure.

Usando il Controllo degli accessi in base al ruolo, è possibile separare i compiti all'interno del team e concedere agli utenti solo la quantità di accesso di cui hanno bisogno per svolgere il proprio lavoro.Using RBAC, you can segregate duties within your team and grant only the amount of access to users that they need to perform their jobs. Invece di concedere a tutti autorizzazioni senza restrizioni per la sottoscrizione o le risorse di Azure, è possibile consentire solo determinate azioni.Instead of giving everybody unrestricted permissions in your Azure subscription or resources, you can allow only certain actions. Ad esempio, usare il Controllo degli accessi in base al ruolo per consentire a un dipendente di gestire le macchine virtuali in una sottoscrizione, mentre un altro utente può gestire i database SQL della stessa sottoscrizione.For example, use RBAC to let one employee manage virtual machines in a subscription, while another can manage SQL databases within the same subscription.

Nozioni fondamentali della gestione degli accessi in AzureBasics of access management in Azure

Ogni sottoscrizione di Azure è associata a una directory di Azure Active Directory (AD).Each Azure subscription is associated with one Azure Active Directory (AD) directory. Gli utenti, i gruppi e le applicazioni da tale directory possono gestire le risorse nella sottoscrizione di Azure.Users, groups, and applications from that directory can manage resources in the Azure subscription. Assegnare questi diritti di accesso tramite il portale di Azure, gli strumenti da riga di comando di Azure o le API di gestione di Azure.Assign these access rights using the Azure portal, Azure command-line tools, and Azure Management APIs.

Concedere l'accesso assegnando i ruoli Controllo degli accessi in base al ruolo appropriati a utenti, gruppi e applicazioni in un ambito specifico.Grant access by assigning the appropriate RBAC role to users, groups, and applications at a certain scope. L'ambito di un'assegnazione di ruolo può essere una sottoscrizione, un gruppo di risorse o una singola risorsa.The scope of a role assignment can be a subscription, a resource group, or a single resource. Un ruolo assegnato a un ambito padre concede anche l'accesso agli elementi figlio contenuti al suo interno.A role assigned at a parent scope also grants access to the children contained within it. Ad esempio, un utente con accesso a un gruppo di risorse può gestire tutte le risorse che contiene, come siti Web, macchine virtuali e subnet.For example, a user with access to a resource group can manage all the resources it contains, like websites, virtual machines, and subnets.

Diagramma della relazione tra gli elementi di Azure Active Directory

Il ruolo RBAC assegnato determina quali risorse l'utente, il gruppo o l'applicazione può gestire in tale ambito.The RBAC role that you assign dictates what resources the user, group, or application can manage within that scope.

Ruoli predefinitiBuilt-in roles

Il Controllo degli accessi in base al ruolo di Azure include di tre ruoli di base che si applicano a tutti i tipi di risorsa:Azure RBAC has three basic roles that apply to all resource types:

  • Proprietario ha accesso completo a tutte le risorse, compreso il diritto di delegare l'accesso ad altri utenti.Owner has full access to all resources including the right to delegate access to others.
  • Collaboratore può creare e gestire tutti i tipi di risorse di Azure, ma non può concedere l'accesso ad altri utenti.Contributor can create and manage all types of Azure resources but can’t grant access to others.
  • Lettore può visualizzare le risorse di Azure esistenti.Reader can view existing Azure resources.

Il resto dei ruoli RBAC in Azure consente la gestione di risorse di Azure specifiche.The rest of the RBAC roles in Azure allow management of specific Azure resources. Ad esempio, il ruolo Collaboratore Macchina virtuale consente all'utente di creare e gestire macchine virtuali,For example, the Virtual Machine Contributor role allows the user to create and manage virtual machines. ma non concede l'accesso alla rete virtuale o alla subnet a cui la macchina virtuale si connette.It does not give them access to the virtual network or the subnet that the virtual machine connects to.

