Controlo de acesso baseado em funções do AzureAzure role-based access control

Os direitos de acesso e privilégios baseados em grupos são uma boa prática.Group-based access rights and privileges are a good practice. Lidar com grupos em vez de utilizadores individuais simplifica a manutenção de políticas de acesso, fornece uma gestão de acessos consistente entre equipas e reduz os erros de configuração.Dealing with groups rather than individual users simplifies maintenance of access policies, provides consistent access management across teams, and reduces configuration errors. A atribuição de utilizadores e a remoção de utilizadores de grupos apropriados ajuda a manter os privilégios atuais de um utilizador específico.Assigning users to and removing users from appropriate groups helps keep current the privileges of a specific user. O controlo de acesso baseado em funções Azure (Azure RBAC) oferece uma gestão de acesso de grãos finos para recursos organizados em torno das funções dos utilizadores.Azure role-based access control (Azure RBAC) offers fine-grained access management for resources organized around user roles.

Para uma visão geral das práticas recomendadas do Azure RBAC como parte de uma estratégia de identidade e segurança, consulte a gestão de identidade do Azure e as melhores práticas de segurança de controlo de acesso.For an overview of recommended Azure RBAC practices as part of an identity and security strategy, see Azure identity management and access control security best practices.

Visão geral do controlo de acesso baseado em funções AzureOverview of Azure role-based access control

Ao utilizar o controlo de acesso baseado em funções Azure,pode separar os deveres dentro da sua equipa e conceder apenas acesso suficiente para utilizadores específicos do Azure Ative Directory (Azure AD), grupos, diretores de serviços ou identidades geridas para executar os seus trabalhos.By using Azure role-based access control, you can separate duties within your team and grant only enough access for specific Azure Active Directory (Azure AD) users, groups, service principals, or managed identities to perform their jobs. Em vez de fornecer acesso ilimitado geral para a sua subscrição ou recursos Azure, pode limitar as permissões para cada conjunto de recursos.Instead of giving everybody unrestricted access to your Azure subscription or resources, you can limit permissions for each set of resources.

As definições de funções Azure listam as operações que são permitidas ou não permitidas para utilizadores ou grupos afetos a essa função.Azure role definitions list operations that are permitted or disallowed for users or groups assigned to that role. O âmbito da função especifica os recursos aos quais estas permissões definidas se aplicam.A role's scope specifies which resources these defined permissions apply to. Os âmbitos podem ser especificados em vários níveis: grupo de gestão, subscrição, grupo de recursos ou recurso.Scopes can be specified at multiple levels: management group, subscription, resource group, or resource. Os âmbitos são estruturados numa relação de elemento principal/elemento subordinado.Scopes are structured in a parent/child relationship.

Hierarquia de âmbito Azure RBAC

Para instruções detalhadas para atribuir utilizadores e grupos a funções específicas e atribuir funções a âmbitos, consulte adicionar ou remover atribuições de funções Azure utilizando o portal Azure.For detailed instructions for assigning users and groups to specific roles and assigning roles to scopes, see Add or remove Azure role assignments using the Azure portal.

Ao planear a estratégia de controlo de acesso, utilize um modelo de acesso com privilégios mínimos que conceda aos utilizadores apenas as permissões necessárias para realizarem o trabalho.When planning your access control strategy, use a least-privilege access model that grants users only the permissions required to perform their work. O diagrama seguinte mostra um padrão sugerido para a utilização do RBAC Azure através desta abordagem.The following diagram shows a suggested pattern for using Azure RBAC through this approach.

