Wat is Azure RBAC (toegangsbeheer op basis van rollen)?
Toegangsbeheer voor cloudresources is een uiterst belangrijke functie voor elke organisatie die van de cloud gebruikmaakt. Het gebruik van op rollen gebaseerd toegangsbeheer in Azure (Azure RBAC) helpt u bij het beheren van wie er toegang heeft tot Azure-resources, wat ze kunnen doen met die resources en tot welke gebieden ze toegang hebben.
Op rollen gebaseerd toegangsbeheer in Azure is een machtigingssysteem dat is gebouwd op Azure Resource Manager dat een geavanceerd toegangsbeheer van Azure-resources biedt.
Deze video geeft een kort overzicht van Azure RBAC.
Wat kan ik doen met op rollen gebaseerd toegangsbeheer in Azure?
Hier volgen enkele voorbeelden van wat u met op rollen gebaseerd toegangsbeheer in Azure kunt doen:
- Toestaan dat één gebruiker de virtuele machines in een abonnement kan beheren en een andere gebruiker de virtuele netwerken kan beheren.
- Een DBA-groep toestaan de SQL-databases in een abonnement te beheren.
- Toestaan dat een gebruiker alle resources in een resourcegroep kan beheren, zoals virtuele machines, websites en subnetten
- Toestaan dat een toepassing toegang heeft tot alle resources in een resourcegroep
Hoe Azure RBAC werkt
De manier waarop u de toegang tot resources met behulp van Azure RBAC kunt beheren, is door Azure-rollen toe te wijzen. Dit is een belangrijke concept om te weten: het is de manier waarop machtigingen worden afgedwongen. Een roltoewijzing bestaat uit drie elementen: beveiligings-principal, roldefinitie en bereik (ook wel scope of niveau genoemd).
Beveiligings-principal
Een beveiligings-principal is een object dat een gebruiker, groep, service-principal of beheerde identiteit vertegenwoordigt die toegang tot Azure-resources aanvraagt. U kunt een rol toewijzen aan een van deze beveiligingsprincipals.
Roldefinitie
Een roldefinitie is een verzameling machtigingen. Het wordt meestal gewoon een rol genoemd. Een roldefinitie bevat de acties die kunnen worden uitgevoerd, zoals lezen, schrijven en verwijderen. Rollen kunnen op algemeen zijn, zoals eigenaar, of specifiek, zoals de lezer van de virtuele machine.
Azure bevat diverse ingebouwde rollen die u kunt gebruiken. Met de rol Inzender voor virtuele machines kan een gebruiker bijvoorbeeld virtuele machines maken en beheren. Als de ingebouwde rollen niet voldoen aan de specifieke behoeften van uw organisatie, kunt u uw eigen aangepaste Azure-rollen maken.
Deze video bevat een kort overzicht van ingebouwde rollen en aangepaste rollen.
Azure heeft gegevensacties waarmee u toegang kunt verlenen tot gegevens in een object. Als een gebruiker bijvoorbeeld toegang heeft tot gegevens in een opslagaccount, kan deze de blobs of berichten in dat opslagaccount lezen.
Zie Roldefinities in Azure begrijpen voor meer informatie.
Bereik
Bereik is de set resources waarop de toegang van toepassing is. Wanneer u een rol toewijst, kunt u de acties die zijn toegestaan verder beperken door een bereik te definiëren. Dit is handig als u van iemand een Inzender voor websites wilt maken, maar slechts voor één resourcegroep.
In Azure kunt u een bereik op vier niveaus opgeven: beheergroep, abonnement, resourcegroep of resource. Bereiken zijn gestructureerd in een bovenliggende/onderliggende relatie. U kunt rollen toewijzen aan elk van deze bereikniveaus.
Zie Bereik voor meer informatie over het bereik.
Roltoewijzingen
Een roltoewijzing is het proces waarmee voor een bepaald bereik een roldefinitie aan een gebruiker, groep, service-principal of beheerde identiteit wordt gekoppeld, met het doel om toegang te verlenen. Toegang wordt verleend door een roltoewijzing te maken en toegang kan worden ingetrokken door een roltoewijzing te verwijderen.
Het volgende diagram toont een voorbeeld van een roltoewijzing. In dit voorbeeld wordt aan de groep Marketing de rol van inzender toegewezen voor de resourcegroep pharma-sales. Dit betekent dat gebruikers in de groep Marketing een Azure-resource in de resourcegroep pharma-sales kunnen maken of beheren. Gebruikers in de groep Marketing hebben geen toegang tot resources buiten de resourcegroep pharma-sales, tenzij ze deel uitmaken van een andere roltoewijzing.