Controllo degli accessi in base al ruolo: ruoli predefiniti elenca i ruoli disponibili in Azure.RBAC built-in roles lists the roles available in Azure. Specifica le operazioni e l'ambito che ogni ruolo predefinito concede agli utenti.It specifies the operations and scope that each built-in role grants to users. Per definire ruoli personalizzati per un maggiore controllo, vedere come creare ruoli personalizzati nel Controllo degli accessi in base al ruolo di Azure.If you're looking to define your own roles for even more control, see how to build Custom roles in Azure RBAC.

Gerarchia delle risorse ed ereditarietà dell'accessoResource hierarchy and access inheritance

  • Ogni sottoscrizione in Azure appartiene a una sola directory.Each subscription in Azure belongs to only one directory. Ogni directory può avere più di una sottoscrizione.(But each directory can have more than one subscription.)
  • Ogni gruppo di risorse appartiene a una sola sottoscrizione.Each resource group belongs to only one subscription.
  • Ogni risorsa appartiene a un solo gruppo di risorse.Each resource belongs to only one resource group.

L'accesso che si concede all'ambito padre viene ereditato dall'ambito figlio.Access that you grant at parent scopes is inherited at child scopes. Ad esempio: For example:

  • Si assegna il ruolo Lettore a un gruppo di Azure AD nell'ambito della sottoscrizione.You assign the Reader role to an Azure AD group at the subscription scope. I membri di tale gruppo possono visualizzare ogni gruppo di risorse e ogni risorsa nella sottoscrizione.The members of that group can view every resource group and resource in the subscription.
  • Si assegna il ruolo Collaboratore a un'applicazione nell'ambito del gruppo di risorse.You assign the Contributor role to an application at the resource group scope. Può gestire risorse di tutti i tipi in tale gruppo di risorse, ma non altri gruppi di risorse nella sottoscrizione.It can manage resources of all types in that resource group, but not other resource groups in the subscription.

Controllo degli accessi in base al ruolo di Azure e Amministratore sottoscrizione classicoAzure RBAC vs. classic subscription administrators

Gli amministratori delle sottoscrizioni classico e coamministratori hanno accesso completo alla sottoscrizione di Azure.Classic subscription administrators and co-admins have full access to the Azure subscription. Essi possono gestire le risorse utilizzando il portale di Azure, le API di gestione risorse di Azure e l'API del modello di distribuzione classica.They can manage resources using the Azure portal, Azure Resource Manager APIs, and the classic deployment model APIs. Nel modello RBAC, agli amministratori classici viene assegnato il ruolo di Proprietario nell'ambito della sottoscrizione.In the RBAC model, classic administrators are assigned the Owner role at the subscription scope.

Solo il portale di Azure e le nuove API di Azure Resource Manager supportano il Controllo degli accessi in base al ruolo di Azure.Only the Azure portal and the new Azure Resource Manager APIs support Azure RBAC. Gli utenti e applicazioni che vengono assegnate ruoli RBAC non è possibile utilizzare l'API del modello di distribuzione classico di Azure.Users and applications that are assigned RBAC roles cannot use the the Azure classic deployment model APIs.

Autorizzazioni per le operazioni di gestione e per le operazioni sui datiAuthorization for management vs. data operations

Il Controllo degli accessi in base al ruolo di Azure supporta solo operazioni di gestione delle risorse di Azure nel portale di Azure e nelle API di Azure Resource Manager.Azure RBAC only supports management operations of the Azure resources in the Azure portal and Azure Resource Manager APIs. Non tutte le operazioni a livello di dati svolte sulle risorse di Azure possono essere autorizzate tramite RBAC.It cannot authorize all data level operations for Azure resources. È possibile ad esempio autorizzare un utente a gestire gli account di archiviazione, ma non i BLOB e le tabelle all'interno di un account di archiviazione.For example, you can authorize someone to manage Storage Accounts, but not to the blobs or tables within a Storage Account. Analogamente, può essere gestito un database SQL, ma non le tabelle in esso contenute.Similarly, a SQL database can be managed, but not the tables within it.

Fasi successiveNext Steps