Padrão sugerido para a utilização do RBAC Azure

Nota

Quanto mais específicas ou detalhadas as permissões definidas forem, mais provável será que os controlos de acesso se tornem complexos e difíceis de gerir.The more specific or detailed permissions are that you define, the more likely it is that your access controls will become complex and difficult to manage. Tal aplica-se especialmente à medida que aumenta o património da cloud.This is especially true as your cloud estate grows in size. Evite permissões específicas de recursos.Avoid resource-specific permissions. Em vez disso, utilize grupos de gestão para controlo de acessos a toda a empresa e grupos de recursos para controlo de acesso dentro das subscrições.Instead, use management groups for enterprise-wide access control and resource groups for access control within subscriptions. Evite também permissões específicas de utilizadores.Also avoid user-specific permissions. Em vez disso, atribua acesso a grupos no Azure AD.Instead, assign access to groups in Azure AD.

Use funções incorporadas AzureUse Azure built-in roles

O Azure disponibiliza várias definições de funções incorporadas, com três funções principais para fornecer o acesso:Azure provides a many built-in role definitions, with three core roles for providing access:

A partir deste níveis de acesso centrais, as funções incorporadas adicionais oferecem controlos mais detalhados para aceder a tipos de recursos específicos ou a funcionalidades do Azure.Beginning from these core access levels, additional built-in roles provide more detailed controls for accessing specific resource types or Azure features. Por exemplo, pode gerir o acesso a máquinas virtuais com as seguintes funções incorporadas:For example, you can manage access to virtual machines by using the following built-in roles:

Para outro exemplo de utilização de funções incorporadas para gerir o acesso a funcionalidades específicas, consulte a discussão sobre o controlo do acesso a funcionalidades de rastreio de custos em unidades de negócio, ambientes ou projetos.For another example of using built-in roles to manage access to particular features, see the discussion on controlling access to cost-tracking features in Track costs across business units, environments, or projects.

Para obter uma lista completa das funções incorporadas disponíveis, consulte as funções incorporadas do Azure.For a complete list of available built-in roles, see Azure built-in roles.

Utilizar funções personalizadasUse custom roles

Embora as funções incorporadas no Azure suportem uma grande variedade de cenários de controlo de acesso, podem não satisfazer todas as necessidades da sua organização ou equipa.Although the roles built in to Azure support a wide variety of access control scenarios, they might not meet all the needs of your organization or team. Por exemplo, se tiver um único grupo de utilizadores responsáveis pela gestão das máquinas virtuais e dos recursos da Base de Dados SQL do Azure, poderá querer criar uma função personalizada para otimizar a gestão dos controlos de acesso necessários.For example, if you have a single group of users responsible for managing virtual machines and Azure SQL Database resources, you might want to create a custom role to optimize management of the required access controls.

A documentação do RBAC do Azure fornece instruções sobre como criar funções personalizadas, junto com detalhes sobre o funcionamento das definições de função.The Azure RBAC documentation contains instructions on creating custom roles, along with details on how role definitions work.

Separação de responsabilidades e funções em organizações de grandes dimensõesSeparation of responsibilities and roles for large organizations

O Azure RBAC permite que as organizações atribuam diferentes equipas a várias tarefas de gestão dentro de grandes propriedades em nuvem.Azure RBAC allows organizations to assign different teams to various management tasks within large cloud estates. Permite às equipas de TI centrais controlar as funcionalidades principais de acesso e segurança, ao proporcionar também aos programadores de software e às outras equipas amplo controlo sobre cargas de trabalho ou grupos de recursos específicos.It can allow central IT teams to control core access and security features, while also giving software developers and other teams large amounts of control over specific workloads or groups of resources.

A maior parte dos ambientes de cloud também beneficiam de uma estratégia de controlo de acesso que utiliza múltiplas funções e enfatiza uma separação de responsabilidades entre estas funções.Most cloud environments can also benefit from an access-control strategy that uses multiple roles and emphasizes a separation of responsibilities between these roles. Esta abordagem faz com que qualquer alteração nos recursos ou na infraestrutura envolva múltiplas funções, ao garantir que uma alteração tenha de ser revista e aprovada por mais do que uma pessoa.This approach requires that any significant change to resources or infrastructure involves multiple roles to complete, ensuring that more than one person must review and approve a change. Esta separação de responsabilidades limita a capacidade de uma pessoa aceder a dados confidenciais ou introduzir vulnerabilidades sem o conhecimento dos outros elementos da equipa.This separation of responsibilities limits the ability of a single person to access sensitive data or introduce vulnerabilities without the knowledge of other team members.