U kunt rollen toewijzen met behulp van Azure Portal, Azure CLI, Azure PowerShell, Azure SDK's of REST API's.
Zie Stappen voor het toewijzen van een Azure-rol voor meer informatie.
Groepen
Roltoewijzingen zijn transitief voor groepen. Dit betekent dat als een gebruiker lid is van een groep en die groep lid is van een andere groep die een roltoewijzing heeft, de gebruiker de machtigingen in de roltoewijzing heeft.
Meervoudige roltoewijzingen
Wat gebeurt er wanneer er meerdere overlappende roltoewijzingen zijn? Azure RBAC is een additief model, dus uw effectieve machtigingen zijn de som van uw roltoewijzingen. Bekijk het volgende voorbeeld, waarbij aan een gebruiker de rol Inzender wordt toegekend in het abonnementsbereik en de rol Lezer in een resourcegroep. De som van de machtigingen voor Inzender en Lezer is in de meeste mate de rol Inzender voor het abonnement. Daarom heeft in dit geval de toewijzing van de rol Lezer geen impact.
Weigeringstoewijzingen
Voorheen was Azure RBAC een model op basis van alleen-toestaan zonder de mogelijkheid tot weigeren, maar nu ondersteunt Azure RBAC in beperkte mate weigeringstoewijzingen. Ongeveer op dezelfde manier als een roltoewijzing verbindt een weigeringstoewijzing een reeks acties aan een gebruiker, groep, service-principal of beheerde identiteit met een bepaald bereik met het doel toegang te weigeren. Een roltoewijzing definieert een set acties die zijn toegestaan, terwijl een weigeringstoewijzing een set acties definieert die niet zijn toegestaan. Met andere woorden, weigeringstoewijzingen voorkomen dat gebruikers opgegeven acties uitvoeren, zelfs als een roltoewijzing hen deze toegang verleent. Weigeringstoewijzingen hebben voorrang op roltoewijzingen.
Zie Inzicht in weigeringstoewijzingen in Azure voor meer informatie.
Hoe Azure RBAC bepaalt of een gebruiker toegang tot een resource heeft
Hier volgen de stappen op hoog niveau die azure RBAC gebruikt om te bepalen of u toegang hebt tot een resource. Deze stappen zijn van toepassing op Azure Resource Manager of gegevensvlakservices die zijn geïntegreerd met Azure RBAC. Het is handig om dit te begrijpen als u probeert een toegangsprobleem op te lossen.
Een gebruiker (of service-principal) krijgt een token voor Azure Resource Manager.
Het token bevat groepslidmaatschappen van de gebruiker (met inbegrip van overdraagbare groepslidmaatschappen).
De gebruiker voert een REST API-aanroep uit naar Azure Resource Manager met het gekoppelde token.
Azure Resource Manager haalt alle roltoewijzingen en weigeringstoewijzingen op die betrekking hebben op de resource waarop de actie wordt ondernomen.
Als de weigeringstoewijzing van toepassing is, wordt toegang geblokkeerd. Anders wordt de evaluatie voortgezet.
Azure Resource Manager beperkt de roltoewijzingen die van toepassing zijn op deze gebruiker of hun groep en bepaalt welke rollen de gebruiker heeft voor deze resource.
Azure Resource Manager bepaalt of de actie in de API-aanroep is opgenomen in de rollen die de gebruiker voor deze resource heeft. Als de rollen bevatten met een jokerteken ( ), worden de effectieve machtigingen berekend door de af te trekken
Actions*van deNotActionstoegestaneActions. Op dezelfde manier wordt dezelfde aftrekking uitgevoerd voor alle gegevensacties.Actions - NotActions = Effective management permissionsDataActions - NotDataActions = Effective data permissionsAls de gebruiker geen rol heeft met de actie in het aangevraagde bereik, is toegang niet toegestaan. Anders worden alle voorwaarden geëvalueerd.
Als de roltoewijzing voorwaarden bevat, worden deze geëvalueerd. Anders is toegang toegestaan.
Als aan de voorwaarden wordt voldaan, is toegang toegestaan. Anders is toegang niet toegestaan.
Het volgende diagram is een samenvatting van de evaluatielogica.
Licentievereisten
Het gebruik van deze functie is gratis en is inbegrepen bij uw Azure-abonnement.