A tabela seguinte ilustra um padrão comum de divisão de responsabilidades de TI em funções personalizadas separadas:The following table illustrates a common pattern for dividing IT responsibilities into separate custom roles:

GrupoGroup Nome da função comumCommon role name ResponsabilidadesResponsibilities
Operações de segurançaSecurity operations SecOpsSecOps Oferece supervisão de segurança geral.Provides general security oversight.
Estabelece e garante o cumprimento da política de segurança, como a encriptação inativa.Establishes and enforces security policy such as encryption at rest.

Gere as chaves de encriptação.Manages encryption keys.

Gere as regras de firewall.Manages firewall rules.
Operações de redeNetwork operations NetOpsNetOps Gere a configuração e as operações de rede nas redes virtuais, como rotas e peerings.Manages network configuration and operations within virtual networks, such as routes and peerings.
Operações de sistemasSystems operations SysOpsSysOps Especifica opções de computação e da infraestrutura de armazenamento e garante a manutenção dos recursos implementados.Specifies compute and storage infrastructure options, and maintains resources that have been deployed.
Desenvolvimento, teste e operaçõesDevelopment, test, and operations DevOpsDevOps Cria e implementa funcionalidades de carga de trabalho e aplicações.Builds and deploys workload features and applications.

Opera funcionalidades e aplicações para cumprir acordos de nível de serviço e outros padrões de qualidade.Operates features and applications to meet service-level agreements and other quality standards.

A discriminação das ações e permissões por estas funções padrão é frequentemente a mesma em todas as aplicações, subscrições ou em todo o património da cloud, mesmo que estas funções sejam realizadas por pessoas diferentes em níveis diferentes.The breakdown of actions and permissions in these standard roles are often the same across your applications, subscriptions, or entire cloud estate, even if these roles are performed by different people at different levels. Assim, pode criar um conjunto comum de definições de função Azure para aplicar em diferentes âmbitos dentro do seu ambiente.Accordingly, you can create a common set of Azure role definitions to apply across different scopes within your environment. Os utilizadores e os grupos podem, em seguida, ser atribuídos a uma função comum, mas apenas para o âmbito de recursos, grupos de recursos, subscrições ou grupos de gestão por cuja gestão são responsáveis.Users and groups can then be assigned a common role, but only for the scope of resources, resource groups, subscriptions, or management groups that they're responsible for managing.

Por exemplo, num hub e em topologia de rede com múltiplas subscrições, você pode ter um conjunto comum de definições de papel para o centro e todos os porta-vozes de carga de trabalho.For example, in a hub and spoke network topology with multiple subscriptions, you might have a common set of role definitions for the hub and all workload spokes. O papel de NetOps de uma subscrição de hub pode ser atribuído a membros da equipa central de TI da organização, que são responsáveis pela manutenção da rede para serviços partilhados utilizados por todas as cargas de trabalho.A hub subscription's NetOps role can be assigned to members of the organization's central IT team, who are responsible for maintaining networking for shared services used by all workloads. Uma função NetOps da subscrição do spoke da carga de trabalho pode, em seguida, ser atribuída aos membros dessa equipa de carga de trabalho específica, ao permitir-lhes configurar a rede nessa subscrição para uma melhor satisfação dos requisitos de carga de trabalho.A workload spoke subscription's NetOps role can then be assigned to members of that specific workload team, allowing them to configure networking within that subscription to best support their workload requirements. A mesma definição de função é utilizada em ambos os casos, mas as atribuições baseadas em âmbito garantem que os utilizadores apenas dispõem do acesso estritamente necessário à realização das suas tarefas.The same role definition is used for both, but scope-based assignments ensure that users have only the access that they need to perform their job.